Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?

Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?


Plagegeister aller Art und deren Bekämpfung: Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.09.2009, 17:01   #1
Angel21
 
Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? - Standard

Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?


Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
files to delete:
c:\windows\system32\sqccyf.dll
c:\windows\system32\01.tmp
c:\windows\system32\03.tmp

registry keys to delete:
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iztwg
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ojcbx
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wfccfw

drivers to delete:
wfccfw
iztwg
ojcbx
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 06.09.2009, 17:45   #2
malwarefight
 
Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? - Beitrag

Avenger-log


Hi!

Sorry fuer die verzoegerte Antowrt, aber ich war die letzten zwei Tage auf einer Konferenz und konnte somit mich nicht weiter meinem Lieblings-PC kuemmern

Hier der gewuenschte Log von Avenger:
Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\windows\system32\sqccyf.dll" not found!
Deletion of file "c:\windows\system32\sqccyf.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\01.tmp" not found!
Deletion of file "c:\windows\system32\01.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\03.tmp" not found!
Deletion of file "c:\windows\system32\03.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iztwg" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ojcbx" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wfccfw" deleted successfully.

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\wfccfw" not found!
Deletion of driver "wfccfw" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\iztwg" not found!
Deletion of driver "iztwg" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\ojcbx" not found!
Deletion of driver "ojcbx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
Hm, konnte einige Dateien nicht finden, HJT hingegen schon (und mit der Ubuntu-Live-DVD habe ich die Dateien in diesem Ordner auch gesehen). Ideen?

Danke vielmals!
__________________
Alt 06.09.2009, 17:58   #3
Angel21
 
Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? - Standard

Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?


1. Poste ein erneutes GMER Log bitte.

2. Danach eine neue RSIT (nur die Log.txt)

3. Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen
__________________
__________________
Alt 06.09.2009, 19:28   #4
malwarefight
 
Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? - Beitrag

GMER-log Nr. 2


Wow, danke fuer die wieder mal schnelle Antwort!

Hier Punkt 1, der GMER-log:
Code:
ATTFilter
GMER 1.0.15.15077 [p9i2wwe5.exe] - h**p://www.gmer.net
Rootkit scan 2009-09-07 01:13:23
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT  F8C0C696                                                                                                                                                                                                 ZwCreateKey
SSDT  F8C0C68C                                                                                                                                                                                                 ZwCreateThread
SSDT  F8C0C69B                                                                                                                                                                                                 ZwDeleteKey
SSDT  F8C0C6A5                                                                                                                                                                                                 ZwDeleteValueKey
SSDT  F8C0C6AA                                                                                                                                                                                                 ZwLoadKey
SSDT  F8C0C678                                                                                                                                                                                                 ZwOpenProcess
SSDT  F8C0C67D                                                                                                                                                                                                 ZwOpenThread
SSDT  F8C0C6B4                                                                                                                                                                                                 ZwReplaceKey
SSDT  F8C0C6AF                                                                                                                                                                                                 ZwRestoreKey
SSDT  F8C0C6A0                                                                                                                                                                                                 ZwSetValueKey
SSDT  F8C0C687                                                                                                                                                                                                 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?     ajlwr.sys                                                                                                                                                                                                Не удается найти указанный файл. !

---- Registry - GMER 1.0.15 ----

Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004                         1?
Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                            1?
Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                              1?
Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                           1?
Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4                       1?
Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                    1?
Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4  1?2?
Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004                             1?
Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                                1?
Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                                  1?
Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                               1?
Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4                           1?
Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                        1?
Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4      1?2?

---- EOF - GMER 1.0.15 ----
Das finde ich wahnsinnig interessant, dass er jetzt statt des Rootkits svchost.exe lauter lustige Netzwerk-Resgistryschluessel findet (wobei lustig in diesem Fall wohl weniger angebracht ist
Die russische Meldung "Не удается найти указанный файл.!" zu ajlwr.sys lautet uebersetzt uebrigens "Konnte angegebene Datei nicht finden.!"

Alt 06.09.2009, 19:33   #5
Angel21
 
Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? - Standard

Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?


Das Gmer-Log sieht schonmal sehr viel freundlicher aus
Bitte noch den Rest abarbeiten

__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 07.09.2009, 10:55   #6
malwarefight
 
Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? - Beitrag

Kaspersky-Online-Scan-Log


Hier noch der Log von Kaspersky (hat ganze 5 Stunden gedauert!):
Code:
ATTFilter
-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Montag, 7. September 2009 15:51:31
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken:  7/09/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 2755086
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	A:\
	C:\
	D:\
	E:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 91812
	Viren gefunden: 2
	Infizierte Objekte gefunden: 17
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 05:14:57

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\avguard.tmp	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\***\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\***\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\***\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\***\Local Settings\History\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\***\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\***\Local Settings\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\***\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Documents and Settings\***\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{604E0E7F-B06F-4102-AEE5-4EE4F8C03AAF}\RP3\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\02.tmp	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen
D:\Distrib\Secure\Radmin\Radmin20.exe/R_server.exe	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.20	übersprungen
D:\Distrib\Secure\Radmin\Radmin20.exe/raddrv.dll	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.20	übersprungen
D:\Distrib\Secure\Radmin\Radmin20.exe/AdmDll.dll	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.20	übersprungen
D:\Distrib\Secure\Radmin\Radmin20.exe/Radmin.exe	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.20	übersprungen
D:\Distrib\Secure\Radmin\Radmin20.exe	Vise: infiziert - 4	übersprungen
D:\Distrib\Secure\Radmin\radmin21.zip/RADMIN21.EXE/AdmDll.dll	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.20	übersprungen
D:\Distrib\Secure\Radmin\radmin21.zip/RADMIN21.EXE/raddrv.dll	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.20	übersprungen
D:\Distrib\Secure\Radmin\radmin21.zip/RADMIN21.EXE/radmin.exe	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.21	übersprungen
D:\Distrib\Secure\Radmin\radmin21.zip/RADMIN21.EXE/r_server.exe	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.21	übersprungen
D:\Distrib\Secure\Radmin\radmin21.zip/RADMIN21.EXE	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.21	übersprungen
D:\Distrib\Secure\Radmin\radmin21.zip	ZIP: infiziert - 5	übersprungen
D:\Distrib\Secure\Radmin\radminru.zip/radminru.exe/AdmDll.dll	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.20	übersprungen
D:\Distrib\Secure\Radmin\radminru.zip/radminru.exe/raddrv.dll	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.20	übersprungen
D:\Distrib\Secure\Radmin\radminru.zip/radminru.exe/radmin.exe	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.21	übersprungen
D:\Distrib\Secure\Radmin\radminru.zip/radminru.exe/r_server.exe	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.21	übersprungen
D:\Distrib\Secure\Radmin\radminru.zip/radminru.exe	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.21	übersprungen
D:\Distrib\Secure\Radmin\radminru.zip	ZIP: infiziert - 5	übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.
Der RAdmin scheint noch ein Ueberbleibsel des alten Betriebssystems zu sein, zumindest ist er nicht installiert und auch nicht in der Registry.
Was mich wundert ist hingegen der Eintrag "C:\System Volume Information\_restore{604E0E7F-B06F-4102-AEE5-4EE4F8C03AAF}\RP3\change.log", da ich die Systemwiederherstellung deaktiviert habe und eigentlich nix mehr drin sein sollte. Und dann wieder mal unsere Lieblings-02.tmp-Datei.

Was mir noch aufgefallen ist: ich kann die D-Platte nicht mehr normal oeffnen (es kommt immer das "Oeffnen mit..." Fenster mit Programmliste). Dieses Verhalten tritt erst auf, seit ich Avira und Malwarebytes installiert habe und mit der Systemreinigung angefangen habe. Deshalb wuerde die Erklaerung von Chris4You ganz gut passen (aus einem anderen Thema, aber zum gleichen Sachverhalt):
Zitat:
Ich würde eher annehmen dass noch nicht alles beseitigt wurde und ev. noch ein kleines Rootkit sein Unwesen treibt bzw. auf jeden Fall mountpoints verbogen sind...
So, wie sieht denn der Status Quo des Rechners aus?

Thx!

Alt 07.09.2009, 18:00   #7
Angel21
 
Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? - Standard

Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?


Radmin <<<Fernsteuerungssoftware, frage mal deine Gastfamilie wozu sie diesen benötigten.

Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 06.09.2009, 19:33   #8
malwarefight
 
Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? - Beitrag

RSIT-log Nr. 3


Und hier noch der RSIT-log:
Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2009-09-07 01:16:15
Microsoft Windows XP Professional Service Pack 2
System drive C: has 3 GB (29%) free of 10 GB
Total RAM: 511 MB (54% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:16:22, on 07.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Creative\Shared Files\CTDevSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Creative\Software Update 3\SoftAuto.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Лиза\Рабочий стол\RSIT.exe
C:\Program Files\HiJack This\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [SoftAuto.exe] "C:\Program Files\Creative\Software Update 3\SoftAuto.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://vkontakte.ru/uploader/ImageUploader4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe
O23 - Service: Creative Centrale Media Server (CTUPnPSv) - Creative Technology Ltd - C:\Program Files\Creative\Creative Centrale\CTUPnPSv.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 6048 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
Skype add-on (mastermind) - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2008-11-18 1082880]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-07-12 7626752]
"QuickTime Task"=C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe [2007-06-29 286720]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"PcSync"=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe [2005-11-30 1306624]
"SoftAuto.exe"=C:\Program Files\Creative\Software Update 3\SoftAuto.exe [2008-05-28 401408]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-18 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\CTFMON.EXE [2004-08-18 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]
C:\WINDOWS\CTHELPER.EXE [2006-08-11 17920]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTxfiHlp]
C:\WINDOWS\system32\CTXFIHLP.EXE [2006-08-11 18944]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
D:\itunes\iTunesHelper.exe [2007-09-26 267064]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
C:\WINDOWS\system32\NvCpl.dll [2006-07-12 7626752]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
C:\WINDOWS\system32\NvMcTray.dll [2006-07-12 86016]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE [2005-12-13 217088]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Program Files\K-Lite Codec Pack\QuickTime\QTTask.exe [2007-06-29 286720]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Program Files\Winamp\winampa.exe [2005-10-27 33792]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~2\Office\OSA9.EXE [2005-03-03 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Ускоренный запуск Adobe Reader.lnk]
C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE  []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\StrongDC\StrongDC.exe"="D:\StrongDC\StrongDC.exe:*:Enabled:StrongDC++"
"D:\itunes\iTunes.exe"="D:\itunes\iTunes.exe:*:Enabled:iTunes"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-09-06 23:49:53 ----SHD---- C:\RECYCLER
2009-09-06 23:39:44 ----D---- C:\Avenger
2009-09-06 23:39:44 ----A---- C:\avenger.txt
2009-09-05 00:37:31 ----D---- C:\Documents and Settings\***\Application Data\vlc
2009-09-05 00:37:31 ----D---- C:\Documents and Settings\***\Application Data\dvdcss
2009-09-04 14:07:51 ----D---- C:\WINDOWS\temp
2009-09-04 14:07:49 ----A---- C:\ComboFix.txt
2009-09-04 13:58:15 ----A---- C:\WINDOWS\zip.exe
2009-09-04 13:58:15 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-09-04 13:58:15 ----A---- C:\WINDOWS\SWSC.exe
2009-09-04 13:58:15 ----A---- C:\WINDOWS\SWREG.exe
2009-09-04 13:58:15 ----A---- C:\WINDOWS\sed.exe
2009-09-04 13:58:15 ----A---- C:\WINDOWS\PEV.exe
2009-09-04 13:58:15 ----A---- C:\WINDOWS\NIRCMD.exe
2009-09-04 13:58:15 ----A---- C:\WINDOWS\grep.exe
2009-09-04 13:58:11 ----D---- C:\WINDOWS\ERDNT
2009-09-04 13:58:07 ----D---- C:\Qoobox
2009-09-03 12:04:05 ----D---- C:\Program Files\VideoLAN
2009-09-02 11:01:44 ----D---- C:\Documents and Settings\***\Application Data\Foxit
2009-09-02 11:01:11 ----D---- C:\Program Files\Foxit Software
2009-09-02 10:44:29 ----D---- C:\WINDOWS\system32\appmgmt
2009-09-02 10:41:55 ----SHD---- C:\Config.Msi
2009-09-02 07:47:01 ----D---- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2009-09-02 07:46:50 ----D---- C:\Program Files\SUPERAntiSpyware
2009-09-02 07:46:50 ----D---- C:\Documents and Settings\***\Application Data\SUPERAntiSpyware.com
2009-09-02 07:45:55 ----D---- C:\Program Files\Common Files\Wise Installation Wizard
2009-09-01 15:14:21 ----D---- C:\rsit
2009-09-01 15:07:38 ----D---- C:\Program Files\CCleaner
2009-09-01 14:37:40 ----D---- C:\Program Files\HiJack This
2009-08-24 09:58:52 ----D---- C:\Documents and Settings\Лиза\Application Data\Mozilla
2009-08-24 09:37:03 ----D---- C:\Program Files\Avira
2009-08-24 09:37:03 ----D---- C:\Documents and Settings\All Users\Application Data\Avira
2009-08-23 22:21:57 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2009-08-23 22:20:57 ----D---- C:\Documents and Settings\***\Application Data\Malwarebytes
2009-08-23 22:20:51 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-08-23 22:20:51 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2009-08-23 22:19:47 ----D---- C:\Program Files\Mozilla Firefox

======List of files/folders modified in the last 1 months======

2009-09-07 01:15:31 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-07 01:14:35 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-07 00:41:04 ----D---- C:\WINDOWS\Prefetch
2009-09-06 23:39:44 ----D---- C:\WINDOWS\system32\drivers
2009-09-06 23:39:44 ----D---- C:\WINDOWS
2009-09-04 16:52:59 ----D---- C:\Documents and Settings\***\Application Data\skypePM
2009-09-04 16:52:54 ----D---- C:\Documents and Settings\***\Application Data\Skype
2009-09-04 14:07:52 ----D---- C:\WINDOWS\system32
2009-09-04 14:06:56 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-09-04 14:05:02 ----A---- C:\WINDOWS\system.ini
2009-09-04 14:03:29 ----D---- C:\WINDOWS\system32\config
2009-09-04 14:02:06 ----D---- C:\WINDOWS\AppPatch
2009-09-04 14:02:03 ----D---- C:\Program Files\Common Files
2009-09-04 13:58:15 ----SHD---- C:\System Volume Information
2009-09-04 13:58:15 ----D---- C:\WINDOWS\system32\Restore
2009-09-04 13:14:01 ----D---- C:\WINDOWS\Minidump
2009-09-03 15:23:18 ----RD---- C:\Program Files
2009-09-02 10:44:50 ----D---- C:\Program Files\Google
2009-09-02 10:44:50 ----D---- C:\Documents and Settings\All Users\Application Data\Google
2009-09-02 10:44:49 ----SHD---- C:\WINDOWS\Installer
2009-09-01 15:08:54 ----D---- C:\WINDOWS\Debug
2009-08-25 11:30:54 ----SH---- C:\boot.ini
2009-08-25 11:30:54 ----A---- C:\WINDOWS\win.ini
2009-08-24 09:37:15 ----HD---- C:\WINDOWS\inf
2009-08-24 09:35:49 ----D---- C:\WINDOWS\WinSxS
2009-08-16 15:06:03 ----D---- C:\Program Files\Winamp
2009-08-14 23:34:25 ----SD---- C:\WINDOWS\Downloaded Program Files

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Драйвер Intel процессора; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-18 40448]
R1 SASDIFSV;SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-07-28 55656]
R3 Arp1394;Протокол клиента 1394 ARP; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-18 60800]
R3 ctac32k;Creative AC3 Software Decoder; C:\WINDOWS\system32\drivers\ctac32k.sys [2006-08-11 502272]
R3 ctaud2k;Creative Audio Driver (WDM); C:\WINDOWS\system32\drivers\ctaud2k.sys [2006-08-11 499584]
R3 ctgame;Game Port; C:\WINDOWS\system32\DRIVERS\ctgame.sys [2002-12-30 12160]
R3 ctprxy2k;Creative Proxy Driver; C:\WINDOWS\system32\drivers\ctprxy2k.sys [2006-08-11 7168]
R3 ctsfm2k;Creative SoundFont Management Device Driver; C:\WINDOWS\system32\drivers\ctsfm2k.sys [2006-08-11 143872]
R3 EL2000;3Com 3C2000x EtherLink XL Adapter; C:\WINDOWS\system32\DRIVERS\EL2K_XP.sys [2008-03-05 147328]
R3 emupia;E-mu Plug-in Architecture Driver; C:\WINDOWS\system32\drivers\emupia2k.sys [2006-08-11 78336]
R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664]
R3 ha10kx2k;Creative Hardware Abstract Layer Driver; C:\WINDOWS\system32\drivers\ha10kx2k.sys [2006-08-11 766976]
R3 hap16v2k;Creative P16V HAL Driver; C:\WINDOWS\system32\drivers\hap16v2k.sys [2006-08-11 154112]
R3 NIC1394;Сетевой драйвер 1394; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-18 61824]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-07-12 3934592]
R3 ossrv;Creative OS Services Driver; C:\WINDOWS\system32\drivers\ctoss2k.sys [2006-08-11 116224]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-18 26624]
R3 usbhub;USB2 концентратор; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-18 57600]
R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-18 20480]
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 ctdvda2k;Creative DVD-Audio Device Driver; C:\WINDOWS\system32\drivers\ctdvda2k.sys [2005-11-10 340704]
S3 hap17v2k;Creative P17V HAL Driver; C:\WINDOWS\system32\drivers\hap17v2k.sys [2006-08-11 180224]
S3 Nokia USB Generic;Nokia USB Generic; C:\WINDOWS\system32\drivers\nmwcdc.sys [2005-10-13 8704]
S3 Nokia USB Modem;Nokia USB Modem; C:\WINDOWS\system32\drivers\nmwcdcm.sys [2005-10-13 12800]
S3 Nokia USB Phone Parent;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\nmwcd.sys [2005-10-13 124928]
S3 Nokia USB Port;Nokia USB Port; C:\WINDOWS\system32\drivers\nmwcdcj.sys [2005-10-13 12800]
S3 SASENUM;SASENUM; \??\C:\Program Files\SUPERAntiSpyware\SASENUM.SYS []
S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2007-09-06 30336]
S3 USBSTOR;Драйвер запоминающих устройств для USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-18 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Scheduler; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2007-09-06 110592]
R2 CTDevice_Srv;CT Device Query service; C:\Program Files\Creative\Shared Files\CTDevSrv.exe [2007-04-02 61440]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-07-12 155715]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-18 14336]
S3 CTUPnPSv;Creative Centrale Media Server; C:\Program Files\Creative\Creative Centrale\CTUPnPSv.exe [2008-05-21 64000]
S3 iPod Service;Сервис iPod; C:\Program Files\iPod\bin\iPodService.exe [2007-09-26 503608]
S3 WMPNetworkSvc;Служба общих сетевых ресурсов проигрывателя Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-02 914944]

-----------------EOF-----------------
Juhu, die tmp-Eintraege sind endlich verschwunden!

Morgen werde ich dann das Kaspersky-Ergebnis posten, da es mir fuer heute Nacht doch zu lange wird. Ich bin mal wieder gespannt, was der so alles findet bzw. nicht findet!

Antwort

Themen zu Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?
.dll, 0 bytes, abgesicherten modus, adware, antiviren-programm, avira, check, csrss.exe, desktop, entfernen, explorer.exe, file, frage, free, keine funde, logon.exe, lsass.exe, moved, neustart, nicht sicher, nt.dll, prozesse, realplayer, services.exe, spyware, svchost.exe, taskmanager, trojaner, virus, warning, windows system, windows-update, winlogon.exe, zu lang


« Asprox und Rootkit.TDSS - Hilfe?! | "Hilfe" bei Virus TR/Alureon.19456U.3 »


Ähnliche Themen: Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?


  1. Weißer Bildschirm nach trojaner entfernen
    Plagegeister aller Art und deren Bekämpfung - 08.07.2013 (11)
  2. GVU -BKA Trojaner nach Systemrückstellung entfernen....
    Plagegeister aller Art und deren Bekämpfung - 22.01.2013 (30)
  3. gvu trojaner nach systemwiederherstellung entfernen
    Plagegeister aller Art und deren Bekämpfung - 16.12.2012 (2)
  4. GVU Trojaner entfernen (nach Systemwiederherstellung)
    Plagegeister aller Art und deren Bekämpfung - 14.09.2012 (9)
  5. Grafikeinstellungen ueber Nacht veraendert...
    Netzwerk und Hardware - 02.06.2012 (3)
  6. BKA Trojaner, boote ueber CD aber komme nicht weiter
    Log-Analyse und Auswertung - 09.08.2011 (1)
  7. Rundll Fehlermeldung nach Entfernen von Trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.08.2009 (2)
  8. Sauberes Log??
    Mülltonne - 15.06.2008 (0)
  9. Was weisst du ueber Google?
    Diskussionsforum - 19.11.2007 (22)
  10. PC langsam, sauberes Logfile?
    Log-Analyse und Auswertung - 11.09.2007 (3)
  11. Gibt es kein sauberes System?
    Log-Analyse und Auswertung - 29.05.2007 (2)
  12. Online und trotzdem keine Verbindung ueber IE o FF moeglich?
    Plagegeister aller Art und deren Bekämpfung - 12.05.2007 (5)
  13. Trojaner/Keylogger nach Hausdurchsuchung entfernen
    Überwachung, Datenschutz und Spam - 08.08.2006 (10)
  14. Handybits hatte ich aufm rechner - ist was ueber?
    Log-Analyse und Auswertung - 10.06.2006 (3)
  15. Ports offen + keine kontrolle ueber startseite von IE6
    Plagegeister aller Art und deren Bekämpfung - 06.08.2003 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? - Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop: Doppelklick auf das Avenger-Symbol Kopiere nun folgenden Text in das weiße Feld bei -> "input - Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?...
Archiv
Du betrachtest: Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132