Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Security Tool

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.11.2009, 19:53   #1
chillie
 
Security Tool - Standard

Security Tool



Hallo
ich hab dieses komische Security Tool auf meinem Laptop gehabt. Malwarebytes hat es gelöscht. Ist jetzt alles Gefährliche von meinem PC weg? Und die Sachen, die es angeblich gefunden hat, sind die auch weg? Könnt ihr mir helfen? Der Computer ist ganz langsam, das ist doch sicher auch nicht normal, oder?
Danke im Voraus und viele Grüße!


Code:
ATTFilter
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3179
Windows 5.1.2600 Service Pack 3

25.11.2009 22:24:55
mbam-log-2009-11-25 (22-24-55).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 99757
Laufzeit: 6 minute(s), 0 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
C:\WINDOWS\Temp\tunder.exe (Trojan.Dropper) -> Unloaded process successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\92309124\92309124.exe (Rogue.SecurityTool) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\92309124 (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\92309124 (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\92309124\92309124.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tunder.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Startmenü\Programme\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
         

Alt 27.11.2009, 20:04   #2
Angel21
 
Security Tool - Standard

Security Tool



Hallo &

Starte RSIT wie in der Anleitung beschrieben. Poste erstmal nur die LOG.TXT.

Danach starte mir bitte GMER Rootkit Suche - Das Log hier her.
__________________

__________________

Alt 27.11.2009, 20:14   #3
chillie
 
Security Tool - Standard

Security Tool



Hi,
vielen Dank fürs prompte Antworten! Ich wollte das gerade eben noch reinstellen!

Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by user01 at 2009-11-27 20:54:31
Microsoft Windows XP Professional Service Pack 3
System drive C: has 172 GB (75%) free of 229 GB
Total RAM: 2813 MB (80% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:54:56, on 27.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Fingerprint Sensor\AtService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ActivIdentity\ActivClient\accoca.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\DWRCS.exe
C:\Programme\WinTV\TVServer\HauppaugeTVServer.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\AccelerometerSt.Exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ActivIdentity\ActivClient\accrdsub.exe
C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\ActivIdentity\ActivClient\acevents.exe
C:\Programme\WinTV\WinTV7\WinTVTray.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\DWRCST.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\Dokumente und Einstellungen\user01\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\user01.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.Exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [accrdsub] "C:\Programme\ActivIdentity\ActivClient\accrdsub.exe"
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [WHITNEY_S2P] C:\Programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VPN Client.lnk = ?
O4 - Global Startup: WinTV Recording Status..lnk = C:\Programme\WinTV\WinTV7\WinTVTray.exe
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: APSHook.dll
O20 - Winlogon Notify: ackpbsc - C:\WINDOWS\system32\ackpbsc.dll
O20 - Winlogon Notify: acunlock - C:\Programme\ActivIdentity\ActivClient\acunlock.dll
O20 - Winlogon Notify: OneCard - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O23 - Service: ActivClient Middleware Service (accoca) - ActivIdentity - C:\Programme\ActivIdentity\ActivClient\accoca.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AuthenTec Fingerprint Service (ATService) - AuthenTec, Inc. - C:\Programme\Fingerprint Sensor\AtService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\system32\DWRCS.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\Programme\WinTV\TVServer\HauppaugeTVServer.exe
O23 - Service: HP ProtectTools Service - Hewlett-Packard Development Company, L.P - C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - C:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: Remoteprozeduraufruf (RPC) RpcSsCiSvc (RpcSsCiSvc) - Unknown owner - C:\WINDOWS\system32\acbsi21v.exe

--
End of file - 9424 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DF21F1DB-80C6-11D3-9483-B03D0EC10000}]
Credential Manager for HP ProtectTools - C:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll [2008-06-02 58128]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"=C:\Programme\Analog Devices\Core\smax4pnp.exe [2008-04-04 1044480]
"SoundMAX"=C:\Programme\Analog Devices\SoundMAX\Smax4.exe [2008-03-24 884736]
"AccelerometerSysTrayApplet"=C:\WINDOWS\system32\AccelerometerSt.Exe [2008-06-09 82224]
"StartCCC"=C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2008-01-21 61440]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2008-03-27 1040384]
""= []
"accrdsub"=C:\Programme\ActivIdentity\ActivClient\accrdsub.exe [2007-05-15 293168]
"PTHOSTTR"=C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE [2008-06-10 238896]
"CognizanceTS"=C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll [2008-06-02 24848]
"QlbCtrl.exe"=C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe [2008-05-14 177456]
"FreePDF Assistant"=C:\Programme\FreePDF_XP\fpassist.exe [2008-07-22 357376]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_07\bin\jusched.exe [2008-06-10 144784]
"WHITNEY_S2P"=C:\Programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe [2005-02-15 69632]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2007-10-19 286720]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
" Malwarebytes Anti-Malware  (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]
"Skype"=C:\Programme\Skype\Phone\Skype.exe [2008-11-18 21633320]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE
VPN Client.lnk - C:\WINDOWS\Installer\{F3C1DE9E-5E16-4BA9-B854-7B53A45E3579}\Icon3E5562ED7.ico
WinTV Recording Status..lnk - C:\Programme\WinTV\WinTV7\WinTVTray.exe

C:\Dokumente und Einstellungen\user01\Startmenü\Programme\Autostart
OpenOffice.org 3.0.lnk - C:\Programme\OpenOffice.org 3\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="APSHook.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ackpbsc]
C:\WINDOWS\system32\ackpbsc.dll [2007-05-15 112640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acunlock]
C:\Programme\ActivIdentity\ActivClient\acunlock.dll [2007-05-15 281088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2008-05-15 131072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\OneCard]
C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll [2008-06-02 112400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"notification packages"=scecli
ASWLNPkg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Graphisoft\ArchiCAD 12\ArchiCAD.exe"="C:\Programme\Graphisoft\ArchiCAD 12\ArchiCAD.exe:*:Enabled:ArchiCAD 12.0.0 Component"
"C:\Programme\Graphisoft\ArchiCAD 11\ArchiCAD.exe"="C:\Programme\Graphisoft\ArchiCAD 11\ArchiCAD.exe:*:Enabled:ArchiCAD 11.0.0 Component"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8f50ad20-aac2-11de-8d45-0022646bcd20}]
shell\AutoRun\command - G:\LaunchU3.exe -a
         
__________________

Alt 27.11.2009, 20:15   #4
chillie
 
Security Tool - Standard

Security Tool



Das ist der zweite Teil, der hat oben nicht mehr reingepasst.
Jetzt muss ich das noch mit dem Gmer schauen.

Code:
ATTFilter
======List of files/folders created in the last 1 months======

2009-11-25 22:46:45 ----HDC---- C:\WINDOWS\$NtUninstallKB976098-v2$
2009-11-25 22:46:42 ----A---- C:\WINDOWS\imsins.BAK
2009-11-25 22:46:35 ----HDC---- C:\WINDOWS\$NtUninstallKB973687$
2009-11-17 21:23:32 ----A---- C:\Programme\Firefox Setup 3.5.5.exe
2009-11-13 09:25:04 ----D---- C:\rsit
2009-11-12 15:52:50 ----D---- C:\Programme\CCleaner
2009-11-12 15:49:51 ----A---- C:\Programme\ccsetup225.exe
2009-11-12 13:30:37 ----HDC---- C:\WINDOWS\$NtUninstallKB969947$
2009-11-02 19:56:59 ----D---- C:\Dokumente und Einstellungen\user01\Anwendungsdaten\Malwarebytes
2009-11-02 19:56:49 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-11-02 19:56:49 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-02 19:55:37 ----A---- C:\Programme\mbam-setup.exe
2009-11-02 19:29:38 ----D---- C:\Programme\Trend Micro
2009-11-02 19:28:53 ----A---- C:\Programme\HijackThis.exe
2009-11-02 19:28:30 ----A---- C:\Programme\HijackThisInstaller.exe
2009-11-01 14:23:32 ----A---- C:\Programme\install_flash_player.exe

======List of files/folders modified in the last 1 months======

2009-11-27 20:34:21 ----D---- C:\Dokumente und Einstellungen\user01\Anwendungsdaten\U3
2009-11-27 20:20:16 ----D---- C:\WINDOWS\Temp
2009-11-27 20:18:52 ----D---- C:\Programme\Mozilla Firefox
2009-11-27 20:16:18 ----D---- C:\WINDOWS\system32\CatRoot2
2009-11-26 23:18:41 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-11-26 23:17:33 ----D---- C:\Dokumente und Einstellungen\user01\Anwendungsdaten\vlc
2009-11-26 07:56:36 ----D---- C:\WINDOWS
2009-11-26 07:55:29 ----D---- C:\WINDOWS\system32
2009-11-25 22:46:50 ----HD---- C:\WINDOWS\inf
2009-11-25 22:46:38 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-11-25 22:46:15 ----HD---- C:\WINDOWS\$hf_mig$
2009-11-25 22:46:08 ----SHD---- C:\WINDOWS\Installer
2009-11-25 22:46:07 ----D---- C:\WINDOWS\WinSxS
2009-11-25 22:46:04 ----D---- C:\WINDOWS\Prefetch
2009-11-24 14:31:54 ----D---- C:\Dokumente und Einstellungen\user01\Anwendungsdaten\Skype
2009-11-21 18:46:57 ----D---- C:\Dokumente und Einstellungen\user01\Anwendungsdaten\skypePM
2009-11-17 21:26:26 ----RD---- C:\Programme
2009-11-13 21:43:23 ----D---- C:\Dokumente und Einstellungen\user01\Anwendungsdaten\.purple
2009-11-13 10:02:43 ----D---- C:\Programme\PidginAspell
2009-11-13 09:52:38 ----D---- C:\Programme\WinTV
2009-11-13 09:52:36 ----A---- C:\WINDOWS\Irremote.ini
2009-11-13 08:24:32 ----D---- C:\WINDOWS\Help
2009-11-12 15:58:44 ----D---- C:\WINDOWS\Debug
2009-11-06 08:50:30 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-11-05 18:36:21 ----A---- C:\WINDOWS\system32\MRT.exe
2009-11-02 19:56:52 ----D---- C:\WINDOWS\system32\drivers
2009-11-02 19:31:58 ----A---- C:\WINDOWS\ODBC.INI
2009-10-28 16:07:15 ----N---- C:\WINDOWS\system32\tzchange.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdPPM;AMD HwPState Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdPPM.sys [2007-04-16 33792]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 RsvLock;RsvLock; C:\WINDOWS\system32\drivers\RsvLock.sys [2008-06-05 12496]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-14 8832]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-08-05 55656]
R2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys []
R2 DgiVecp;Team MFP Comm Driver; C:\WINDOWS\System32\Drivers\DgiVecp.sys [2005-07-06 41984]
R3 Accelerometer;HP Accelerometer; C:\WINDOWS\system32\DRIVERS\Accelerometer.sys [2008-05-23 28592]
R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\ADIHdAud.sys [2008-04-11 338944]
R3 AEAudio;AE Audio Service; C:\WINDOWS\system32\drivers\AEAudio.sys [2007-07-13 94976]
R3 AgereSoftModem;Agere Systems Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2008-02-29 1202560]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-14 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2008-05-16 2881536]
R3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver; C:\WINDOWS\System32\Drivers\ATSwpWDF.sys [2008-05-15 475520]
R3 b57w2k;Broadcom NetLink (TM) Gigabit Ethernet; C:\WINDOWS\system32\DRIVERS\b57xp32.sys [2007-11-29 163328]
R3 BTKRNL;Bluetooth-Bus-Enumerator; C:\WINDOWS\system32\DRIVERS\btkrnl.sys [2008-05-14 879624]
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-14 13952]
R3 DNE;Deterministic Network Enhancer Miniport; C:\WINDOWS\system32\DRIVERS\dne2000.sys [2008-08-28 131856]
R3 HBtnKey;HBtnKey; C:\WINDOWS\system32\DRIVERS\cpqbttn.sys [2008-04-28 9344]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 HpqKbFiltr;HpqKbFilter Driver; C:\WINDOWS\system32\DRIVERS\HpqKbFiltr.sys [2007-06-18 16768]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 SNP2UVC;USB2.0 PC Camera (SNP2UVC); C:\WINDOWS\system32\DRIVERS\snp2uvc.sys [2008-04-10 1804160]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2008-03-27 224672]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
R3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2006-11-02 492000]
S3 BCM43XX;Treiber für Broadcom 802.11-Netzwerkadapter; C:\WINDOWS\system32\DRIVERS\bcmwl5.sys [2008-12-12 1287552]
S3 BTWUSB;WIDCOMM USB Bluetooth Driver; C:\WINDOWS\System32\Drivers\btwusb.sys [2008-05-14 74688]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-14 17024]
S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2007-01-18 5275]
S3 hcw17bda;Hauppauge SMS1000-based; C:\WINDOWS\system32\drivers\hcw17bda.sys [2008-12-11 45824]
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-13 15232]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-14 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-14 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-14 10880]
S3 SCR3XX2K;SCR3xx USB SmartCardReader; C:\WINDOWS\system32\DRIVERS\SCR3XX2K.sys [2007-06-21 56448]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-14 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-14 15232]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 usbvideo;USB-Videogerät (WDM); C:\WINDOWS\System32\Drivers\usbvideo.sys [2008-04-14 121984]
S3 vsdatant;vsdatant; \??\C:\WINDOWS\system32\vsdatant.sys []
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200]
S4 atapi;atapi; C:\WINDOWS\system32\drivers\atapi.sys [2008-04-14 96512]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 accoca;ActivClient Middleware Service; C:\Programme\ActivIdentity\ActivClient\accoca.exe [2007-05-15 182576]
R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\WINDOWS\system32\agrsmsvc.exe [2007-12-11 12800]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 ASBroker;Logon Session Broker; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 ASChannel;Lokaler Verbindungskanal; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2008-05-15 540672]
R2 ATService;AuthenTec Fingerprint Service; C:\Programme\Fingerprint Sensor\AtService.exe [2008-05-15 1176824]
R2 btwdins;Bluetooth Service; C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe [2008-05-12 264800]
R2 CVPND;Cisco Systems, Inc. VPN Service; C:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2009-01-13 1528608]
R2 DWMRCS;DameWare Mini Remote Control; C:\WINDOWS\system32\DWRCS.exe [2007-10-30 225792]
R2 HauppaugeTVServer;HauppaugeTVServer; C:\Programme\WinTV\TVServer\HauppaugeTVServer.exe [2009-04-01 442368]
R2 HpFkCryptService;Drive Encryption Service; C:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe [2008-06-05 256512]
R3 Com4QLBEx;Com4QLBEx; C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-04-03 193840]
R3 hpqwmiex;hpqwmiex; C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe [2008-04-16 165192]
S2 HP ProtectTools Service;HP ProtectTools Service; C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe [2008-06-10 18944]
S2 RpcSsCiSvc;Remoteprozeduraufruf (RPC) RpcSsCiSvc; C:\WINDOWS\system32\acbsi21v.exe [2008-04-14 63488]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------
         

Alt 27.11.2009, 20:26   #5
Angel21
 
Security Tool - Standard

Security Tool



In dem RSIT Logfile scheint nichts auffälliges zu sein, aber warten wir nochmal GMER ab.

__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 27.11.2009, 21:59   #6
chillie
 
Security Tool - Standard

Security Tool



Hier ist das Log von GMER. Ich hoffe, ich habe alles richtig gemacht! Avira hab ich vorher ausgeschaltet.


Code:
ATTFilter
GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-11-27 22:48:30
Windows 5.1.2600 Service Pack 3
Running: s3w0mqni.exe; Driver: C:\DOKUME~1\user01\LOKALE~1\Temp\pwldqpow.sys


---- System - GMER 1.0.15 ----

SSDT            F7AFFCEE                                                                                                                        ZwCreateKey
SSDT            F7AFFCE4                                                                                                                        ZwCreateThread
SSDT            F7AFFCF3                                                                                                                        ZwDeleteKey
SSDT            F7AFFCFD                                                                                                                        ZwDeleteValueKey
SSDT            F7AFFD02                                                                                                                        ZwLoadKey
SSDT            F7AFFCD0                                                                                                                        ZwOpenProcess
SSDT            F7AFFCD5                                                                                                                        ZwOpenThread
SSDT            F7AFFD0C                                                                                                                        ZwReplaceKey
SSDT            F7AFFD07                                                                                                                        ZwRestoreKey
SSDT            F7AFFCF8                                                                                                                        ZwSetValueKey
SSDT            F7AFFCDF                                                                                                                        ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?               C:\WINDOWS\system32\drivers\SafeBoot.sys                                                                                        Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text           C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                                        section is writeable [0xA9092000, 0x18A386, 0xE8000020]

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[2160] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]            [012F2BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[2160] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter]  [012F2CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[2160] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess]          [012F2CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)

---- Devices - GMER 1.0.15 ----

Device                                                                                                                                          Ntfs.sys (NT File System Driver/Microsoft Corporation)
Device                                                                                                                                          Fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                         SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device                                                                                                                                          mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)

AttachedDevice                                                                                                                                  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device                                                                                                                                          Cdfs.SYS (CD-ROM File System Driver/Microsoft Corporation)
Device          \Driver\00002089 -> \Driver\ahcix86 \Device\Harddisk0\DR0                                                                       8A27A50C

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\system32\drivers\ahcix86.sys                                                                                         suspicious modification

---- EOF - GMER 1.0.15 ----
         

Alt 28.11.2009, 19:52   #7
Angel21
 
Security Tool - Standard

Security Tool



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!


Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

[HTML]
Code:
ATTFilter
 Hier das Logfile rein!
         
[/HTML)
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 29.11.2009, 13:29   #8
chillie
 
Security Tool - Standard

Security Tool



Hi Angel21,
ich habe Combofix durchgeführt! Erfolgreich?
Combofix ist aber nicht so gelaufen, wie in der Anleitung beschrieben. Ich hab es ja unter smss.exe gespeichert und dann gestartet. Mein Ventilator lief die ganze Zeit schon sehr stark und auf einmal wurde er ganz leise, hat sozusagen aufgehört zu "pusten" (Ist das ein Zeichen dafür, dass sich da vielleicht ein Virus vor Combofix versteckt hat). Dann hat sich smss.exe selbst wieder in Combofix.exe umbenannt und dann kam eine Meldung, dass ein Neustart erforderlich wäre wegen Rootkitaktivität. Nach dem Neustart kam erstmal kein richtiges Desktopbild und Combofix ist normal weitergelaufen. Dann hat er nochmal neugestartet und hat ein Log erstellt. Man sollte keine Programme öffnen, aber Avira und Skype haben sich automatisch wieder gestartet. Hoffentlich war das alles nicht so schlimm?!
Combofix hat gesagt, er hat 3 Sachen aus System32 gelöscht. Was ist das System 32 eigentlich?
Kannst du erkennen, was ich auf dem Computer habe? Woher weisst du, wie man so was erkennt aus einem Logfile und was man tun muss um einen Virus oder Trojaner zu entfernen?
Vielen Dank für die Hilfe! Das ist sehr nett von dir!
viele Grüße



HTML-Code:
[CODE]ComboFix 09-11-28.03 - user01 29.11.2009 13:50.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2813.2062 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\user01\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\3814300101.dat
c:\windows\system32\acbsi21v.exe
c:\windows\system32\oem23.inf

Infizierte Kopie von c:\windows\system32\DRIVERS\ahcix86.sys wurde gefunden und desinfiziert 
Kopie von - Kitty ate it :p wurde wiederhergestellt 
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RPCSSCISVC
-------\Service_RpcSsCiSvc


(((((((((((((((((((((((   Dateien erstellt von 2009-10-28 bis 2009-11-29  ))))))))))))))))))))))))))))))
.

2009-11-29 12:35 . 2009-11-29 12:37	--------	d-----w-	C:\32788R22FWJFW
2009-11-28 12:28 . 2009-11-28 12:28	57344	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SP\sp.DLL
2009-11-28 12:28 . 2009-11-28 12:28	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SP
2009-11-25 21:12 . 2009-11-25 21:12	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Startmenü
2009-11-22 11:02 . 2009-11-22 11:02	--------	d-----w-	c:\dokumente und einstellungen\user01\Lokale Einstellungen\Anwendungsdaten\GS-LW-Temp
2009-11-18 19:45 . 2009-11-18 19:45	--------	d-sh--w-	c:\windows\system32\config\systemprofile\PrivacIE
2009-11-17 20:23 . 2009-11-17 20:26	7919008	----a-w-	c:\programme\Firefox Setup 3.5.5.exe
2009-11-13 08:25 . 2009-11-13 10:28	--------	d-----w-	C:\rsit
2009-11-12 14:52 . 2009-11-12 14:52	--------	d-----w-	c:\programme\CCleaner
2009-11-12 14:49 . 2009-11-12 14:49	3310608	----a-w-	c:\programme\ccsetup225.exe
2009-11-02 18:56 . 2009-11-02 18:56	--------	d-----w-	c:\dokumente und einstellungen\user01\Anwendungsdaten\Malwarebytes
2009-11-02 18:56 . 2009-09-10 13:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-02 18:56 . 2009-11-02 18:56	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-11-02 18:56 . 2009-11-02 18:56	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-02 18:56 . 2009-09-10 13:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-11-02 18:55 . 2009-11-02 18:55	4045544	----a-w-	c:\programme\mbam-setup.exe
2009-11-02 18:29 . 2009-11-02 18:29	--------	d-----w-	c:\programme\Trend Micro
2009-11-02 18:28 . 2009-11-02 18:29	401720	----a-w-	c:\programme\HijackThis.exe
2009-11-02 18:28 . 2009-11-02 18:28	812344	----a-w-	c:\programme\HijackThisInstaller.exe
2009-11-01 13:23 . 2009-11-01 13:24	1925024	----a-w-	c:\programme\install_flash_player.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-28 20:03 . 2009-01-13 22:22	--------	d-----w-	c:\dokumente und einstellungen\user01\Anwendungsdaten\Skype
2009-11-28 19:47 . 2009-01-13 22:24	--------	d-----w-	c:\dokumente und einstellungen\user01\Anwendungsdaten\skypePM
2009-11-27 19:34 . 2009-09-26 17:32	--------	d-----w-	c:\dokumente und einstellungen\user01\Anwendungsdaten\U3
2009-11-26 22:17 . 2009-10-04 12:41	--------	d-----w-	c:\dokumente und einstellungen\user01\Anwendungsdaten\vlc
2009-11-13 20:43 . 2009-01-13 16:58	--------	d-----w-	c:\dokumente und einstellungen\user01\Anwendungsdaten\.purple
2009-11-13 09:02 . 2009-01-13 16:57	--------	d-----w-	c:\programme\PidginAspell
2009-11-13 08:52 . 2009-10-11 18:26	--------	d-----w-	c:\programme\WinTV
2009-11-11 06:59 . 2008-12-12 13:00	23056	----a-w-	c:\dokumente und einstellungen\user01\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-06 07:50 . 2006-02-28 11:00	80312	----a-w-	c:\windows\system32\perfc007.dat
2009-11-06 07:50 . 2006-02-28 11:00	449044	----a-w-	c:\windows\system32\perfh007.dat
2009-10-04 12:34 . 2009-10-04 12:34	--------	d-----w-	c:\programme\VideoLAN
2009-10-04 12:32 . 2009-10-04 12:32	18527244	----a-w-	c:\programme\vlc-1.0.2-win32.exe
2009-09-11 14:17 . 2006-02-28 11:00	136192	----a-w-	c:\windows\system32\msv1_0.dll
2009-09-04 21:03 . 2006-02-28 11:00	58880	----a-w-	c:\windows\system32\msasn1.dll
2009-07-16 16:01 . 2009-07-16 15:47 32467048	----a-w-	c:\programme\avira_antivir_personal_de.exe
2009-04-29 11:43 . 2009-04-29 11:43	642540	----a-w-	c:\programme\XviD-1.1.3-27042008.exe
2009-01-13 16:32 . 2009-01-13 16:29	14275882	----a-w-	c:\programme\pidgin-2.5.4.exe
2008-12-29 20:57 . 2008-12-29 15:51	573900032	----a-w-	c:\programme\AC12-GER.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\sp]
@="{96AFBE69-C3B0-4b00-8578-D933D2896EE2}"
[HKEY_CLASSES_ROOT\CLSID\{96AFBE69-C3B0-4b00-8578-D933D2896EE2}]
2009-11-28 12:28	57344	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SP\sp.DLL

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-11-18 21633320]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2008-04-04 1044480]
"AccelerometerSysTrayApplet"="c:\windows\system32\AccelerometerSt.Exe" [2008-06-09 82224]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-03-27 1040384]
"accrdsub"="c:\programme\ActivIdentity\ActivClient\accrdsub.exe" [2007-05-15 293168]
"PTHOSTTR"="c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2008-06-10 238896]
"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2008-06-02 24848]
"QlbCtrl.exe"="c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-05-14 177456]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"WHITNEY_S2P"="c:\programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe" [2005-02-15 69632]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-10-19 286720]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
" Malwarebytes Anti-Malware  (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\user01\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-5-12 576104]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
VPN Client.lnk - c:\windows\Installer\{F3C1DE9E-5E16-4BA9-B854-7B53A45E3579}\Icon3E5562ED7.ico [2009-4-29 6144]
WinTV Recording Status..lnk - c:\programme\WinTV\WinTV7\WinTVTray.exe [2009-10-11 98304]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\APSHook.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Graphisoft\\ArchiCAD 12\\ArchiCAD.exe"=
"c:\\Programme\\Graphisoft\\ArchiCAD 11\\ArchiCAD.exe"=
"c:\\WINDOWS\\system32\\svchost.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16129:TCP"= 16129:TCP:DWMRC
"12470:TCP"= 12470:TCP:spport
"9085:TCP"= 9085:TCP:spport
"18010:TCP"= 18010:TCP:spport
"18261:TCP"= 18261:TCP:spport
"25160:TCP"= 25160:TCP:spport

R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [26.10.2007 18:25 164352]
R0 SafeBoot;SafeBoot;c:\windows\system32\drivers\SafeBoot.sys [05.06.2008 17:08 109184]
R0 SbAlg;SbAlg;c:\windows\system32\drivers\SbAlg.sys [05.06.2008 17:08 51376]
R0 SbFsLock;SbFsLock;c:\windows\system32\drivers\SbFsLock.sys [05.06.2008 17:08 12928]
R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [12.12.2008 10:26 24064]
R1 RsvLock;RsvLock;c:\windows\system32\drivers\rsvlock.sys [05.06.2008 17:08 12496]
R2 accoca;ActivClient Middleware Service;c:\programme\ActivIdentity\ActivClient\accoca.exe [15.05.2007 16:08 182576]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.07.2009 17:13 108289]
R2 ASBroker;Logon Session Broker;c:\windows\System32\svchost.exe -k Cognizance [28.02.2006 12:00 14336]
R2 ASChannel;Lokaler Verbindungskanal;c:\windows\System32\svchost.exe -k Cognizance [28.02.2006 12:00 14336]
R2 ATService;AuthenTec Fingerprint Service;c:\programme\Fingerprint Sensor\AtService.exe [15.05.2008 15:11 1176824]
R2 HauppaugeTVServer;HauppaugeTVServer;c:\programme\WinTV\TVServer\HauppaugeTVServer.exe [11.10.2009 19:49 442368]
R2 HP ProtectTools Service;HP ProtectTools Service;c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe [10.06.2008 11:13 18944]
R2 HpFkCryptService;Drive Encryption Service;c:\programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe [05.06.2008 17:07 256512]
R2 SPService;SPService;c:\windows\system32\svchost.exe -k netsvc [28.02.2006 12:00 14336]
R3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver;c:\windows\system32\drivers\ATSwpWDF.sys [15.05.2008 13:29 475520]
R3 Com4QLBEx;Com4QLBEx;c:\programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [12.12.2008 11:46 193840]
S3 hcw17bda;Hauppauge SMS1000-based;c:\windows\system32\drivers\hcw17bda.sys [11.10.2009 19:24 45824]
S3 SCR3XX2K;SCR3xx USB SmartCardReader;c:\windows\system32\drivers\SCR3XX2K.sys [21.06.2007 04:40 56448]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance	REG_MULTI_SZ   	ASBroker ASChannel
netsvc	REG_MULTI_SZ   	SPService
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\user01\Anwendungsdaten\Mozilla\Firefox\Profiles\0k7sjjhi.default\
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Broadcom 802.11b Network Adapter - c:\programme\Broadcom\Broadcom 802.11\Driver\bcmwlu00.exe verbose



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-29 14:02
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
@DACL=(02 0000)

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
@DACL=(02 0000)
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy]
@DACL=(02 0000)
"Asynchronous"=dword:00000001
"DllName"=expand:"%SystemRoot%\\System32\\dimsntfy.dll"
"Startup"="WlDimsStartup"
"Shutdown"="WlDimsShutdown"
"Logon"="WlDimsLogon"
"Logoff"="WlDimsLogoff"
"StartShell"="WlDimsStartShell"
"Lock"="WlDimsLock"
"Unlock"="WlDimsUnlock"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\OneCard]
@DACL=(02 0000)
"DllName"="c:\\Programme\\Hewlett-Packard\\IAM\\Bin\\ASWLNPkg.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"Lock"="OnLock"
"Logoff"="OnLogoff"
"Logon"="OnLogon"
"Shutdown"="OnShutdown"
"StartScreenSaver"="OnStartScreenSaver"
"StartShell"="OnStartShell"
"Startup"="OnStartup"
"StopScreenSaver"="OnStopScreenSaver"
"Unlock"="OnUnlock"
"PostShell"="OnPostShell"
"Disconnect"="OnDisconnect"
"Reconnect"="OnReconnect"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
@DACL=(02 0000)
"Logon"="WLEventLogon"
"Logoff"="WLEventLogoff"
"Startup"="WLEventStartup"
"Shutdown"="WLEventShutdown"
"StartScreenSaver"="WLEventStartScreenSaver"
"StopScreenSaver"="WLEventStopScreenSaver"
"Lock"="WLEventLock"
"Unlock"="WLEventUnlock"
"StartShell"="WLEventStartShell"
"PostShell"="WLEventPostShell"
"Disconnect"="WLEventDisconnect"
"Reconnect"="WLEventReconnect"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000000
"SafeMode"=dword:00000001
"MaxWait"=dword:ffffffff
"DllName"=expand:"WgaLogon.dll"
"Event"=dword:00000001
"InstallEvent"="1.9.0040.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(988)
c:\windows\system32\ackpbsc.dll
c:\windows\system32\aclog.dll
c:\windows\system32\ACLIBEAY.dll
c:\windows\system32\acevtsub.dll
c:\windows\system32\asphat32.dll
c:\windows\system32\acerrmes.dll
c:\windows\system32\aspcom.dll
c:\programme\ActivIdentity\ActivClient\Resources\Merged\acerrmrc.dll
c:\programme\ActivIdentity\ActivClient\Resources\Merged\asphatrc.dll
c:\windows\system32\Ati2evxx.dll
c:\programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
c:\programme\Hewlett-Packard\IAM\bin\ItMsg.dll
c:\programme\ActivIdentity\ActivClient\acunlock.dll
c:\windows\system32\aipingui.dll
c:\programme\ActivIdentity\ActivClient\Resources\Merged\aipinguirc.dll
c:\programme\ActivIdentity\ActivClient\resources\acCobAPIrc.dll
c:\programme\ActivIdentity\ActivClient\Resources\Merged\acunlockrc.dll
c:\programme\Hewlett-Packard\IAM\Bin\TrayIcon.dll
c:\programme\Hewlett-Packard\IAM\bin\brand.dll
c:\programme\Hewlett-Packard\IAM\bin\DEU\brand.dll
c:\programme\Hewlett-Packard\IAM\bin\DEU\ItMsg.dll
c:\programme\Hewlett-Packard\IAM\Bin\AsChnl.dll
c:\programme\Hewlett-Packard\IAM\Bin\HPPlugIn.dll
c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHostServices.dll
c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\Interop.HPQWMIEXLib.dll
c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\Interop.PTHstServsLib.dll
c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHstServs.dll
c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\BIOSDomain.dll
c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\Interop.PTPluginLib.dll
c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTStrings.dll
c:\programme\Hewlett-Packard\Drive Encryption\SbHpFve.dll
c:\programme\Hewlett-Packard\Drive Encryption\SbUILib.dll
c:\programme\Hewlett-Packard\Drive Encryption\Languages\0007\SbHpFve.lng
c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\HPjCard.dll
c:\windows\system32\acomx.dll
c:\windows\system32\acbsi21.dll
c:\programme\Hewlett-Packard\IAM\Bin\ItVCClient.dll
c:\programme\Hewlett-Packard\IAM\Bin\ItReports.DLL

- - - - - - - > 'explorer.exe'(7804)
c:\windows\system32\APSHook.dll
c:\dokumente und einstellungen\all users\anwendungsdaten\sp\sp.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\System32\SCardSvr.exe
c:\programme\ActivIdentity\ActivClient\acevents.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Hewlett-Packard\IAM\Bin\AsGHost.exe
c:\windows\system32\agrsmsvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\windows\system32\DWRCS.exe
c:\programme\Hewlett-Packard\Shared\hpqWmiEx.exe
c:\windows\system32\DWRCST.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ActivIdentity\ActivClient\acevents.exe
c:\windows\system32\wscntfy.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\programme\Java\jre1.6.0_07\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-11-29 14:08 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-11-29 13:07

Vor Suchlauf: 10 Verzeichnis(se), 181.721.522.176 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 181.646.057.472 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
d:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 265BEA89E33BE3BF186B1B7ABBC6B950
[/CODE]

Alt 29.11.2009, 21:11   #9
Angel21
 
Security Tool - Standard

Security Tool



Starte SUPERAntiSpyware und lass es nach Anleitung laufen. Poste das Log hier her.

Danach nochmal Malwarebytes im Quick Scan, log hier her.
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 30.11.2009, 08:01   #10
chillie
 
Security Tool - Standard

Security Tool



Ok, mach ich heute nachmittag. Ich hab blos nochwas seltsames entdeckt: Jedesmal wenn ich neustarte, kommt vor dem eigentlichen Desktopbild ein Fenster mit "C:\ComboFix\CF21150.cfxxe konnte nicht gefunden werden." und man soll es selbst suchen. Was hat das zu bedeuten? Etwas wichtiges?
Und meinen USB hatte ich am PC dran, aber ich hab leider vergessen meine Kamera anzuschliessen. Soll ich Combofix nochmal wiederholen, oder reicht es wenn ich es bei SUPERAntiSpyware drantue?
viele Grüße!

Alt 30.11.2009, 13:18   #11
Angel21
 
Security Tool - Standard

Security Tool



Lass GMER nochmal laufen. Stelle das neue Log rein. Einfach so wie letztes mal
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 30.11.2009, 19:13   #12
chillie
 
Security Tool - Standard

Security Tool



Hi,
ist vielleicht ne blöde Frage, aber soll ich GMER vor oder nach SUPERAntiSpyware laufen lassen?
und vielleicht noch blöder bei SUPERAntiSpyware steht man muss das als Administrator ausführen: wie macht man das nochmal? Fragen die einen das?

Geändert von chillie (30.11.2009 um 19:21 Uhr)

Alt 30.11.2009, 19:22   #13
Angel21
 
Security Tool - Standard

Security Tool



vergiss erstmal SUPERAntiSpyware starte einfach Gmer
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 30.11.2009, 20:07   #14
chillie
 
Security Tool - Standard

Security Tool



Also das war jetzt seltsam: Ich hab GMER gestartet wie beschrieben, auf Scan geklickt, es hat ein paar Sekunden gearbeitet und dann wurde der Bildschirm schwarz und der Computer ist wieder neu hochgefahren. Es kam dann auch wieder dieses Fenster mit dem fehlenden Combofix-"Zeug". Aber GMER hat sich nicht mehr automatisch gestartet.
Ich versuch es aber nochmal!

Alt 30.11.2009, 20:20   #15
Angel21
 
Security Tool - Standard

Security Tool



start - ausführen - combofix /u eingeben - neustart, Gmer nochmal versuchen.
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Antwort

Themen zu Security Tool
angeblich, anti-malware, code, computer, dokumente, einstellungen, gen, komische, laptop, malwarebytes, malwarebytes' anti-malware, microsoft, minute, process, programme, registrierungsschlüssel, rogue.multiple, rogue.securitytool, sache, sachen, security, security tool, service, software, temp, tool, trojan.dropper, trojan.fakealert.h, version, windows\temp



Ähnliche Themen: Security Tool


  1. Security Tool erfolgreich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 28.04.2011 (18)
  2. Security Tool - bin ich sauber?
    Plagegeister aller Art und deren Bekämpfung - 27.03.2011 (11)
  3. Problem: Security Tool (Virus)
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (15)
  4. security tool
    Mülltonne - 27.11.2010 (4)
  5. Security Tool Eingefangen und Entfernt?
    Plagegeister aller Art und deren Bekämpfung - 22.11.2010 (6)
  6. Security Tool Verzeiflung !!!
    Plagegeister aller Art und deren Bekämpfung - 17.11.2010 (1)
  7. Security Tool - Hurra er ist weg
    Plagegeister aller Art und deren Bekämpfung - 24.09.2010 (0)
  8. Security Tool
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (10)
  9. Security Tool losgeworden?
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (10)
  10. Security Tool - erfolgreich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 25.07.2010 (6)
  11. Security Tool - bin ich es los?
    Plagegeister aller Art und deren Bekämpfung - 23.07.2010 (7)
  12. Security Tool
    Log-Analyse und Auswertung - 23.07.2010 (1)
  13. Unbekanntes Vista Security Tool
    Log-Analyse und Auswertung - 20.04.2010 (5)
  14. Total Win 7 Security Tool Alert
    Log-Analyse und Auswertung - 03.04.2010 (1)
  15. SecurityTool / Security Tool entfernen
    Anleitungen, FAQs & Links - 22.02.2010 (2)
  16. wie lösche ich security tool?
    Plagegeister aller Art und deren Bekämpfung - 21.01.2010 (1)
  17. Security Tool Mysterium
    Plagegeister aller Art und deren Bekämpfung - 25.10.2009 (1)

Zum Thema Security Tool - Hallo ich hab dieses komische Security Tool auf meinem Laptop gehabt. Malwarebytes hat es gelöscht. Ist jetzt alles Gefährliche von meinem PC weg? Und die Sachen, die es angeblich gefunden - Security Tool...
Archiv
Du betrachtest: Security Tool auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.