Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner erfolgreich entfernt?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.11.2009, 16:35   #1
lucki1985
 
Trojaner erfolgreich entfernt? - Standard

Trojaner erfolgreich entfernt?



Hallo an alle Malwarejäger!

Ich habe/hatte einen Trojaner auf meinem Rechner. Das war das Ergebnis von Malwarebytes:

C:\WINDOWS\ld15.exe (Trojan.Buzus) -> No action taken.
C:\WINDOWS\010112010146116101.xxe (KoobFace.Trace) -> No action taken.
C:\WINDOWS\0101120101465155.xxe (KoobFace.Trace) -> No action taken.

Anscheinend hat Malwarebytes alles entfernen können zumindest nach dem letzten Scan findet weder Malwarebytes noch Antivir mehr irgendwas. Wie sicher kann ich mir da sein das es nicht doch ein Backdoor Trojaner war, der sich nur noch nicht wieder installiert hat? Braucht ihr ein Hijack log von mir oder reicht es einfach wenn Malwarebytes nichts mehr findet? Danke euch schon mal im Vorraus für eure Antworten....

Alt 14.11.2009, 21:54   #2
kira
/// Helfer-Team
 
Trojaner erfolgreich entfernt? - Standard

Trojaner erfolgreich entfernt?



Hallo und Herzlich Willkommen!

lustig ist das nicht und ich würde überlegen das System neu zu installieren: http://www.searchsecurity.de/index.c...44&cmp=rss-bep

Zitat:
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::
Ändere deine Passworte und Zugangsdaten überall! - am besten von einem anderen, nicht-infizierten Rechner aus!
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

- Ergebnis von Malwarebytes bitte posten!

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren
** kannst Du die Logs bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow
__________________


Alt 15.11.2009, 18:44   #3
lucki1985
 
Trojaner erfolgreich entfernt? - Standard

Trojaner erfolgreich entfernt?



Hallo Coverflow,

vielen Dank für deine schnelle Antwort.

Also hier die Daten die du brauchst:

Malwarebytes alter Systemscan vor der Löschung der infizierten Dateien (wie der Trojaner entdeckt wurde. Ich schicke dir später noch mal einen Bericht denn ich habe jetzt den Computer ohne online zu sein länger laufen lassen um zu schauen ob Malwarbytes noch mal etwas entdeckt den Scan habe ich jetzt erst gestartet):

Code:
ATTFilter
 Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3169
Windows 5.1.2600 Service Pack 3

14.11.2009 16:58:46
mbam-log-2009-11-14 (16-58-40).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 222128
Laufzeit: 38 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray (Trojan.Buzus) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\ld15.exe (Trojan.Buzus) -> No action taken.
C:\WINDOWS\010112010146116101.xxe (KoobFace.Trace) -> No action taken.
C:\WINDOWS\0101120101465155.xxe (KoobFace.Trace) -> No action taken.
         
HijackThis log vor der Reinigung:

Code:
ATTFilter
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:09:04, on 14.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Acer\Acer Arcade\PCMService.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
D:\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\DOKUME~1\***\LOKALE~1\Temp\RtkBtMnt.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
C:\Dokumente und Einstellungen\***\Desktop\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "D:\Trojanerboard.de\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231454811328
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 10269 bytes
         

HijackThis nach der Reinigung:

Code:
ATTFilter
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:10:00, on 15.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Acer\Acer Arcade\PCMService.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\PnkBstrA.exe
D:\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\DOKUME~1\***\LOKALE~1\Temp\RtkBtMnt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Trojanerboard.de\Malwarebytes' Anti-Malware\mbam.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "D:\Trojanerboard.de\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231454811328
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 10289 bytes
         

Code:
ATTFilter
 Malwarbytes erneuter Scan nach Entfernung der betroffenen Dateien:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3172
Windows 5.1.2600 Service Pack 3

15.11.2009 19:38:42
mbam-log-2009-11-15 (19-38-42).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 222229
Laufzeit: 38 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

filelist und CCleaner Ergebnisse schicke ich dir heute Nacht. Ich habe leider noch ein Seminar.

Danke dir aber schon mal so weit!!!! Finde es toll das es Leute wie dich gibt, die einem helfen!!!

LG
lucki
__________________

Alt 15.11.2009, 20:05   #4
lucki1985
 
Trojaner erfolgreich entfernt? - Standard

Trojaner erfolgreich entfernt?



So Seminar fällt aus also kann es weiter gehen Filelist muss ich in 2 Teilen posten. Hier das GMER Ergebnis:

Code:
ATTFilter
GMER 1.0.15.15227 - http://www.gmer.net
Rootkit scan 2009-11-15 20:39:01
Windows 5.1.2600 Service Pack 3
Running: zqiyjmlz.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\ugldipow.sys


---- System - GMER 1.0.15 ----

SSDT            F6BD4CDE                                                                                                                        ZwCreateKey
SSDT            F6BD4CD4                                                                                                                        ZwCreateThread
SSDT            F6BD4CE3                                                                                                                        ZwDeleteKey
SSDT            F6BD4CED                                                                                                                        ZwDeleteValueKey
SSDT            F6BD4CF2                                                                                                                        ZwLoadKey
SSDT            F6BD4CC0                                                                                                                        ZwOpenProcess
SSDT            F6BD4CC5                                                                                                                        ZwOpenThread
SSDT            F6BD4CFC                                                                                                                        ZwReplaceKey
SSDT            F6BD4CF7                                                                                                                        ZwRestoreKey
SSDT            F6BD4CE8                                                                                                                        ZwSetValueKey
SSDT            F6BD4CCF                                                                                                                        ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwCallbackReturn + 2FA0                                                                                            8050483C 4 Bytes  CALL 7547058D 

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\SearchIndexer.exe[2972] kernel32.dll!WriteFile                                                              7C810E27 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[1752] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]            [00F62BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[1752] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter]  [00F62CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[1752] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess]          [00F62CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                         SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                         SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device          \Driver\Cdrom \Device\CdRom0                                                                                                    OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                        OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                        fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
Ergebnis filelist 1. Teil:

Code:
ATTFilter
----- Root ----------------------------- 
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 320D-180E

 Verzeichnis von C:\

15.11.2009  20:46                43 filelist.txt
15.11.2009  20:04     1.063.374.848 hiberfil.sys
15.11.2009  20:04     1.598.029.824 pagefile.sys
18.08.2009  17:28                 0 AILog.txt

              15 Datei(en)  2.661.710.137 Bytes
               0 Verzeichnis(se),  1.532.035.072 Bytes frei
 
----- Windows -------------------------- 
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 320D-180E

 Verzeichnis von C:\WINDOWS

15.11.2009  20:39             1.755 setupapi.log
15.11.2009  20:04             4.198 ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt
15.11.2009  20:04               157 wiadebug.log
15.11.2009  20:04             2.048 bootstat.dat
15.11.2009  20:04                 0 0.log
15.11.2009  19:46         1.228.907 WindowsUpdate.log
15.11.2009  19:46            32.556 SchedLgU.Txt
15.11.2009  19:46                50 wiaservc.log
13.11.2009  16:23                 0 zwer_1258125797.exe
13.11.2009  16:23                 0 zwer_1258125796.exe
13.11.2009  16:22                 2 010112010146101105.rx

              92 Datei(en)     39.035.742 Bytes
               0 Verzeichnis(se),  1.532.035.072 Bytes frei
 
----- System  --- 
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 320D-180E

 Verzeichnis von C:\WINDOWS\system


              38 Datei(en)      2.126.922 Bytes
               0 Verzeichnis(se),  1.532.035.072 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 320D-180E

 Verzeichnis von C:\WINDOWS\system32

15.11.2009  20:05               451 eRLog.ini
11.11.2009  17:38           189.000 FNTCACHE.DAT
05.11.2009  18:36        26.768.832 MRT.exe
04.11.2009  14:44             1.158 wpa.dbl
22.10.2009  10:16         5.939.712 mshtml.dll
16.10.2009  13:11            72.066 perfc009.dat
16.10.2009  13:11           442.800 perfh009.dat
16.10.2009  13:11            95.400 perfc007.dat
16.10.2009  13:11           485.732 perfh007.dat
16.10.2009  13:11         1.066.274 PerfStringBackup.INI
25.09.2009  17:41            90.112 dpl100.dll
25.09.2009  17:41           839.680 divx_xx11.dll
25.09.2009  17:41           847.872 divx_xx0a.dll
25.09.2009  17:41           843.776 divx_xx16.dll
25.09.2009  17:41           856.064 divx_xx0c.dll
25.09.2009  17:41           696.320 DivX.dll
25.09.2009  17:41           856.064 divx_xx07.dll
11.09.2009  16:17           136.192 msv1_0.dll
08.09.2009  14:58           212.770 TZLog.log
05.09.2009  01:54            69.632 QuickTime.qts
05.09.2009  01:54            94.208 QuickTimeVR.qtx
04.09.2009  23:03            58.880 msasn1.dll
01.09.2009  16:46           282.654 msaud32.acm
29.08.2009  09:24           133.120 extmgr.dll
29.08.2009  08:54         1.208.832 urlmon.dll
29.08.2009  08:54           206.848 occache.dll
29.08.2009  08:54           916.480 wininet.dll
29.08.2009  08:54           594.432 msfeeds.dll
29.08.2009  08:54            55.296 msfeedsbs.dll
29.08.2009  08:54         1.469.440 inetcpl.cpl
29.08.2009  08:54         1.985.536 iertutil.dll
29.08.2009  08:54            25.600 jsproxy.dll
29.08.2009  08:54           184.320 iepeers.dll
29.08.2009  08:54        11.069.440 ieframe.dll
29.08.2009  08:54           387.584 iedkcs32.dll
28.08.2009  11:35           173.056 ie4uinit.exe
26.08.2009  10:00           247.326 strmdll.dll
14.08.2009  16:10         1.850.752 win32k.sys
06.08.2009  19:24           327.896 wucltui.dll
06.08.2009  19:24           209.632 wuweb.dll
06.08.2009  19:24            18.144 wuaueng.dll.mui
06.08.2009  19:24            44.768 wups2.dll
06.08.2009  19:24           217.816 wuaucpl.cpl
06.08.2009  19:24            35.552 wups.dll
06.08.2009  19:24            15.584 wuapi.dll.mui
06.08.2009  19:24            53.472 wuauclt.exe
06.08.2009  19:24            96.480 cdm.dll
06.08.2009  19:24            15.584 wuaucpl.cpl.mui
06.08.2009  19:24            23.264 wucltui.dll.mui
06.08.2009  19:23           575.704 wuapi.dll
06.08.2009  19:23         1.929.952 wuaueng.dll
05.08.2009  10:59           206.336 mswebdvd.dll
04.08.2009  19:26         2.147.840 ntoskrnl.exe
04.08.2009  19:25         2.026.496 ntkrnlpa.exe
29.07.2009  06:34           119.808 t2embed.dll
29.07.2009  06:34            81.920 fontsub.dll
17.07.2009  21:01            58.880 atl.dll
17.07.2009  18:15         1.441.792 query.dll
14.07.2009  13:03            46.080 tzchange.exe
13.07.2009  23:43        10.841.088 wmp.dll
13.07.2009  23:43           286.208 wmpdxm.dll
02.07.2009  20:50            43.520 CmdLineExt03.dll
25.06.2009  10:25           147.456 schannel.dll
25.06.2009  10:25            54.272 wdigest.dll
25.06.2009  10:25           301.568 kerberos.dll
25.06.2009  10:25           737.792 lsasrv.dll
25.06.2009  10:25            56.832 secur32.dll
22.06.2009  07:45           726.528 jscript.dll
15.06.2009  12:44            78.848 telnet.exe
10.06.2009  16:13            85.504 avifil32.dll
10.06.2009  09:19         2.066.432 mstscax.dll
10.06.2009  08:14           132.096 wkssvc.dll
03.06.2009  21:09         1.296.896 quartz.dll
25.05.2009  00:24           350.208 mssph.dll
20.05.2009  04:56         2.458.112 WMVCore.dll

            2291 Datei(en)    495.529.101 Bytes
               0 Verzeichnis(se),  1.530.986.496 Bytes frei
 
----- Prefetch ------------------------- 
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 320D-180E

 Verzeichnis von C:\WINDOWS\Prefetch

15.11.2009  20:46            22.206 CMD.EXE-034B0549.pf
15.11.2009  20:46            11.886 FIND.EXE-0EEAD1A7.pf
15.11.2009  20:45           145.374 NOTEPAD.EXE-2F2D61E1.pf
15.11.2009  20:44            32.378 VERCLSID.EXE-28F52AD2.pf
15.11.2009  20:40            79.416 FIREFOX.EXE-28BE8AE1.pf
15.11.2009  20:39            44.288 AVWSC.EXE-1742FD55.pf
15.11.2009  20:39            58.712 AVCONFIG.EXE-0014E46E.pf
15.11.2009  20:39            25.452 RUNDLL32.EXE-565D8A96.pf
15.11.2009  20:39            23.318 RUNDLL32.EXE-5BEC56A6.pf
15.11.2009  20:39            38.302 RUNDLL32.EXE-419F288A.pf
15.11.2009  20:39            23.384 CONTROL.EXE-24FBF8B3.pf
15.11.2009  20:30            12.774 WSCNTFY.EXE-0B14C27D.pf
15.11.2009  20:28            33.812 ZQIYJMLZ.EXE-3A1B4CA7.pf
15.11.2009  20:06            91.328 SKYPEPM.EXE-1D416A14.pf
15.11.2009  20:05            19.898 UNSECAPP.EXE-16EB9856.pf
15.11.2009  20:05            16.308 ALG.EXE-275708CF.pf
15.11.2009  20:05             8.748 NCLRSSRV.EXE-0CDC9306.pf
15.11.2009  20:05            10.556 NCLUSBSRV.EXE-19E25842.pf
15.11.2009  20:05            30.742 WMIPRVSE.EXE-0D449B4F.pf
15.11.2009  20:05            19.694 SERVICELAYER.EXE-08049BB7.pf
15.11.2009  20:05            91.978 IPODSERVICE.EXE-07892C80.pf
15.11.2009  20:05            16.824 NCLINSTALLER.EXE-06553A85.pf
15.11.2009  20:05            17.100 RTKBTMNT.EXE-11130A02.pf
15.11.2009  20:05            45.870 IMAPI.EXE-201490BB.pf
15.11.2009  20:05         1.019.380 NTOSBOOT-B00DFAAD.pf
15.11.2009  20:05            88.174 SOFFICE.BIN-15A0C0E4.pf
15.11.2009  20:05            12.220 SOFFICE.EXE-0DB12BBD.pf
15.11.2009  19:45            20.358 LOGONUI.EXE-312BE1BF.pf
15.11.2009  19:40            78.708 WINRAR.EXE-1A0EFB18.pf
15.11.2009  19:24            51.144 CCLEANER.EXE-1BD69A7A.pf
15.11.2009  19:09            62.382 HIJACKTHIS.EXE-06187BC0.pf
15.11.2009  19:01            69.060 GOOGLEUPDATER.EXE-1DF2649A.pf
15.11.2009  18:59            60.864 MBAM.EXE-02821164.pf
15.11.2009  18:57            79.242 AVNOTIFY.EXE-22D2A6A0.pf
15.11.2009  18:56            55.192 UPDATE.EXE-33FE454B.pf
15.11.2009  18:55            11.344 QUICKSTART.EXE-33808230.pf
15.11.2009  18:55            23.082 VPNGUI.EXE-33F997D3.pf
14.11.2009  21:23            22.964 TASKMGR.EXE-06144C13.pf
14.11.2009  20:49            71.626 REALPLAY.EXE-05411014.pf
14.11.2009  20:30            14.940 DFRGFAT.EXE-22605FE5.pf
14.11.2009  20:30            17.210 DEFRAG.EXE-2858C7E2.pf
14.11.2009  20:30           438.156 Layout.ini
14.11.2009  20:04            22.966 REGSVR32.EXE-396DEA2C.pf
14.11.2009  19:28            97.180 AVSCAN.EXE-068A2CAC.pf
14.11.2009  17:24           104.974 ***.EXE-1D7AF646.pf
14.11.2009  17:22            57.584 AVCENTER.EXE-377C5668.pf
14.11.2009  17:09            22.968 RSIT.EXE-3B6394BA.pf
14.11.2009  16:18             8.748 MBAMGUI.EXE-33F3DF78.pf
14.11.2009  16:17            27.686 MBAM-SETUP.TMP-31C832BE.pf
14.11.2009  16:17            17.552 MBAM-SETUP.EXE-1D1DE292.pf
14.11.2009  16:16            15.916 SEARCHFILTERHOST.EXE-1FEC9DD2.pf
14.11.2009  16:16            27.918 SEARCHPROTOCOLHOST.EXE-1460F5CC.pf
14.11.2009  16:05            28.464 CCSETUP225.EXE-1AF077AC.pf
14.11.2009  10:22           180.376 HELPSVC.EXE-1C192440.pf
14.11.2009  08:56            79.952 MSIMN.EXE-2E3AC8DB.pf
14.11.2009  08:31            29.842 SETUP.EXE-3B7EE7EA.pf
14.11.2009  08:31            45.264 MSIEXEC.EXE-330626DC.pf
14.11.2009  08:30            22.074 INSTALL.EXE-25E32874.pf
14.11.2009  08:30            53.700 VCREDIST_X86.EXE-2A28236F.pf
14.11.2009  08:30            17.940 PRESETUP.EXE-0A85FF99.pf
14.11.2009  08:30            54.498 AVIRA_ANTIVIR_PERSONAL_DE.EXE-3650341A.pf
14.11.2009  08:27            20.814 GUARDGUI.EXE-1FA25B88.pf
13.11.2009  16:27            16.438 UNINSTALL_PLUGIN.EXE-07D4AB07.pf
13.11.2009  16:27            15.122 AU_.EXE-05D8A49B.pf
13.11.2009  16:27            38.502 INSTALL_FLASH_PLAYER(2).EXE-29926952.pf
13.11.2009  16:21            43.332 LD15.EXE-0069CDF7.pf
13.11.2009  16:21            21.522 SETUP.EXE-26353E3B.pf
13.11.2009  06:00            28.610 WUAUCLT.EXE-1360D60A.pf
13.11.2009  03:07            29.570 WINMINE.EXE-1C017FC4.pf
13.11.2009  03:02            96.318 EXPORTCONTROLLER.EXE-29DA913E.pf
13.11.2009  03:02            92.242 QUICKTIMEPLAYER.EXE-370268C9.pf
13.11.2009  03:01            12.954 DIVXVERSIONCHECKER.EXE-0960F1F2.pf
13.11.2009  02:55            18.226 SNDVOL32.EXE-0EC6FD20.pf
12.11.2009  23:54            59.236 ZCLIENTM.EXE-3981734C.pf
12.11.2009  23:54            19.332 BCKGZM.EXE-1C47AC04.pf
12.11.2009  19:09            17.254 SOL.EXE-213C4FA3.pf
12.11.2009  15:40            33.250 EMERGY.EXE-24640EAC.pf
12.11.2009  15:40            21.718 DRWTSN32.EXE-01DDCF15.pf
12.11.2009  15:40            33.702 DWWIN.EXE-2C373FB7.pf
07.11.2009  13:58            21.270 REALSCHED.EXE-0C8249C8.pf
03.11.2009  16:58            16.230 RUNDLL32.EXE-6E8D4657.pf
05.06.2009  18:54            33.908 AVWSC.EXE-100E7505.pf
              82 Datei(en)      4.721.546 Bytes
               0 Verzeichnis(se),  1.531.936.768 Bytes frei
         

Alt 15.11.2009, 20:07   #5
lucki1985
 
Trojaner erfolgreich entfernt? - Standard

Trojaner erfolgreich entfernt?



so filelist 2. Teil:

Code:
ATTFilter
----- Tasks ---------------------------- 
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 320D-180E

 Verzeichnis von C:\WINDOWS\tasks

15.11.2009  20:04                 6 SA.DAT
09.11.2009  07:06               276 AppleSoftwareUpdate.job

               3 Datei(en)            347 Bytes
               0 Verzeichnis(se),  1.531.936.768 Bytes frei
 
----- Windows/Temp ----------------------- 
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 320D-180E

 Verzeichnis von C:\WINDOWS\Temp

15.11.2009  20:04             2.048 sqlite_eV2zNuGK79ah8VU
15.11.2009  20:04                 0 CLML_AGENT_LOG1.txt
14.11.2009  17:03                 0 T30DebugLogFile.txt
07.11.2009  15:45             7.021 wudf_update.log
06.11.2009  11:57             2.048 sqlite_MclcdDQVGByVd87
06.11.2009  00:12             2.048 sqlite_jd06RYx92COzKou
02.11.2009  18:24             2.048 sqlite_mku2FNkEeJ03Q7i
21.10.2009  23:45             2.048 sqlite_bUaFblyxzkMTteG
21.10.2009  03:35             2.048 sqlite_WmD1FgCdGi3QSNm
16.10.2009  13:11             5.158 ASPNETSetup_00000.log
16.10.2009  13:04            11.460 NetFxUpdate_v1.1.4322.log
08.09.2009  07:12             2.048 sqlite_dCLE32qFufpsAee

              13 Datei(en)         40.023 Bytes
               0 Verzeichnis(se),  1.531.936.768 Bytes frei
 
----- Temp ----------------------------- 
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 320D-180E

 Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

15.11.2009  20:40                 0 etilqs_nGd5ovo3jSY7KeQqVN3w
15.11.2009  20:30            16.384 Perflib_Perfdata_754.dat
15.11.2009  20:05            14.408 _pcsuitecheck_new.xml
15.11.2009  20:04            10.711 NGLALog.txt
15.11.2009  19:45           311.296 ~DF2A0B.tmp
14.11.2009  20:02            81.920 ~DF58DB.tmp
14.11.2009  20:00            29.114 mod30.tmp
14.11.2009  20:00               955 mod2F.tmp
14.11.2009  20:00                34 mod2D.tmp
14.11.2009  17:08            81.920 ~DFA138.tmp
14.11.2009  17:05               962 mod5.tmp
14.11.2009  17:05                34 mod4.tmp
14.11.2009  17:05            75.333 mod6.tmp
14.11.2009  17:01            81.920 ~DFD061.tmp
14.11.2009  16:35            75.333 mod4A.tmp
14.11.2009  16:35               962 mod49.tmp
14.11.2009  16:35                34 mod48.tmp
14.11.2009  15:27            81.920 ~DF4A60.tmp
14.11.2009  09:48                43 mod2E.tmp
14.11.2009  08:56                34 mod27.tmp
14.11.2009  08:56               964 mod28.tmp
14.11.2009  08:56            75.333 mod29.tmp
14.11.2009  08:31            12.400 dd_vcredistUI458F.txt
14.11.2009  08:31           538.326 dd_vcredistMSI458F.txt
13.11.2009  04:27            81.920 ~DFEBBD.tmp
13.11.2009  04:18                43 mod187.tmp
13.11.2009  02:58            29.114 mod160.tmp
13.11.2009  02:58               953 mod15F.tmp
13.11.2009  02:58                34 mod15E.tmp
12.11.2009  15:41            81.920 ~DF7DE7.tmp
12.11.2009  15:24            15.184 Re_ Gráe.eml
12.11.2009  15:22            75.333 mod1E.tmp
12.11.2009  15:22               962 mod1D.tmp
12.11.2009  15:22                34 mod1C.tmp
11.11.2009  02:28            75.333 mod83.tmp
11.11.2009  02:28            81.920 ~DF563E.tmp
11.11.2009  02:28               962 mod82.tmp
11.11.2009  02:28                34 mod81.tmp
11.11.2009  02:28            81.920 ~DF4536.tmp
11.11.2009  02:22                34 mod77.tmp
11.11.2009  02:22            29.114 mod79.tmp
11.11.2009  02:22               955 mod78.tmp
10.11.2009  13:45            81.920 ~DF239C.tmp
09.11.2009  02:01            32.768 ~DF335B.tmp
08.11.2009  16:36                34 mod9A.tmp
08.11.2009  16:36               955 mod9B.tmp
08.11.2009  16:36            29.114 mod9C.tmp
07.11.2009  20:57               174 addonscheck.xml
07.11.2009  20:57            12.808 pcsuitecheck_new.xml
07.11.2009  18:23                 2 MMCULog2.txt
07.11.2009  17:16            16.527 adl_flash.log
07.11.2009  17:09                79 hash.bin
07.11.2009  15:39            19.997 NclRegPermissions(3).log
07.11.2009  15:39             7.978 NclRegPermissions(2).log
07.11.2009  15:38             2.192 NclRegPermissions(1).log
07.11.2009  02:29            81.920 ~DFF06A.tmp
07.11.2009  02:29            16.384 ~DFFC6C.tmp
06.11.2009  20:58            16.384 ~DF240A.tmp
06.11.2009  14:20            16.384 ~DFE061.tmp
06.11.2009  11:57            16.384 ~DF1FE4.tmp
06.11.2009  04:50                43 modEF.tmp
06.11.2009  04:07               955 modD3.tmp
06.11.2009  04:07            29.114 modD4.tmp
06.11.2009  04:07                34 modD2.tmp
06.11.2009  04:07            32.768 ~DF206C.tmp
06.11.2009  00:12            16.384 Perflib_Perfdata_74c.dat
06.11.2009  00:12            16.384 ~DF50C9.tmp
05.11.2009  18:49            81.920 ~DF475C.tmp
05.11.2009  18:49            16.384 ~DFFF0C.tmp
05.11.2009  17:52                34 mod39.tmp
05.11.2009  17:52            75.333 mod3E.tmp
05.11.2009  17:52               962 mod3D.tmp
05.11.2009  03:58            81.920 ~DFD545.tmp
05.11.2009  03:58            16.384 ~DFABF3.tmp
03.11.2009  17:56            16.384 ~DF89D8.tmp
03.11.2009  16:55            11.195 QTInstallCode.log
03.11.2009  16:55                85 SetupAdminF2C.log
02.11.2009  22:55               951 mod11B.tmp
02.11.2009  22:55            29.114 mod11C.tmp
02.11.2009  22:55                34 mod11A.tmp
02.11.2009  22:49            75.333 modE3.tmp
02.11.2009  22:49                34 modE1.tmp
02.11.2009  22:49               964 modE2.tmp
02.11.2009  22:49            81.920 ~DF1211.tmp
02.11.2009  22:48             4.352 qtplugin.log
02.11.2009  22:46            32.768 ~DF90CC.tmp
02.11.2009  22:46        21.604.456 aaxB7.tmp.exe
02.11.2009  22:21            29.114 mod99.tmp
02.11.2009  22:21               955 mod98.tmp
02.11.2009  22:21                34 mod97.tmp
02.11.2009  20:10            81.920 ~DF5408.tmp
02.11.2009  19:57            75.333 mod87.tmp
02.11.2009  19:57                34 mod85.tmp
02.11.2009  19:57               964 mod86.tmp
02.11.2009  18:28            16.384 Perflib_Perfdata_45c.dat
02.11.2009  18:24            16.384 ~DF9EFF.tmp
02.11.2009  08:21            16.384 ~DF1C7C.tmp
02.11.2009  02:02            81.920 ~DFF7F6.tmp
02.11.2009  02:02            16.384 ~DFE77E.tmp
02.11.2009  01:20            75.333 mod2C0.tmp
02.11.2009  01:20                34 mod2BE.tmp
02.11.2009  01:20               962 mod2BF.tmp
01.11.2009  22:06            16.384 ~DF10A9.tmp
01.11.2009  21:49            16.384 ~DF69BA.tmp
01.11.2009  21:45            81.920 ~DFB205.tmp
01.11.2009  19:42                34 mod10D.tmp
01.11.2009  19:42            29.114 mod10F.tmp
01.11.2009  19:42               953 mod10E.tmp
01.11.2009  14:52            81.920 ~DF6F1B.tmp
01.11.2009  14:31                34 mod67.tmp
01.11.2009  14:31            75.333 mod69.tmp
01.11.2009  14:31               964 mod68.tmp
01.11.2009  14:22            75.333 mod5F.tmp
01.11.2009  14:22                34 mod5D.tmp
01.11.2009  14:22               964 mod5E.tmp
31.10.2009  21:51            16.384 ~DF153.tmp
31.10.2009  21:51            16.384 ~DF8312.tmp
31.10.2009  20:18            28.588 AAX80.tmp
31.10.2009  20:18            25.500 AAX82.tmp
31.10.2009  13:51            81.920 ~DF53F3.tmp
31.10.2009  13:51            16.384 ~DF2C2E.tmp
30.10.2009  21:47            81.920 ~DF64D7.tmp
29.10.2009  13:46            81.920 ~DFB875.tmp
29.10.2009  13:46            16.384 ~DF6D21.tmp
28.10.2009  04:25            16.384 ~DF4466.tmp
27.10.2009  09:10            16.384 ~DF5FAF.tmp
26.10.2009  08:13            81.920 ~DFE5AC.tmp
26.10.2009  08:13            16.384 ~DFFD4C.tmp
26.10.2009  02:25                43 mod111.tmp
26.10.2009  01:34            29.114 modCC.tmp
26.10.2009  01:34               951 modCB.tmp
26.10.2009  01:34                34 modCA.tmp
25.10.2009  21:12            60.416 Teilnehmerliste Auswertungsseminar.doc
25.10.2009  04:00            16.384 ~DF70D1.tmp
24.10.2009  05:16            81.920 ~DFFEF1.tmp
24.10.2009  05:16            16.384 ~DF1D9A.tmp
24.10.2009  03:43            81.920 ~DFC8FA.tmp
24.10.2009  03:43            16.384 ~DFBEE0.tmp
23.10.2009  17:17            16.384 ~DF540D.tmp
23.10.2009  16:23               426 IMT26.xml
23.10.2009  16:23             2.036 IMT25.xml
23.10.2009  16:23           797.676 IMT27.xml
23.10.2009  14:55            16.384 ~DFF568.tmp
23.10.2009  14:54            16.384 ~DF1569.tmp
23.10.2009  07:23            81.920 ~DFAC29.tmp
23.10.2009  07:23            16.384 ~DF460C.tmp
23.10.2009  00:08            42.524 AAXD.tmp
22.10.2009  20:59            16.384 ~DFD40.tmp
22.10.2009  20:50            16.384 ~DF1E63.tmp
22.10.2009  20:19           251.104 hkeTemp2.tmp
22.10.2009  20:19         1.217.732 mp30409.w3d
22.10.2009  20:15           202.504 hkeTemp1.tmp
22.10.2009  20:15         1.229.732 mpb02080.w3d
22.10.2009  20:14            68.516 AAX40.tmp
22.10.2009  20:09         1.059.160 mpa02080.w3d
22.10.2009  20:09           195.948 hkeTemp0.tmp
22.10.2009  20:09            56.584 mp9909.w3d
22.10.2009  20:09         2.304.259 mpc02080.dcr
22.10.2009  20:09               420 mpa02080.ls
22.10.2009  20:09             1.409 tmp73F54.FOT
22.10.2009  20:09            42.524 AAX39.tmp
22.10.2009  19:46            43.292 AAX29.tmp
22.10.2009  19:45            43.292 AAX22.tmp
22.10.2009  13:58            16.384 ~DF764B.tmp
22.10.2009  03:52            81.920 ~DF5C6A.tmp
22.10.2009  03:52            16.384 ~DF7DE4.tmp
22.10.2009  02:15               461 mod3B.tmp
22.10.2009  02:15            75.333 mod3C.tmp
22.10.2009  02:15                34 mod3A.tmp
21.10.2009  23:47            16.384 ~DF631E.tmp
21.10.2009  23:46            16.384 Perflib_Perfdata_134.dat
21.10.2009  23:45            16.384 ~DF7CC4.tmp
21.10.2009  23:44            16.384 ~DFB057.tmp
21.10.2009  23:44            16.384 ~DFFC41.tmp
21.10.2009  23:44               426 IMT1D.xml
21.10.2009  23:44           797.676 IMT1E.xml
21.10.2009  23:44             2.036 IMT1C.xml
21.10.2009  23:44           797.676 IMT1A.xml
21.10.2009  23:44             2.036 IMT18.xml
21.10.2009  23:44               426 IMT19.xml
21.10.2009  15:23            16.384 ~DFAC21.tmp
21.10.2009  15:22            16.384 ~DF594D.tmp
21.10.2009  04:58            16.384 ~DF397D.tmp
20.10.2009  17:48            16.384 ~DF1AA5.tmp
20.10.2009  13:00            16.384 ~DF1BBD.tmp
20.10.2009  13:00            16.384 ~DF7BC2.tmp
20.10.2009  03:43            81.920 ~DF3DAA.tmp
20.10.2009  03:43            81.920 ~DF3EC3.tmp
20.10.2009  03:43            16.384 ~DF2A32.tmp
19.10.2009  08:15            16.384 ~DF3567.tmp
17.10.2009  12:38            16.384 ~DF491D.tmp
17.10.2009  12:38            16.384 ~DF3B0D.tmp
16.10.2009  22:41            16.384 ~DFF92C.tmp
16.10.2009  22:41            16.384 ~DF3312.tmp
16.10.2009  19:27            16.384 ~DF309A.tmp
16.10.2009  13:17            16.384 ~DFE7A6.tmp
16.10.2009  13:17            16.384 ~DF85B9.tmp
16.10.2009  03:06            16.384 ~DF54EB.tmp
15.10.2009  20:51            16.384 ~DF5FE8.tmp
15.10.2009  20:51            16.384 ~DF8534.tmp
15.10.2009  13:45            81.920 ~DF34CB.tmp
15.10.2009  13:44            16.384 ~DFF87B.tmp
14.10.2009  19:32            81.920 ~DF187B.tmp
14.10.2009  19:32            16.384 ~DF45CD.tmp
14.10.2009  14:01            81.920 ~DF3FDD.tmp
14.10.2009  13:20            75.333 mod16.tmp
14.10.2009  13:20               461 mod15.tmp
14.10.2009  13:20                34 mod14.tmp
14.10.2009  13:16            16.384 ~DF241F.tmp
14.10.2009  08:48            16.384 ~DF16B4.tmp
14.10.2009  02:51            16.384 ~DF5D84.tmp
14.10.2009  00:23            16.384 ~DF524D.tmp
13.10.2009  17:15            81.920 ~DFEE6E.tmp
13.10.2009  17:15            81.920 ~DF1CBE.tmp
13.10.2009  17:15           156.888 c245_appcompat.txt
13.10.2009  17:15            16.384 ~DFF927.tmp
12.10.2009  12:26            81.920 ~DF3905.tmp
12.10.2009  05:40                43 mod337.tmp
12.10.2009  04:55            75.333 mod332.tmp
12.10.2009  04:54               461 mod331.tmp
12.10.2009  04:54                34 mod330.tmp
12.10.2009  02:05            81.920 ~DF12E5.tmp
12.10.2009  01:34            75.333 mod25B.tmp
12.10.2009  01:34               459 mod25A.tmp
12.10.2009  01:34                34 mod259.tmp
11.10.2009  23:14                49 9335wrfiles.~lk
11.10.2009  23:14            71.680 GLBD1.tmp
11.10.2009  23:12                49 4100wrfiles.~lk
11.10.2009  23:09            71.680 GLBCB.tmp
11.10.2009  09:47            16.384 ~DF58F9.tmp
10.10.2009  20:40            16.384 ~DF6C14.tmp
10.10.2009  02:02            16.384 ~DF67D1.tmp
09.10.2009  23:34               136 temp0010
09.10.2009  22:14               136 temp0009
09.10.2009  22:03               136 temp0007
09.10.2009  22:03               168 temp0008
09.10.2009  05:53            81.920 ~DFA9C.tmp
09.10.2009  05:53            16.384 ~DF2620.tmp
08.10.2009  06:57            32.768 ~DF3BF3.tmp
08.10.2009  06:57            16.384 ~DF6C67.tmp
06.10.2009  19:42            16.384 ~DF4D9A.tmp
06.10.2009  19:42            16.384 ~DFE603.tmp
06.10.2009  19:07           917.505 PNX35.tmp
06.10.2009  14:55            16.384 ~DF963A.tmp
06.10.2009  14:55            16.384 ~DFF577.tmp
06.10.2009  14:54               426 IMT28.xml
06.10.2009  14:54           797.676 IMT29.xml
06.10.2009  04:29            32.768 ~DFF76C.tmp
06.10.2009  04:29            16.384 ~DF292D.tmp
06.10.2009  01:04        21.131.992 aax228.tmp.exe
05.10.2009  23:18               184 temp0006
05.10.2009  23:18               243 temp0005
05.10.2009  23:18               136 temp0004
05.10.2009  22:51            24.668 AAX1F0.tmp
05.10.2009  22:38            37.432 AAX1DE.tmp
03.10.2009  15:37            32.768 ~DFFBC.tmp
03.10.2009  15:37            16.384 ~DF9EA4.tmp
03.10.2009  08:49                43 mod34.tmp
03.10.2009  06:55            22.432 mod33.tmp
03.10.2009  06:55                34 mod31.tmp
03.10.2009  06:55               399 mod32.tmp
02.10.2009  21:34            16.384 ~DF1684.tmp
02.10.2009  19:34            16.384 ~DFC215.tmp
02.10.2009  15:30            16.384 ~DF74A3.tmp
01.10.2009  07:04            16.384 ~DF1C8.tmp
30.09.2009  16:05            30.400 AAX59.tmp
30.09.2009  16:05            61.912 AAX56.tmp
30.09.2009  15:47            34.756 AAX3F.tmp
30.09.2009  15:46         2.960.722 mpa03772
30.09.2009  15:46            16.384 ~DF65EC.tmp
30.09.2009  15:45            23.854 mpb03772.w32
30.09.2009  03:13            16.384 ~DFED66.tmp
29.09.2009  22:47               136 temp0003
29.09.2009  20:40            16.384 ~DFB0D3.tmp
29.09.2009  20:38            32.396 AAX1E.tmp
29.09.2009  20:38             1.409 tmp25987.FOT
29.09.2009  20:38             1.409 tmp77887.FOT
29.09.2009  20:38            31.064 AAX20.tmp
29.09.2009  20:38             4.811 mp32199.jpg
29.09.2009  20:35             8.454 mpd03964.jpg
29.09.2009  20:35             8.626 mpb03964
29.09.2009  20:34            32.117 mp26073.swf
29.09.2009  20:34             3.599 mpb03964.jpg
29.09.2009  20:34             8.626 mpc03964
29.09.2009  20:34            32.117 mpb03964.swf
29.09.2009  20:34             8.626 mpa03964
29.09.2009  16:04            16.384 ~DF3BF5.tmp
29.09.2009  15:43            16.384 ~DF1AAB.tmp
29.09.2009  15:36            16.384 ~DF361.tmp
29.09.2009  15:35            16.384 ~DF591C.tmp
29.09.2009  12:34            16.384 ~DFA59F.tmp
29.09.2009  12:34            16.384 ~DF4FC7.tmp
29.09.2009  07:37            16.384 ~DFE255.tmp
29.09.2009  07:36            16.384 ~DF6EFD.tmp
28.09.2009  19:15            16.384 ~DF505B.tmp
28.09.2009  19:15           584.225 mpb02540.w3d
28.09.2009  19:15            16.384 ~DF1E7.tmp
28.09.2009  19:01            37.436 AAX5E.tmp
28.09.2009  19:01               420 mpb02540.ls
28.09.2009  19:01            13.528 AAX5C.tmp
28.09.2009  19:01             1.409 tmpB8820.FOT
28.09.2009  19:01         2.138.323 mpd02540.dcr
28.09.2009  19:01            30.184 AAX5A.tmp
28.09.2009  19:01            31.492 AAX58.tmp
28.09.2009  19:01            35.404 AAX54.tmp
28.09.2009  19:01         2.022.406 mpc02540.dcr
28.09.2009  18:59             4.811 mpc02540.jpg
28.09.2009  18:59             8.626 mpa02540
28.09.2009  14:03            16.384 ~DFE766.tmp
28.09.2009  12:25            16.384 ~DFDFD4.tmp
28.09.2009  11:45            16.384 ~DFFDD0.tmp
25.09.2009  22:40            16.384 ~DF6DDB.tmp
25.09.2009  21:09            81.920 ~DFB1D0.tmp
25.09.2009  21:09            16.384 ~DF783A.tmp
25.09.2009  14:25            17.396 AAX9A.tmp
25.09.2009  05:46            16.384 ~DFC0D.tmp
25.09.2009  05:46            16.384 ~DFDB76.tmp
25.09.2009  01:31            16.384 ~DF18D7.tmp
25.09.2009  01:31            16.384 ~DF39D3.tmp
24.09.2009  17:58            16.384 ~DF1941.tmp
24.09.2009  16:20            16.384 ~DF5B47.tmp
24.09.2009  12:49            16.384 ~DFD13.tmp
24.09.2009  10:45            16.384 ~DFF30B.tmp
23.09.2009  18:51            10.756 MPCB.tmp
23.09.2009  18:50               426 IMT39.xml
23.09.2009  18:50             2.036 IMT38.xml
23.09.2009  18:50           797.676 IMT3A.xml
23.09.2009  17:39            16.384 ~DF64C7.tmp
22.09.2009  19:17            16.384 ~DFEBAD.tmp
22.09.2009  18:13            16.384 ~DF83A7.tmp
22.09.2009  13:34            16.384 ~DF46E5.tmp
22.09.2009  13:34            16.384 ~DF4BEE.tmp
21.09.2009  20:34            16.384 ~DF141B.tmp
21.09.2009  18:43            81.920 ~DF74FD.tmp
21.09.2009  18:43            16.384 ~DFBD56.tmp
21.09.2009  14:28            16.384 ~DFC60C.tmp
21.09.2009  13:38            81.920 ~DFD9D4.tmp
21.09.2009  13:38            16.384 ~DFF5AF.tmp
25.07.2009  23:18        24.879.678 DETemp384Gd78Sjke78Jks75.dat

             346 Datei(en)     98.142.820 Bytes
               0 Verzeichnis(se),  1.530.888.192 Bytes frei
         

Ergebnis CCleaner:

Code:
ATTFilter
Acer Arcade
Acer eDataSecurity Management 1.00.23
Acer eLock Management
Acer Empowering Technology framework
Acer eNet Management
Acer ePerformance Management
Acer ePower Management
Acer ePresentation Management
Acer eSettings Management
Acer GridVista
Acer Screensaver
Adobe Flash Player 10 Plugin
Adobe Reader 7.0
Adobe Shockwave Player 11.5
Apple Application Support
Apple Mobile Device Support
Apple Software Update
Avira AntiVir Personal - Free Antivirus
Bonjour
CCleaner
Cisco Systems VPN Client 5.0.05.0290
Deutsch (Islamwissenschaft) 2
Die Gilde 2
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
Google Earth
Google Updater
Grand Theft Auto
GTA2
HDAUDIO Soft Data Fax Modem with SmartCP
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Intel(R) Graphics Media Accelerator Driver
Intel(R) PROSet/Wireless Software
iTunes
Launch Manager
Learn2 Player (Uninstall Only)
Malwarebytes' Anti-Malware
Medal of Honor Allied Assault
Medal of Honor Allied Assault(tm) Breakthrough
Medal of Honor Allied Assault(tm) Spearhead
Mediacenter
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft User-Mode Driver Framework Feature Pack 1.7
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.0.15)
MSXML 4.0 SP2 (KB954430)
Nokia Connectivity Cable Driver
Nokia PC Suite
Nokia Software Updater
NTI Backup NOW! 4
NTI CD & DVD-Maker
OpenOffice.org 3.0
PC Connectivity Solution
PDFCreator
PowerProducer
QuickTime
RealPlayer
Realtek High Definition Audio Driver
Security Update for Windows Search 4 - KB963093
Skies of War
Skype™ 3.8
SWAT 4
SWAT 4 - THE STETCHKOV SYNDICATE
Sweepi 5.4.00
Synaptics Pointing Device Driver
Viewpoint Media Player
VLC media player 1.0.1
Winamp
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
Windows Search 4.0
Windows XP Service Pack 3
Windows-Treiberpaket - Nokia Modem  (06/01/2009 4.1)
Windows-Treiberpaket - Nokia Modem  (06/01/2009 7.01.0.3)
Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)
WinRAR
         
diese Scans sind alle nach der Löschung des Trojaners und des Viruses entstanden.

Ich weiß auch wo und wie ich mir den Virus eingefangen habe vielleicht hilft dir das weiter:

Ich poste hier kein Link um niemanden zu gefährden:

und zwar wurde mir von einem Freund ein Link über Facebook zu einem Video geschickt, welches auch angeblich in Facebook selbst gepostet wurde. Diese Nachricht wurde allerdings von einem Virus, den mein Freund sich (wie auch immer) zugezogen hat verschickt. Nur das öffnen dieses Linkes reichte um den Virus zu zu ziehen. Ich weiß nicht was passiert wäre, wenn ich noch den angeblichen Adobe Flashplayer heruntergeladen hätte...

Danke noch mal

lucki


Alt 15.11.2009, 21:00   #6
kira
/// Helfer-Team
 
Trojaner erfolgreich entfernt? - Standard

Trojaner erfolgreich entfernt?



hi

ja, die Infektionsweg mit KoobFace ist mir bekannt

1.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
  • `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
  • `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
  • für jedes Benutzerkonto bitte durchführen
  • anschließend den Papierkorb leeren

2.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

3.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

4.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
um die neueste Version von Adobe zu erhalten klick hier: Adobe Reader

5.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Alt 16.11.2009, 02:01   #7
lucki1985
 
Trojaner erfolgreich entfernt? - Standard

Trojaner erfolgreich entfernt?



SUPERAntiSpyware Protokoll:

Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 11/16/2009 at 02:34 AM

Application Version : 4.30.1004

Core Rules Database Version : 4275
Trace Rules Database Version: 2154

Scan type       : Complete Scan
Total Scan Time : 00:49:02

Memory items scanned      : 736
Memory threats detected   : 0
Registry items scanned    : 5433
Registry threats detected : 28
File items scanned        : 19941
File threats detected     : 1

Adware.IWantSearchBar
	HKLM\Software\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
	HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
	HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
	HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32
	HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32#ThreadingModel
	HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\ProgID
	HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\Programmable
	HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\TypeLib
	HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\VersionIndependentProgID
	HKCR\ToolBand.ToolBandObj.1
	HKCR\ToolBand.ToolBandObj.1\CLSID
	HKCR\ToolBand.ToolBandObj
	HKCR\ToolBand.ToolBandObj\CLSID
	HKCR\ToolBand.ToolBandObj\CurVer
	HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}
	HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0
	HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0
	HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0\win32
	HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\FLAGS
	HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\HELPDIR
	C:\WINDOWS\SYSTEM32\TOOLBAND.DLL
	HKU\S-1-5-21-4179632069-3248521643-2659511486-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
	HKLM\Software\Microsoft\Internet Explorer\Toolbar#{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
	HKU\S-1-5-21-4179632069-3248521643-2659511486-1006\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser#{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
	HKCR\Interface\{95B92D92-8B7D-4A19-A3F1-43113B4DBCAF}
	HKCR\Interface\{95B92D92-8B7D-4A19-A3F1-43113B4DBCAF}\ProxyStubClsid
	HKCR\Interface\{95B92D92-8B7D-4A19-A3F1-43113B4DBCAF}\ProxyStubClsid32
	HKCR\Interface\{95B92D92-8B7D-4A19-A3F1-43113B4DBCAF}\TypeLib
	HKCR\Interface\{95B92D92-8B7D-4A19-A3F1-43113B4DBCAF}\TypeLib#Version
         
Und dann noch eine Frage:

hast du was Verdächtiges entdeckt auf meinen letzten Logs?

Schei.... gerade wie ich dir das poste kommt eine neue Warnung von Antivir... ich gehe nie auf komische Seiten und bin immer verdammt vorsichtig jetzt meldet mir Antivir:

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\xwr5hdra.default\Cache\BCC3F75Cd01'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.ayed.2' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Mist ich hatte noch nie Probleme mit Malware oder sonst was und jetzt kommt alles auf ein Mal!!! Was sagst du zum Thema System neu aufsetzen?

Wobei wiederum die gefundene Datei nicht mehr da ist.... nach dem ich sie mit Antivir gelöscht habe.

Den Online Kaspersky lasse ich über nacht jetzt laufen den Bericht schicke ich dir dann morgen. Vielen Dank

Alt 16.11.2009, 08:52   #8
lucki1985
 
Trojaner erfolgreich entfernt? - Standard

Trojaner erfolgreich entfernt?



Und hier Kaspersky hat aber nichts gefunden:

Code:
ATTFilter
Monday, November 16, 2009
Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Monday, November 16, 2009 01:15:56
Records in database: 3220168
Scan settings
scan using the following database 	extended
Scan archives 	yes
Scan e-mail databases 	yes
Scan area 	My Computer
C:\
D:\
E:\
Scan statistics
Objects scanned 	114007
Threats found 	0
Infected objects found 	0
Suspicious objects found 	0
Scan duration 	03:55:52

No threats found. Scanned area is clean.
Selected area has been scanned.
         

Alt 18.11.2009, 08:27   #9
kira
/// Helfer-Team
 
Trojaner erfolgreich entfernt? - Standard

Trojaner erfolgreich entfernt?



Zitat:
Zitat von lucki1985 Beitrag anzeigen
Was sagst du zum Thema System neu aufsetzen?
ich halte sehr viel... schnell & sicher. Damit kann man sich auf einen Schlag alle Probleme besetigen und eine aufwändige, langwierige Prozedur ersparen. Genau gesagt wieder ohne ein mulmiges Bauchgefühl surfen und ein *Fit System* genießen können

Antwort

Themen zu Trojaner erfolgreich entfernt?
action, antivir, backdoor, backdoor trojaner, brauch, einfach, entfern, entferne, entfernen, entfernt, entfernt?, erfolgreich, ergebnis, hijack, hijack log, installier, installiert, koobface.trace, log, malwarebytes, nichts, reich, scan, schei, troja, trojan.buzus, trojaner, windows, worte



Ähnliche Themen: Trojaner erfolgreich entfernt?


  1. Bikiniland Trojaner erfolgreich entfernt?
    Log-Analyse und Auswertung - 12.02.2015 (9)
  2. Windows 7 & BKA Trojaner 1.18 -> Nur teilweise erfolgreich entfernt
    Plagegeister aller Art und deren Bekämpfung - 03.02.2015 (5)
  3. BKA Trojaner erfolgreich entfernt ! Langsames Hochfahren und Spiel nicht mehr Spielbar!
    Plagegeister aller Art und deren Bekämpfung - 01.12.2012 (0)
  4. GVU erfolgreich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (5)
  5. Bundespolizei-Trojaner erfolgreich(?) entfernt mit MalwareB. l Echtzeitschutz nicht mehr aktivierbar
    Plagegeister aller Art und deren Bekämpfung - 21.08.2012 (31)
  6. GVU Trojaner erfolgreich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (9)
  7. GVU-Trojaner erfolgreich entfernt?! Und jetzt?!
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (2)
  8. Windows Update Trojaner erfolgreich entfernt, viele Dateien sind gesperrt, was nun ?
    Log-Analyse und Auswertung - 16.06.2012 (3)
  9. Bundespolizei Trojaner entfernt - Systembereinigung erfolgreich?
    Log-Analyse und Auswertung - 28.08.2011 (43)
  10. AntiVir meldete verschiedene Trojaner - habe ich sie erfolgreich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 13.12.2010 (19)
  11. ICQ Virus erfolgreich entfernt ?
    Plagegeister aller Art und deren Bekämpfung - 04.06.2010 (2)
  12. trojaner, erfolgreich entfernt?
    Log-Analyse und Auswertung - 10.01.2010 (7)
  13. Keylogger erfolgreich entfernt??
    Log-Analyse und Auswertung - 14.10.2009 (4)
  14. Trojaner und Rootkit erfolgreich entfernt???
    Log-Analyse und Auswertung - 24.03.2009 (0)
  15. Trojaner erfolgreich entfernt (wenn auch sehr mühsam)
    Log-Analyse und Auswertung - 23.01.2006 (2)
  16. IRC Trojan - Erfolgreich entfernt ?
    Log-Analyse und Auswertung - 04.12.2005 (2)
  17. Trojaner drop.agent erfolgreich entfernt? Hijack Logfile
    Log-Analyse und Auswertung - 08.05.2005 (7)

Zum Thema Trojaner erfolgreich entfernt? - Hallo an alle Malwarejäger! Ich habe/hatte einen Trojaner auf meinem Rechner. Das war das Ergebnis von Malwarebytes: C:\WINDOWS\ld15.exe (Trojan.Buzus) -> No action taken. C:\WINDOWS\010112010146116101.xxe (KoobFace.Trace) -> No action taken. C:\WINDOWS\0101120101465155.xxe - Trojaner erfolgreich entfernt?...
Archiv
Du betrachtest: Trojaner erfolgreich entfernt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.