Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.12.2009, 20:14   #1
unbezahlbar
 
TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt? - Standard

TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt?



Guten Tag.

Bin Windows XP (SP3) - User und habe seit zwei Tagen einen Trojaner auf meinem Computer. Den Trojaner (bzw. eher den entsprechenden Dropper) habe ich über einen Weblink heruntergeladen, den mir jemand im Windows Live Messenger geschickt hat. Ich weiß, das ist grob fahrlässig und spätestens wenn eine Datei mit .jpeg.exe endet, sollte man was merken. Nunja, auf jeden Fall hat der Trojaner dann auch sofort angefangen über meinen Windows Live Messenger Nachrichten mit entsprechendem Link zu verschicken um sich weiter zu verbreiten. Habe Windows Live Passwort geändert und bei meiner Bank Online Banking sperren lassen.

Gestern habe ich dann Avira AntiVir runtergeladen, das bei der ersten Systemprüfung nichts gefunden hat. Beim nächsten Systemstart hat dann der AntiVir Guard den Trojaner "TR/Buzus.ctwt" in der Datei "C:\WINDOWS\rndll.exe" gefunden. Aber egal ob ich ihn gelöscht oder in Quarantäne verschoben habe, die Meldung kam sofort wieder.
Sobald ich Zeit hatte, habe ich dann eine weitere Systemprüfung vorgenommen, diesmal wurde Antivir fündig.

Hier mal der Report:
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 17. Dezember 2009  13:26

Es wird nach 1452463 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : SIMONNB

Versionsinformationen:
BUILD.DAT      : 9.0.0.418     21723 Bytes  02.12.2009 16:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  13.10.2009 10:26:28
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 14:09:58
VBASE002.VDF   : 7.10.1.1       2048 Bytes  19.11.2009 14:09:58
VBASE003.VDF   : 7.10.1.2       2048 Bytes  19.11.2009 14:09:58
VBASE004.VDF   : 7.10.1.3       2048 Bytes  19.11.2009 14:09:59
VBASE005.VDF   : 7.10.1.4       2048 Bytes  19.11.2009 14:09:59
VBASE006.VDF   : 7.10.1.5       2048 Bytes  19.11.2009 14:09:59
VBASE007.VDF   : 7.10.1.6       2048 Bytes  19.11.2009 14:09:59
VBASE008.VDF   : 7.10.1.7       2048 Bytes  19.11.2009 14:09:59
VBASE009.VDF   : 7.10.1.8       2048 Bytes  19.11.2009 14:10:00
VBASE010.VDF   : 7.10.1.9       2048 Bytes  19.11.2009 14:10:00
VBASE011.VDF   : 7.10.1.10      2048 Bytes  19.11.2009 14:10:01
VBASE012.VDF   : 7.10.1.11      2048 Bytes  19.11.2009 14:10:01
VBASE013.VDF   : 7.10.1.79    209920 Bytes  25.11.2009 14:10:36
VBASE014.VDF   : 7.10.1.128    197632 Bytes  30.11.2009 14:11:04
VBASE015.VDF   : 7.10.1.178    195584 Bytes  07.12.2009 14:11:31
VBASE016.VDF   : 7.10.1.224    183296 Bytes  14.12.2009 14:11:57
VBASE017.VDF   : 7.10.1.247    182272 Bytes  15.12.2009 14:12:23
VBASE018.VDF   : 7.10.1.248      2048 Bytes  15.12.2009 14:12:23
VBASE019.VDF   : 7.10.1.249      2048 Bytes  15.12.2009 14:12:23
VBASE020.VDF   : 7.10.1.250      2048 Bytes  15.12.2009 14:12:24
VBASE021.VDF   : 7.10.1.251      2048 Bytes  15.12.2009 14:12:24
VBASE022.VDF   : 7.10.1.252      2048 Bytes  15.12.2009 14:12:24
VBASE023.VDF   : 7.10.1.253      2048 Bytes  15.12.2009 14:12:24
VBASE024.VDF   : 7.10.1.254      2048 Bytes  15.12.2009 14:12:24
VBASE025.VDF   : 7.10.1.255      2048 Bytes  15.12.2009 14:12:25
VBASE026.VDF   : 7.10.2.0       2048 Bytes  15.12.2009 14:12:25
VBASE027.VDF   : 7.10.2.1       2048 Bytes  15.12.2009 14:12:26
VBASE028.VDF   : 7.10.2.2       2048 Bytes  15.12.2009 14:12:26
VBASE029.VDF   : 7.10.2.3       2048 Bytes  15.12.2009 14:12:26
VBASE030.VDF   : 7.10.2.4       2048 Bytes  15.12.2009 14:12:26
VBASE031.VDF   : 7.10.2.11     96256 Bytes  16.12.2009 22:35:07
Engineversion  : 8.2.1.114
AEVDF.DLL      : 8.1.1.2      106867 Bytes  08.11.2009 06:38:52
AESCRIPT.DLL   : 8.1.3.3      586106 Bytes  16.12.2009 22:36:17
AESCN.DLL      : 8.1.3.0      127348 Bytes  16.12.2009 14:16:24
AESBX.DLL      : 8.1.1.1      246132 Bytes  08.11.2009 06:38:44
AERDL.DLL      : 8.1.3.4      479605 Bytes  16.12.2009 14:16:16
AEPACK.DLL     : 8.2.0.3      422261 Bytes  08.11.2009 06:38:40
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  08.11.2009 06:38:38
AEHEUR.DLL     : 8.1.0.186   2183544 Bytes  16.12.2009 14:15:41
AEHELP.DLL     : 8.1.9.0      237943 Bytes  16.12.2009 22:35:47
AEGEN.DLL      : 8.1.1.81     369014 Bytes  16.12.2009 22:35:32
AEEMU.DLL      : 8.1.1.0      393587 Bytes  08.11.2009 06:38:26
AECORE.DLL     : 8.1.9.1      180598 Bytes  16.12.2009 14:12:50
AEBB.DLL       : 8.1.0.3       53618 Bytes  08.11.2009 06:38:20
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  26.08.2009 14:13:59
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: e:\programme\sicherheit\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 17. Dezember 2009  13:26

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '36508' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'guardgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rndll.exe' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> 'C:\WINDOWS\rndll.exe'
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobileConnect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VMCService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SRS_PostInstaller2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'rndll.exe' wird beendet
Catched Exception in SCAN_ProcessList
ACCESS_VIOLATION
  EAX = 00000000  EBX = 00000000
  ECX = 000000DC  EDX = 00469224
  ESI = 00469214  EDI = 00000000 
  EIP = 7C92B21A  EBP = 01B4FD3C
  ESP = 01B4FCC8  Flg = 00010246
  CS = 00000023   SS = 0000001B

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\WINDOWS\rndll.exe
    [FUND]      Ist das Trojanische Pferd TR/Buzus.ctwt

Die Registry wurde durchsucht ( '59' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\simon-nb\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ny5p1e8w.default\Cache\47BCAC3Bd01
  [0] Archivtyp: GZ
    --> unkwn
      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
C:\Dokumente und Einstellungen\simon-nb\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ny5p1e8w.default\Cache\B7294D10d01
  [0] Archivtyp: GZ
    --> unkwn
      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
C:\Dokumente und Einstellungen\simon-nb\Lokale Einstellungen\Temp\IXP000.TMP\JKYTJT~1.EXE
    [FUND]      Ist das Trojanische Pferd TR/Buzus.ctwt
C:\Dokumente und Einstellungen\simon-nb\Lokale Einstellungen\Temp\IXP001.TMP\JKYTJT~1.EXE
    [FUND]      Ist das Trojanische Pferd TR/Buzus.ctwt
C:\WINDOWS\rndll.exe
    [FUND]      Ist das Trojanische Pferd TR/Buzus.ctwt
Beginne mit der Suche in 'E:\' <Lokaler Datenträger>
E:\System Volume Information\_restore{BA410501-519D-426C-A4C9-0DC0E9ED7E36}\RP42\A0009208.exe
    [FUND]      Enthält Erkennungsmuster des Droppers DR/Buzus.ctwt
E:\System Volume Information\_restore{BA410501-519D-426C-A4C9-0DC0E9ED7E36}\RP44\A0009286.exe
    [FUND]      Enthält Erkennungsmuster des Droppers DR/Buzus.ctwt
E:\System Volume Information\_restore{BA410501-519D-426C-A4C9-0DC0E9ED7E36}\RP44\A0009289.exe
  [0] Archivtyp: RSRC
    --> Object
      [1] Archivtyp: CAB (Microsoft)
      --> YUJRTY~1.EXE
        [FUND]      Ist das Trojanische Pferd TR/Buzus.ctye

Beginne mit der Desinfektion:
C:\WINDOWS\rndll.exe
    [FUND]      Ist das Trojanische Pferd TR/Buzus.ctwt
    [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
    [WARNUNG]   Die Quelldatei konnte nicht gefunden werden.
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
    [WARNUNG]   Fehler in der ARK Library
    [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.
C:\Dokumente und Einstellungen\simon-nb\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ny5p1e8w.default\Cache\47BCAC3Bd01
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6c2d04.qua' verschoben!
C:\Dokumente und Einstellungen\simon-nb\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ny5p1e8w.default\Cache\B7294D10d01
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b5c2d04.qua' verschoben!
C:\Dokumente und Einstellungen\simon-nb\Lokale Einstellungen\Temp\IXP000.TMP\JKYTJT~1.EXE
    [FUND]      Ist das Trojanische Pferd TR/Buzus.ctwt
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b832d18.qua' verschoben!
C:\Dokumente und Einstellungen\simon-nb\Lokale Einstellungen\Temp\IXP001.TMP\JKYTJT~1.EXE
    [FUND]      Ist das Trojanische Pferd TR/Buzus.ctwt
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ae8bed9.qua' verschoben!
C:\WINDOWS\rndll.exe
    [FUND]      Ist das Trojanische Pferd TR/Buzus.ctwt
    [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
    [WARNUNG]   Die Quelldatei konnte nicht gefunden werden.
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
    [WARNUNG]   Fehler in der ARK Library
    [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.
E:\System Volume Information\_restore{BA410501-519D-426C-A4C9-0DC0E9ED7E36}\RP42\A0009208.exe
    [FUND]      Enthält Erkennungsmuster des Droppers DR/Buzus.ctwt
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b5a2d03.qua' verschoben!
E:\System Volume Information\_restore{BA410501-519D-426C-A4C9-0DC0E9ED7E36}\RP44\A0009286.exe
    [FUND]      Enthält Erkennungsmuster des Droppers DR/Buzus.ctwt
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c1cc11c.qua' verschoben!
E:\System Volume Information\_restore{BA410501-519D-426C-A4C9-0DC0E9ED7E36}\RP44\A0009289.exe
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e163914.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 17. Dezember 2009  14:06
Benötigte Zeit: 31:07 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   6430 Verzeichnisse wurden überprüft
 327346 Dateien wurden geprüft
      9 Viren bzw. unerwünschte Programme wurden gefunden
      2 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      7 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 327334 Dateien ohne Befall
   2316 Archive wurden durchsucht
      4 Warnungen
     10 Hinweise
  36508 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Dann erstmal neu gestartet und AntiVir Guard hat sich nicht mehr gerührt, aber habe trotzdem eine weitere Systemprüfung vorgenommen und wieder hat AntiVir den Trojaner "TR/Buzus.ctwt" gefunden.

Der zweite AntiVir Report:
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 17. Dezember 2009  14:10

Es wird nach 1452463 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : SIMONNB

Versionsinformationen:
BUILD.DAT      : 9.0.0.418     21723 Bytes  02.12.2009 16:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  13.10.2009 10:26:28
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 14:09:58
VBASE002.VDF   : 7.10.1.1       2048 Bytes  19.11.2009 14:09:58
VBASE003.VDF   : 7.10.1.2       2048 Bytes  19.11.2009 14:09:58
VBASE004.VDF   : 7.10.1.3       2048 Bytes  19.11.2009 14:09:59
VBASE005.VDF   : 7.10.1.4       2048 Bytes  19.11.2009 14:09:59
VBASE006.VDF   : 7.10.1.5       2048 Bytes  19.11.2009 14:09:59
VBASE007.VDF   : 7.10.1.6       2048 Bytes  19.11.2009 14:09:59
VBASE008.VDF   : 7.10.1.7       2048 Bytes  19.11.2009 14:09:59
VBASE009.VDF   : 7.10.1.8       2048 Bytes  19.11.2009 14:10:00
VBASE010.VDF   : 7.10.1.9       2048 Bytes  19.11.2009 14:10:00
VBASE011.VDF   : 7.10.1.10      2048 Bytes  19.11.2009 14:10:01
VBASE012.VDF   : 7.10.1.11      2048 Bytes  19.11.2009 14:10:01
VBASE013.VDF   : 7.10.1.79    209920 Bytes  25.11.2009 14:10:36
VBASE014.VDF   : 7.10.1.128    197632 Bytes  30.11.2009 14:11:04
VBASE015.VDF   : 7.10.1.178    195584 Bytes  07.12.2009 14:11:31
VBASE016.VDF   : 7.10.1.224    183296 Bytes  14.12.2009 14:11:57
VBASE017.VDF   : 7.10.1.247    182272 Bytes  15.12.2009 14:12:23
VBASE018.VDF   : 7.10.1.248      2048 Bytes  15.12.2009 14:12:23
VBASE019.VDF   : 7.10.1.249      2048 Bytes  15.12.2009 14:12:23
VBASE020.VDF   : 7.10.1.250      2048 Bytes  15.12.2009 14:12:24
VBASE021.VDF   : 7.10.1.251      2048 Bytes  15.12.2009 14:12:24
VBASE022.VDF   : 7.10.1.252      2048 Bytes  15.12.2009 14:12:24
VBASE023.VDF   : 7.10.1.253      2048 Bytes  15.12.2009 14:12:24
VBASE024.VDF   : 7.10.1.254      2048 Bytes  15.12.2009 14:12:24
VBASE025.VDF   : 7.10.1.255      2048 Bytes  15.12.2009 14:12:25
VBASE026.VDF   : 7.10.2.0       2048 Bytes  15.12.2009 14:12:25
VBASE027.VDF   : 7.10.2.1       2048 Bytes  15.12.2009 14:12:26
VBASE028.VDF   : 7.10.2.2       2048 Bytes  15.12.2009 14:12:26
VBASE029.VDF   : 7.10.2.3       2048 Bytes  15.12.2009 14:12:26
VBASE030.VDF   : 7.10.2.4       2048 Bytes  15.12.2009 14:12:26
VBASE031.VDF   : 7.10.2.11     96256 Bytes  16.12.2009 22:35:07
Engineversion  : 8.2.1.114
AEVDF.DLL      : 8.1.1.2      106867 Bytes  08.11.2009 06:38:52
AESCRIPT.DLL   : 8.1.3.3      586106 Bytes  16.12.2009 22:36:17
AESCN.DLL      : 8.1.3.0      127348 Bytes  16.12.2009 14:16:24
AESBX.DLL      : 8.1.1.1      246132 Bytes  08.11.2009 06:38:44
AERDL.DLL      : 8.1.3.4      479605 Bytes  16.12.2009 14:16:16
AEPACK.DLL     : 8.2.0.3      422261 Bytes  08.11.2009 06:38:40
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  08.11.2009 06:38:38
AEHEUR.DLL     : 8.1.0.186   2183544 Bytes  16.12.2009 14:15:41
AEHELP.DLL     : 8.1.9.0      237943 Bytes  16.12.2009 22:35:47
AEGEN.DLL      : 8.1.1.81     369014 Bytes  16.12.2009 22:35:32
AEEMU.DLL      : 8.1.1.0      393587 Bytes  08.11.2009 06:38:26
AECORE.DLL     : 8.1.9.1      180598 Bytes  16.12.2009 14:12:50
AEBB.DLL       : 8.1.0.3       53618 Bytes  08.11.2009 06:38:20
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  26.08.2009 14:13:59
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: e:\programme\sicherheit\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 17. Dezember 2009  14:10

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '36563' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobileConnect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VMCService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SRS_PostInstaller2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '58' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{BA410501-519D-426C-A4C9-0DC0E9ED7E36}\RP45\A0011326.exe
    [FUND]      Ist das Trojanische Pferd TR/Buzus.ctwt
Beginne mit der Suche in 'E:\' <Lokaler Datenträger>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{BA410501-519D-426C-A4C9-0DC0E9ED7E36}\RP45\A0011326.exe
    [FUND]      Ist das Trojanische Pferd TR/Buzus.ctwt
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b5a347c.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 17. Dezember 2009  14:38
Benötigte Zeit: 27:49 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   6430 Verzeichnisse wurden überprüft
 327402 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 327400 Dateien ohne Befall
   2313 Archive wurden durchsucht
      1 Warnungen
      2 Hinweise
  36563 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Hab mich dann hier im Forum angemeldet und AntiVir eine weitere Systemprüfung machen lassen, diesmal mit den hier im Forum beschriebenen "aggressiven Einstellungen", allerdings hat AntiVir nichts mehr gefunden.


Danach habe ich den CCleaner heruntergeladen und ihn wie in der Anleitung benutzt. Dabei war auffällig, dass ein Fehler in der Registry bei jedem Suchvorgang erneut gefunden wurde, trotz vorherigen Behebens, keine Ahnung ob das etwas zu bedeuten hat, aber ich poste es lieber mal:

Code:
ATTFilter
Fehler: Ungenutzte Datei-Endungen
Daten: {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
Registry-Schlüssel: HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
         

Darauf folgte eine weitere Systemprüfung, diesmal mit Malwarebytes' Anti-Malware vorgenommen, wobei keine Malware gefunden wurde.

Report:
Code:
ATTFilter
alwarebytes' Anti-Malware 1.42
Datenbank Version: 3379
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.12.2009 19:52:05
mbam-log-2009-12-17 (19-52-05).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 179690
Laufzeit: 29 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Zuletzt habe ich dann, wie in der Anleitung zur Themeneröffnung beschrieben, "Random's System Information Tool" gestartet.

info.txt:
Code:
ATTFilter
info.txt logfile of random's system information tool 1.06 2009-12-17 19:54:59

======Uninstall list======

-->E:\Programme\Media\DivX\DivXConverterUninstall.exe /CONVERTER
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.65-->"E:\Programme\Anwendung\7-Zip\Uninstall.exe"
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Alarm Timer 1.0-->"E:\Programme\Anwendung\Alarm Timer\unins000.exe"
Atheros WLAN Client-->"C:\Programme\InstallShield Installation Information\{F4F41D14-E0DD-4FB4-AA09-A14225C769BD}\setup.exe" -runfromtemp -l0x0007 -removeonly
Auslogics Disk Defrag-->"E:\Programme\System\Auslogics Disk Defrag\unins000.exe"
Avira AntiVir Personal - Free Antivirus-->E:\Programme\Sicherheit\Avira\AntiVir Desktop\setup.exe /REMOVE
burnatonce-->E:\Programme\Anwendung\burnatonce\unins000.exe
CCleaner-->"E:\Programme\Sicherheit\CCleaner\uninst.exe"
Condition Zero Deleted Scenes-->"E:\Programme\Spiele\steam\steam.exe" steam://uninstall/100
Condition Zero-->"E:\Programme\Spiele\steam\steam.exe" steam://uninstall/80
Counter-Strike: Source-->"E:\Programme\Spiele\steam\steam.exe" steam://uninstall/240
Counter-Strike-->"E:\Programme\Spiele\steam\steam.exe" steam://uninstall/10
Day of Defeat-->"E:\Programme\Spiele\steam\steam.exe" steam://uninstall/30
Deathmatch Classic-->"E:\Programme\Spiele\steam\steam.exe" steam://uninstall/40
DivX Codec-->E:\Programme\Media\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->E:\Programme\Media\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->E:\Programme\Media\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->E:\Programme\Media\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Plus Web Player-->E:\Programme\Media\DivX\DivXWebPlayerUninstall.exe /PLUGIN
EVEREST Home Edition v2.20-->"E:\Programme\System\EVEREST Home Edition\unins000.exe"
Free YouTube Download 2.3-->"E:\Programme\Media\Free YouTube Download\unins000.exe"
Free YouTube to MP3 Converter version 3.2-->"E:\Programme\Media\Free YouTube to MP3 Converter\unins000.exe"
Garry's Mod-->"E:\Programme\Spiele\steam\steam.exe" steam://uninstall/4000
GIMP 2.6.7-->"E:\Programme\Media\GIMP-2.0\setup\unins000.exe"
Half-Life 2: Deathmatch-->"E:\Programme\Spiele\steam\steam.exe" steam://uninstall/320
Half-Life 2: Lost Coast-->"E:\Programme\Spiele\steam\steam.exe" steam://uninstall/340
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
HiJackThis-->MsiExec.exe /X{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe"
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
InfraRecorder-->E:\Programme\Anwendung\InfraRecorder\uninstall.exe
Intel(R) Graphics Media Accelerator Driver-->C:\WINDOWS\system32\igxpun.exe -uninstall
Java(TM) 6 Update 16-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016F0}
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
JDownloader-->E:\Programme\Internet\JDownloader\uninstall.exe
K-Lite Mega Codec Pack 1.67-->"E:\Programme\Media\K-Lite Codec Pack\unins000.exe"
Malwarebytes' Anti-Malware-->"E:\Programme\Sicherheit\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.0 Hotfix (KB953295)-->"C:\WINDOWS\$NtUninstallKB953295$\spuninst\spuninst.exe"
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.5.5)-->E:\Programme\Internet\firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
OpenOffice.org 3.1-->MsiExec.exe /I{99E862CC-6F69-4D39-99AA-DBF71BF3B585}
Opera 10.00-->MsiExec.exe /X{2085F05D-24C5-4E27-B7B4-A51DE890FFC9}
Phase 5 HTML-Editor-->MsiExec.exe /I{BCB313A5-1AD0-4829-9D6F-EB41C3CFCD4B}
PokerStars-->"E:\Programme\Poker\pokerstars\PokerStarsUninstall.exe" /u:PokerStars
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Programme\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\setup.exe -runfromtemp -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x7  -removeonly
Ricochet-->"E:\Programme\Spiele\steam\steam.exe" steam://uninstall/60
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Shutdown Tool-->"E:\Programme\Anwendung\Shutdown Tool\unins000.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)-->"C:\WINDOWS\ie8updates\KB976325-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371-v2)-->"C:\WINDOWS\$NtUninstallKB961371-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB972260)-->"C:\WINDOWS\$NtUninstallKB972260$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe"
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Sumatra PDF reader-->"E:\Programme\Anwendung\SumatraPDF\uninstall.exe"
Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
TagScanner 5.1 build 550-->"E:\Programme\Media\TagScanner\unins000.exe"
TeamSpeak 2 RC2-->E:\Programme\Messenger\Teamspeak2_RC2\unins000.exe
TIPP10 Version 2.0.3-->"E:\Programme\Anwendung\Tipp10\unins000.exe"
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955759)-->"C:\WINDOWS\$NtUninstallKB955759$\spuninst\spuninst.exe"
Update für Windows XP (KB961503)-->"C:\WINDOWS\$NtUninstallKB961503$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Update für Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe"
Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
VLC media player 1.0.1-->E:\Programme\Media\VLC\uninstall.exe
Vodafone Mobile Connect Lite-->MsiExec.exe /X{C656142F-EFE1-44CD-BFAD-6CBC6DCB9860}
WebCam SCB-0320N-->C:\Programme\InstallShield Installation Information\{71A51BC5-E7D3-11DB-A386-005056C00008}\setup.exe -runfromtemp -l0x0009 -removeonly
Winamp-->"E:\Programme\Media\Winamp\UninstWA.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}
Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows XP Media Center Edition 2005 KB973768-->"C:\WINDOWS\$NtUninstallKB973768$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->E:\Programme\Anwendung\winrar\uninstall.exe
WOW XT and TSXT Filter Driver-->MsiExec.exe /X{8C8F3113-62C1-4EB9-B5F5-AEBA47FDC1D4}
XviD MPEG-4 Codec-->"E:\Programme\Media\XviD\UninstXviD.exe"
Yiola 1.0-->"E:\Programme\Anwendung\Yiola\unins000.exe"

======Security center information======

AV: AntiVir Desktop (disabled)

======System event log======

Computer Name: SIMONNB
Event Code: 18
Message: Installationsbereit: Die folgenden Updates wurden heruntergeladen und können installiert werden. Diese Updates sollen laut Zeitplan am ?Montag, ?14. ?September ?2009 um 03:00 auf diesem Computer installiert werden: 
- Update für Windows XP (KB970653)
- Sicherheitsupdate für Windows Media Player 10 unter Windows XP (KB936782)
- Sicherheitsupdate für Windows XP (KB923561)
- Sicherheitsupdate für Flash Player (KB923789)
- Sicherheitsupdate für Windows XP (KB956802)
- Sicherheitsupdate für Windows XP (KB955069)
- Sicherheitsupdate für Windows XP (KB958644)
- Sicherheitsupdate für Windows XP (KB954600)
- Sicherheitsupdate für Windows XP (KB968537)
- Sicherheitsupdate für Windows XP (KB973815)
- Sicherheitsupdate für Windows XP (KB960803)
- Sicherheitsupdate für Windows XP (KB970238)
- Sicherheitsupdate für Windows XP (KB973768)
- Sicherheitsupdate für Windows XP (KB951748)
- Sicherheitsupdate für Outlook Express unter Windows XP (KB951066)
- Update für Windows XP (KB967715)
- Sicherheitsupdate für Windows*XP (KB973354)
- Update für Windows XP (KB952287)
- Sicherheitsupdate für Windows XP (KB958687)
- Sicherheitsupdate für Windows XP mit Windows Media Format Runtime 9.5 (KB923689)
- Sicherheitsupdate 

Record Number: 167
Source Name: Windows Update Agent
Time Written: 20090913170541.000000+120
Event Type: Informationen
User: 

Computer Name: SIMONNB
Event Code: 18
Message: Installationsbereit: Die folgenden Updates wurden heruntergeladen und können installiert werden. Diese Updates sollen laut Zeitplan am ?Montag, ?14. ?September ?2009 um 03:00 auf diesem Computer installiert werden: 
- Update für Windows XP (KB970653)
- Sicherheitsupdate für Windows Media Player 10 unter Windows XP (KB936782)
- Sicherheitsupdate für Windows XP (KB923561)
- Sicherheitsupdate für Flash Player (KB923789)
- Sicherheitsupdate für Windows XP (KB956802)
- Sicherheitsupdate für Windows XP (KB955069)
- Sicherheitsupdate für Windows XP (KB958644)
- Sicherheitsupdate für Windows XP (KB954600)
- Sicherheitsupdate für Windows XP (KB968537)
- Sicherheitsupdate für Windows XP (KB973815)
- Sicherheitsupdate für Windows XP (KB960803)
- Sicherheitsupdate für Windows XP (KB970238)
- Sicherheitsupdate für Windows XP (KB973768)
- Sicherheitsupdate für Windows XP (KB951748)
- Sicherheitsupdate für Outlook Express unter Windows XP (KB951066)
- Update für Windows XP (KB967715)
- Sicherheitsupdate für Windows*XP (KB973354)
- Update für Windows XP (KB952287)
- Sicherheitsupdate für Windows XP (KB958687)
- Sicherheitsupdate für Windows XP mit Windows Media Format Runtime 9.5 (KB923689)
- Sicherheitsupdate 

Record Number: 166
Source Name: Windows Update Agent
Time Written: 20090913170535.000000+120
Event Type: Informationen
User: 

Computer Name: SIMONNB
Event Code: 18
Message: Installationsbereit: Die folgenden Updates wurden heruntergeladen und können installiert werden. Diese Updates sollen laut Zeitplan am ?Montag, ?14. ?September ?2009 um 03:00 auf diesem Computer installiert werden: 
- Update für Windows XP (KB970653)
- Sicherheitsupdate für Windows Media Player 10 unter Windows XP (KB936782)
- Sicherheitsupdate für Windows XP (KB923561)
- Sicherheitsupdate für Flash Player (KB923789)
- Sicherheitsupdate für Windows XP (KB956802)
- Sicherheitsupdate für Windows XP (KB955069)
- Sicherheitsupdate für Windows XP (KB958644)
- Sicherheitsupdate für Windows XP (KB954600)
- Sicherheitsupdate für Windows XP (KB968537)
- Sicherheitsupdate für Windows XP (KB973815)
- Sicherheitsupdate für Windows XP (KB960803)
- Sicherheitsupdate für Windows XP (KB970238)
- Sicherheitsupdate für Windows XP (KB973768)
- Sicherheitsupdate für Windows XP (KB951748)
- Sicherheitsupdate für Outlook Express unter Windows XP (KB951066)
- Update für Windows XP (KB967715)
- Sicherheitsupdate für Windows*XP (KB973354)
- Update für Windows XP (KB952287)
- Sicherheitsupdate für Windows XP (KB958687)
- Sicherheitsupdate für Windows XP mit Windows Media Format Runtime 9.5 (KB923689)
- Sicherheitsupdate 

Record Number: 165
Source Name: Windows Update Agent
Time Written: 20090913170535.000000+120
Event Type: Informationen
User: 

Computer Name: SIMONNB
Event Code: 18
Message: Installationsbereit: Die folgenden Updates wurden heruntergeladen und können installiert werden. Diese Updates sollen laut Zeitplan am ?Montag, ?14. ?September ?2009 um 03:00 auf diesem Computer installiert werden: 
- Update für Windows XP (KB970653)
- Sicherheitsupdate für Windows Media Player 10 unter Windows XP (KB936782)
- Sicherheitsupdate für Windows XP (KB923561)
- Sicherheitsupdate für Flash Player (KB923789)
- Sicherheitsupdate für Windows XP (KB956802)
- Sicherheitsupdate für Windows XP (KB955069)
- Sicherheitsupdate für Windows XP (KB958644)
- Sicherheitsupdate für Windows XP (KB954600)
- Sicherheitsupdate für Windows XP (KB968537)
- Sicherheitsupdate für Windows XP (KB973815)
- Sicherheitsupdate für Windows XP (KB960803)
- Sicherheitsupdate für Windows XP (KB970238)
- Sicherheitsupdate für Windows XP (KB973768)
- Sicherheitsupdate für Windows XP (KB951748)
- Sicherheitsupdate für Outlook Express unter Windows XP (KB951066)
- Update für Windows XP (KB967715)
- Sicherheitsupdate für Windows*XP (KB973354)
- Update für Windows XP (KB952287)
- Sicherheitsupdate für Windows XP (KB958687)
- Sicherheitsupdate für Windows XP mit Windows Media Format Runtime 9.5 (KB923689)
- Sicherheitsupdate 

Record Number: 164
Source Name: Windows Update Agent
Time Written: 20090913170535.000000+120
Event Type: Informationen
User: 

Computer Name: SIMONNB
Event Code: 18
Message: Installationsbereit: Die folgenden Updates wurden heruntergeladen und können installiert werden. Diese Updates sollen laut Zeitplan am ?Montag, ?14. ?September ?2009 um 03:00 auf diesem Computer installiert werden: 
- Update für Windows XP (KB970653)
- Sicherheitsupdate für Windows Media Player 10 unter Windows XP (KB936782)
- Sicherheitsupdate für Windows XP (KB923561)
- Sicherheitsupdate für Flash Player (KB923789)
- Sicherheitsupdate für Windows XP (KB956802)
- Sicherheitsupdate für Windows XP (KB955069)
- Sicherheitsupdate für Windows XP (KB958644)
- Sicherheitsupdate für Windows XP (KB954600)
- Sicherheitsupdate für Windows XP (KB968537)
- Sicherheitsupdate für Windows XP (KB973815)
- Sicherheitsupdate für Windows XP (KB960803)
- Sicherheitsupdate für Windows XP (KB970238)
- Sicherheitsupdate für Windows XP (KB973768)
- Sicherheitsupdate für Windows XP (KB951748)
- Sicherheitsupdate für Outlook Express unter Windows XP (KB951066)
- Update für Windows XP (KB967715)
- Sicherheitsupdate für Windows*XP (KB973354)
- Update für Windows XP (KB952287)
- Sicherheitsupdate für Windows XP (KB958687)
- Sicherheitsupdate für Windows XP mit Windows Media Format Runtime 9.5 (KB923689)
- Sicherheitsupdate 

Record Number: 163
Source Name: Windows Update Agent
Time Written: 20090913170503.000000+120
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: SIMONNB
Event Code: 0
Message: CreateEventSource -> 2 ms

Record Number: 162
Source Name: VMCService
Time Written: 20090913171318.000000+120
Event Type: Informationen
User: 

Computer Name: SIMONNB
Event Code: 0
Message: RCV: id=440; type=Stopped

Record Number: 161
Source Name: VMCService
Time Written: 20090913171015.000000+120
Event Type: Informationen
User: 

Computer Name: SIMONNB
Event Code: 2
Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-CAB-Datei wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.

Record Number: 160
Source Name: crypt32
Time Written: 20090913170901.000000+120
Event Type: Informationen
User: 

Computer Name: SIMONNB
Event Code: 7
Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>.

Record Number: 159
Source Name: crypt32
Time Written: 20090913170900.000000+120
Event Type: Informationen
User: 

Computer Name: SIMONNB
Event Code: 1108
Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Service work was interrupted due to the following reason(s): USER_INTERRUPT (Mask: 0x04)


Record Number: 158
Source Name: .NET Runtime Optimization Service
Time Written: 20090913170758.000000+120
Event Type: Informationen
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Gemeinsame Dateien\DivX Shared\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=170a
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------
         

Die Zeichen reichen leider nicht für die log.txt, muss wohl einen weiteren Beitrag machen.

Geändert von unbezahlbar (17.12.2009 um 20:36 Uhr)

Alt 17.12.2009, 20:16   #2
unbezahlbar
 
TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt? - Standard

TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt?



So, hier nun die log.txt von "Random's System Information Tool:

log.txt:
Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by simon-nb at 2009-12-17 19:54:58
Microsoft Windows XP Professional Service Pack 3
System drive C: has 32 GB (80%) free of 40 GB
Total RAM: 3005 MB (77% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:54:58, on 17.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Sicherheit\Avira\AntiVir Desktop\sched.exe
E:\Programme\Sicherheit\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
E:\Programme\Internet\java\bin\jqs.exe
C:\Programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller2.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\WINDOWS\system32\igfxsrvc.exe
E:\Programme\Internet\java\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\eHome\ehmsas.exe
E:\Programme\Sicherheit\Avira\AntiVir Desktop\avgnt.exe
E:\Programme\_setups\RSIT.exe
C:\Programme\trend micro\simon-nb.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forestle.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Internet\java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Internet\java\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Internet\java\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\Messenger\icq\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\Messenger\icq\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1252848817500
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B69E4A6A-2EFC-47E9-800F-06CE15C9DF30}: NameServer = 139.7.30.125 139.7.30.126
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Sicherheit\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Sicherheit\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Internet\java\bin\jqs.exe
O23 - Service: SRS PostInstaller Service (SRS_PostInstaller) - SRS Labs, Inc. - C:\Programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller2.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

--
End of file - 5306 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Sign-in Helper - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - E:\Programme\Internet\java\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - E:\Programme\Internet\java\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-11 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE [2004-08-10 208952]
"PHIME2002ASync"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-10 455168]
"PHIME2002A"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-10 455168]
"ehTray"=C:\WINDOWS\ehome\ehtray.exe [2004-08-10 59392]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2009-09-13 1044480]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2009-09-13 17881600]
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2009-09-13 150040]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2009-09-13 178712]
"Persistence"=C:\WINDOWS\system32\igfxpers.exe [2009-09-13 150040]
"MobileConnect"=C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe [2008-07-04 2072576]
"SunJavaUpdateSched"=E:\Programme\Internet\java\bin\jusched.exe [2009-10-11 149280]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
E:\Programme\Anwendung\adobe reader\Reader\Reader_sl.exe [2009-02-27 35696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
E:\Programme\Sicherheit\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Firevall Administrating]
rndll.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^simon-nb^Startmenü^Programme^Autostart^OpenOffice.org 3.1.lnk]
E:\PROGRA~1\ANWEND~1\OPENOF~1\OPENOF~1.ORG\program\QUICKS~1.EXE [2009-08-18 384000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2009-09-13 217088]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"E:\Programme\Messenger\icq\ICQ6.5\ICQ.exe"="E:\Programme\Messenger\icq\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\DOKUME~1\simon-nb\LOKALE~1\Temp\IXP000.TMP\JKYTJT~1.EXE"="C:\DOKUME~1\simon-nb\LOKALE~1\Temp\IXP000.TMP\JKYTJT~1.EXE:*:Enabled:Firevall Administrating"
"E:\Programme\Messenger\skype\Phone\Skype.exe"="E:\Programme\Messenger\skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1d3b34b2-d521-11de-b010-0024d2f6e212}]
shell\AutoRun\command - F:\setup_vmc_lite.exe /checkApplicationPresence

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad743669-9fe6-11de-afee-a8107520de60}]
shell\AutoRun\command - F:\setup_vmc_lite.exe /checkApplicationPresence

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad74366a-9fe6-11de-afee-a8107520de60}]
shell\AutoRun\command - F:\setup_vmc_lite.exe /checkApplicationPresence

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c35ff26a-e4a1-11de-b01f-0024d2f6e212}]
shell\AutoRun\command - K:\setup_vmc_lite.exe /checkApplicationPresence


======List of files/folders created in the last 1 months======

2009-12-17 18:14:14 ----A---- C:\filelist.txt
2009-12-17 17:47:35 ----A---- C:\info.txt
2009-12-17 17:46:34 ----D---- C:\Programme\trend micro
2009-12-17 17:46:33 ----D---- C:\rsit
2009-12-17 14:54:47 ----D---- C:\Dokumente und Einstellungen\simon-nb\Anwendungsdaten\Malwarebytes
2009-12-17 14:54:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-16 15:04:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-12-15 23:41:03 ----HD---- C:\WINDOWS\PIF
2009-12-14 22:08:01 ----D---- C:\Dokumente und Einstellungen\simon-nb\Anwendungsdaten\gtk-2.0
2009-12-11 14:19:59 ----D---- C:\Dokumente und Einstellungen\simon-nb\Anwendungsdaten\TeamViewer
2009-12-11 12:42:36 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-12-11 12:39:50 ----D---- C:\Dokumente und Einstellungen\simon-nb\Anwendungsdaten\OpenOffice.org
2009-12-11 12:35:34 ----HDC---- C:\WINDOWS\$NtUninstallKB970430$
2009-12-11 12:35:30 ----HDC---- C:\WINDOWS\$NtUninstallKB955759$
2009-12-11 12:35:25 ----HDC---- C:\WINDOWS\$NtUninstallKB974318$
2009-12-11 12:35:21 ----HDC---- C:\WINDOWS\$NtUninstallKB961503$
2009-12-11 12:35:00 ----HDC---- C:\WINDOWS\$NtUninstallKB973904$
2009-12-11 12:34:55 ----HDC---- C:\WINDOWS\$NtUninstallKB974392$
2009-12-11 12:34:49 ----HDC---- C:\WINDOWS\$NtUninstallKB971737$
2009-12-11 12:31:10 ----D---- C:\Dokumente und Einstellungen\simon-nb\Anwendungsdaten\Yiola
2009-12-11 12:22:12 ----D---- C:\Programme\Java
2009-12-11 12:19:22 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-12-11 12:19:16 ----A---- C:\WINDOWS\system32\rmoc3260.dll
2009-12-11 12:19:16 ----A---- C:\WINDOWS\system32\pndx5032.dll
2009-12-11 12:19:16 ----A---- C:\WINDOWS\system32\pndx5016.dll
2009-12-11 12:19:16 ----A---- C:\WINDOWS\system32\pncrt.dll
2009-12-11 12:19:14 ----A---- C:\WINDOWS\system32\yv12vfw.dll
2009-12-11 12:19:14 ----A---- C:\WINDOWS\system32\xvidcore.dll
2009-12-11 12:19:14 ----A---- C:\WINDOWS\system32\wmv9vcm.dll
2009-12-11 12:19:13 ----A---- C:\WINDOWS\system32\xvidvfw.dll
2009-12-11 12:19:13 ----A---- C:\WINDOWS\system32\ff_vfw.dll.manifest
2009-12-11 12:19:13 ----A---- C:\WINDOWS\system32\ff_vfw.dll
2009-12-11 12:19:12 ----A---- C:\WINDOWS\system32\msvcr71.dll
2009-12-11 12:19:11 ----D---- C:\Dokumente und Einstellungen\simon-nb\Anwendungsdaten\Real
2009-12-11 12:19:11 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real
2009-12-11 12:19:11 ----A---- C:\WINDOWS\system32\msvcp71.dll
2009-12-11 12:16:25 ----D---- C:\Dokumente und Einstellungen\simon-nb\Anwendungsdaten\InfraRecorder
2009-12-11 12:13:37 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-11 12:10:36 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-12-11 12:10:29 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-12-11 11:13:11 ----N---- C:\WINDOWS\system32\pxinsi64.exe
2009-12-11 11:13:11 ----N---- C:\WINDOWS\system32\pxcpyi64.exe
2009-12-11 11:12:55 ----D---- C:\Programme\Gemeinsame Dateien\DivX Shared
2009-12-11 11:05:59 ----HDC---- C:\WINDOWS\ie8
2009-12-11 10:57:16 ----A---- C:\WINDOWS\system32\javaws.exe
2009-12-11 10:57:16 ----A---- C:\WINDOWS\system32\javaw.exe
2009-12-11 10:57:16 ----A---- C:\WINDOWS\system32\java.exe
2009-12-11 10:54:30 ----A---- C:\WINDOWS\system32\muweb.dll
2009-12-11 10:54:29 ----A---- C:\WINDOWS\system32\mucltui.dll.mui
2009-12-11 10:54:29 ----A---- C:\WINDOWS\system32\mucltui.dll
2009-12-10 22:26:56 ----D---- C:\Dokumente und Einstellungen\simon-nb\Anwendungsdaten\Skype
2009-12-10 19:46:05 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2009-12-10 19:13:11 ----D---- C:\WINDOWS\Sun
2009-12-10 19:11:53 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-12-10 19:11:20 ----D---- C:\Dokumente und Einstellungen\simon-nb\Anwendungsdaten\Sun
2009-12-10 19:10:52 ----D---- C:\Dokumente und Einstellungen\simon-nb\Anwendungsdaten\Opera
2009-12-10 11:58:55 ----D---- C:\Programme\Microsoft
2009-12-10 11:58:39 ----D---- C:\Programme\Windows Live SkyDrive
2009-12-10 11:58:16 ----D---- C:\Programme\Windows Live
2009-12-10 11:54:48 ----D---- C:\Programme\Gemeinsame Dateien\Windows Live
2009-12-10 11:54:15 ----N---- C:\WINDOWS\system32\vxblock.dll
2009-12-10 11:54:15 ----N---- C:\WINDOWS\system32\pxwave.dll
2009-12-10 11:54:15 ----N---- C:\WINDOWS\system32\pxsfs.dll
2009-12-10 11:54:15 ----N---- C:\WINDOWS\system32\pxmas.dll
2009-12-10 11:54:15 ----N---- C:\WINDOWS\system32\pxinsa64.exe
2009-12-10 11:54:15 ----N---- C:\WINDOWS\system32\pxhpinst.exe
2009-12-10 11:54:15 ----N---- C:\WINDOWS\system32\pxdrv.dll
2009-12-10 11:54:15 ----N---- C:\WINDOWS\system32\pxcpya64.exe
2009-12-10 11:54:15 ----N---- C:\WINDOWS\system32\pxafs.dll
2009-12-10 11:54:15 ----N---- C:\WINDOWS\system32\px.dll
2009-12-10 11:54:13 ----D---- C:\Dokumente und Einstellungen\simon-nb\Anwendungsdaten\Winamp
2009-12-10 11:46:20 ----D---- C:\WINDOWS\pss
2009-12-09 16:34:05 ----D---- C:\Dokumente und Einstellungen\simon-nb\Anwendungsdaten\vlc
2009-12-09 10:04:06 ----A---- C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem #3.txt
2009-11-28 15:15:43 ----HDC---- C:\WINDOWS\$NtUninstallKB976098-v2$
2009-11-28 15:15:37 ----HDC---- C:\WINDOWS\$NtUninstallKB973687$
2009-11-27 00:31:32 ----HDC---- C:\WINDOWS\$NtUninstallKB969947$
2009-11-19 16:36:21 ----A---- C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem #2.txt

======List of files/folders modified in the last 1 months======

2009-12-17 19:21:11 ----D---- C:\WINDOWS
2009-12-17 18:27:41 ----D---- C:\WINDOWS\system32\CatRoot2
2009-12-17 18:27:37 ----D---- C:\WINDOWS\Temp
2009-12-17 18:27:37 ----D---- C:\WINDOWS\Registration
2009-12-17 18:26:16 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-12-17 18:14:14 ----D---- C:\WINDOWS\Prefetch
2009-12-17 17:46:34 ----RD---- C:\Programme
2009-12-17 17:45:38 ----SHD---- C:\WINDOWS\Installer
2009-12-17 14:54:44 ----D---- C:\WINDOWS\system32\drivers
2009-12-17 14:47:56 ----D---- C:\WINDOWS\Debug
2009-12-17 11:35:11 ----A---- C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem.txt
2009-12-17 09:04:26 ----D---- C:\WINDOWS\WinSxS
2009-12-16 15:04:58 ----HD---- C:\WINDOWS\inf
2009-12-16 15:02:35 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-12-15 23:41:13 ----A---- C:\WINDOWS\system.ini
2009-12-13 00:01:32 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2009-12-12 11:40:21 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2009-12-11 12:51:56 ----SH---- C:\boot.ini
2009-12-11 12:51:56 ----A---- C:\WINDOWS\win.ini
2009-12-11 12:50:58 ----D---- C:\WINDOWS\system32
2009-12-11 12:50:03 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-12-11 12:50:03 ----D---- C:\WINDOWS\system32\CatRoot
2009-12-11 12:48:02 ----D---- C:\WINDOWS\ehome
2009-12-11 12:37:10 ----D---- C:\WINDOWS\AppPatch
2009-12-11 12:35:29 ----HD---- C:\WINDOWS\$hf_mig$
2009-12-11 12:35:15 ----D---- C:\Programme\Internet Explorer
2009-12-11 12:24:28 ----SD---- C:\Dokumente und Einstellungen\simon-nb\Anwendungsdaten\Microsoft
2009-12-11 12:23:09 ----RSD---- C:\WINDOWS\assembly
2009-12-11 12:22:42 ----RSD---- C:\WINDOWS\Fonts
2009-12-11 12:13:37 ----D---- C:\Programme\Gemeinsame Dateien
2009-12-11 11:07:47 ----D---- C:\WINDOWS\Help
2009-12-11 11:06:58 ----D---- C:\WINDOWS\WBEM
2009-12-11 11:06:57 ----D---- C:\WINDOWS\system32\en-US
2009-12-11 11:06:52 ----D---- C:\WINDOWS\Media
2009-12-11 11:04:28 ----D---- C:\WINDOWS\system32\de-de
2009-12-11 11:03:07 ----D---- C:\WINDOWS\ie8updates
2009-12-01 21:06:19 ----A---- C:\WINDOWS\system32\MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\E:\Programme\Sicherheit\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-11-25 56816]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2008-03-17 101376]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2009-09-13 6048768]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2009-09-13 5082624]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2009-09-13 224736]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 wowfilter;WOW XT Filter Driver; C:\WINDOWS\system32\drivers\wowfilter.sys [2009-03-24 25560]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S3 Ambfilt;Ambfilt; C:\WINDOWS\system32\drivers\Ambfilt.sys [2009-09-13 1684736]
S3 AR5416;Atheros AR5008 Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\athw.sys [2009-09-13 1570240]
S3 MHNDRV;MHN-Treiber; C:\WINDOWS\system32\DRIVERS\mhndrv.sys [2004-08-10 11008]
S3 Monfilt;Monfilt; C:\WINDOWS\system32\drivers\Monfilt.sys [2009-09-13 1389056]
S3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2009-09-13 142336]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; E:\Programme\Sicherheit\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; E:\Programme\Sicherheit\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 ehRecvr;Media Center Receiver Service; C:\WINDOWS\eHome\ehRecvr.exe [2004-08-10 194560]
R2 ehSched;Media Center-Planerdienst; C:\WINDOWS\eHome\ehSched.exe [2004-08-10 102912]
R2 JavaQuickStarterService;Java Quick Starter; E:\Programme\Internet\java\bin\jqs.exe [2009-10-11 153376]
R2 SRS_PostInstaller;SRS PostInstaller Service; C:\Programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller2.exe [2009-03-24 74992]
R2 VMCService;Vodafone Mobile Connect Service; C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2008-07-04 14336]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 MHN;MHN; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-10 38912]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------
         


Ich hoffe ihr könnt aus den ganzen Daten und Logs mehr rauslesen als ich und mir sagen ob mein Computer noch mit einem Trojaner infiziert ist, oder nicht. Vielen Dank schonmal im Voraus!
Grüße
unbezahlbar
__________________


Alt 22.12.2009, 11:55   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt? - Standard

TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt?



Hallo und

1.) Der Eintrag, der sich nicht mit dem CCleaner entfernen lässt ist okay, gehört zu AntiVir.

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.


3.) Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
registry values to delete:
HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | C:\DOKUME~1\simon-nb\LOKALE~1\Temp\IXP000.TMP\JKYTJT~1.EXE

registry keys to delete:
HKLM\software\microsoft\shared tools\msconfig\startupreg\Firevall Administrating

files to delete:
c:\windows\system32\rndll.exe
c:\windows\rndll.exe

folders to delete:
C:\DOKUME~1\simon-nb\LOKALE~1\Temp\IXP000.TMP

drivers to delete:
MHN
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________
__________________

Alt 22.12.2009, 20:19   #4
unbezahlbar
 
TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt? - Standard

TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt?



Hallo cosinus und danke für deine Antwort!

Habe alle Schritte wie beschrieben ausgeführt, hier ist das LogFile von Avenger:
Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|C:\DOKUME~1\simon-nb\LOKALE~1\Temp\IXP000.TMP\JKYTJT~1.EXE" deleted successfully.

Error:  file "c:\windows\system32\rndll.exe" not found!
Deletion of file "c:\windows\system32\rndll.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\rndll.exe" not found!
Deletion of file "c:\windows\rndll.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "C:\DOKUME~1\simon-nb\LOKALE~1\Temp\IXP000.TMP" not found!
Deletion of folder "C:\DOKUME~1\simon-nb\LOKALE~1\Temp\IXP000.TMP" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "MHN" deleted successfully.
Registry key "HKLM\software\microsoft\shared tools\msconfig\startupreg\Firevall Administrating" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Alt 22.12.2009, 20:42   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt? - Standard

TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt?



Ok, mach nun bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.12.2009, 22:06   #6
unbezahlbar
 
TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt? - Standard

TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt?



ComboFix ist durchgelaufen. LogFile:
Code:
ATTFilter
ComboFix 09-12-21.08 - simon-nb 22.12.2009  22:56:25.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3005.2527 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\simon-nb\Desktop\cofi.exe
.

(((((((((((((((((((((((   Dateien erstellt von 2009-11-22 bis 2009-12-22  ))))))))))))))))))))))))))))))
.

2009-12-22 18:32 . 2009-12-22 18:32	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\FLEXnet
2009-12-21 15:43 . 2009-12-21 15:43	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Bytemobile
2009-12-21 15:42 . 2009-12-21 15:42	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\Bytemobile
2009-12-21 15:42 . 2009-04-09 12:38	7680	----a-r-	c:\windows\system32\drivers\massfilter.sys
2009-12-21 15:41 . 2009-12-21 15:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-12-21 15:38 . 2009-12-21 15:38	8464	----a-w-	c:\windows\system32\SpOrder.dll
2009-12-21 15:38 . 2009-12-21 15:38	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\Lokale Einstellungen\Anwendungsdaten\{488CA21E-322E-4720-8CF4-9B475A5D5676}
2009-12-17 22:33 . 2009-12-17 23:34	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-12-17 16:46 . 2009-12-17 18:54	--------	d-----w-	c:\programme\trend micro
2009-12-17 16:46 . 2009-12-20 15:46	--------	d-----w-	C:\rsit
2009-12-17 16:45 . 2009-12-17 16:45	388096	----a-r-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2009-12-17 13:54 . 2009-12-17 13:54	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\Malwarebytes
2009-12-17 13:54 . 2009-12-03 15:14	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-17 13:54 . 2009-12-17 13:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-17 13:54 . 2009-12-03 15:13	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-16 22:32 . 2009-12-16 22:32	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2009-12-16 22:32 . 2009-12-16 22:32	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2009-12-16 14:04 . 2009-11-25 10:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-15 22:41 . 2009-12-15 22:41	--------	d--h--w-	c:\windows\PIF
2009-12-14 21:08 . 2009-12-14 21:08	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\gtk-2.0
2009-12-14 21:08 . 2009-12-14 21:08	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\.thumbnails
2009-12-14 21:04 . 2009-12-14 21:14	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\.gimp-2.6
2009-12-11 13:19 . 2009-12-11 13:19	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\TeamViewer
2009-12-11 13:19 . 2009-12-11 13:19	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\temp
2009-12-11 11:48 . 2009-12-22 20:41	1	----a-w-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-12-11 11:39 . 2009-12-11 11:39	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\OpenOffice.org
2009-12-11 11:31 . 2009-12-11 11:31	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\Yiola
2009-12-11 11:24 . 2009-12-11 11:24	766	----a-r-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\Microsoft\Installer\{BCB313A5-1AD0-4829-9D6F-EB41C3CFCD4B}\htmledit.exe
2009-12-11 11:24 . 2009-12-11 11:24	10134	----a-r-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\Microsoft\Installer\{BCB313A5-1AD0-4829-9D6F-EB41C3CFCD4B}\Foren.exe
2009-12-11 11:22 . 2009-12-11 11:22	--------	d-----w-	c:\programme\Java
2009-12-11 11:16 . 2009-12-11 11:16	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\InfraRecorder
2009-12-11 11:13 . 2009-12-11 11:14	--------	d-----w-	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-11 11:10 . 2009-12-11 11:10	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-12-11 10:19 . 2009-12-11 10:19	--------	d-sh--w-	c:\dokumente und einstellungen\simon-nb\IECompatCache
2009-12-11 10:13 . 2009-11-14 00:49	120056	------w-	c:\windows\system32\pxcpyi64.exe
2009-12-11 10:13 . 2009-11-14 00:49	118520	------w-	c:\windows\system32\pxinsi64.exe
2009-12-11 10:12 . 2009-12-11 10:13	--------	d-----w-	c:\programme\Gemeinsame Dateien\DivX Shared
2009-12-11 10:05 . 2009-12-11 10:06	--------	dc-h--w-	c:\windows\ie8
2009-12-11 10:04 . 2009-11-21 15:54	471552	-c----w-	c:\windows\system32\dllcache\aclayers.dll
2009-12-11 09:56 . 2009-12-11 09:56	152576	----a-w-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-11 09:55 . 2009-12-11 09:55	79488	----a-w-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-11 09:54 . 2009-08-06 18:23	215920	----a-w-	c:\windows\system32\muweb.dll
2009-12-11 09:54 . 2009-08-06 18:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2009-12-10 21:26 . 2009-12-18 23:14	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\Skype
2009-12-10 18:46 . 2009-12-10 18:46	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-12-10 18:13 . 2009-12-10 18:13	--------	d-----w-	c:\windows\Sun
2009-12-10 18:11 . 2009-10-11 03:17	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-12-10 18:10 . 2009-12-10 18:10	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\Lokale Einstellungen\Anwendungsdaten\Opera
2009-12-10 11:00 . 2009-12-20 15:20	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\Tracing
2009-12-10 10:58 . 2009-12-10 10:58	--------	d-----w-	c:\programme\Microsoft
2009-12-10 10:58 . 2009-12-10 10:58	--------	d-----w-	c:\programme\Windows Live SkyDrive
2009-12-10 10:58 . 2009-12-10 10:58	--------	d-----w-	c:\programme\Windows Live
2009-12-09 19:56 . 2008-04-14 02:58	14720	-c--a-w-	c:\windows\system32\dllcache\kbdhid.sys
2009-12-09 19:56 . 2008-04-14 02:58	14720	----a-w-	c:\windows\system32\drivers\kbdhid.sys
2009-12-09 19:10 . 2009-12-19 15:23	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\tipp10
2009-12-09 15:34 . 2009-12-09 15:34	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\vlc

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-21 15:45 . 2009-09-12 22:09	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\Vodafone
2009-12-21 15:44 . 2009-09-13 22:11	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Vodafone
2009-12-12 10:40 . 2009-09-13 14:30	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-12-11 14:52 . 2009-12-10 10:54	--------	d-----w-	c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\Winamp
2009-12-11 11:48 . 2009-12-11 11:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-12-11 11:37 . 2009-09-12 21:54	40152	----a-w-	c:\dokumente und einstellungen\simon-nb\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-11 11:19 . 2009-12-11 11:19	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-12-10 10:54 . 2009-12-10 10:54	--------	d-----w-	c:\programme\Gemeinsame Dateien\Windows Live
2009-11-21 15:54 . 2004-08-10 12:00	471552	----a-w-	c:\windows\AppPatch\aclayers.dll
2009-11-14 00:47 . 2009-11-14 00:47	90112	----a-w-	c:\windows\system32\dpl100.dll
2009-11-14 00:47 . 2009-11-14 00:47	856064	----a-w-	c:\windows\system32\divx_xx0c.dll
2009-11-14 00:47 . 2009-11-14 00:47	856064	----a-w-	c:\windows\system32\divx_xx07.dll
2009-11-14 00:47 . 2009-11-14 00:47	847872	----a-w-	c:\windows\system32\divx_xx0a.dll
2009-11-14 00:47 . 2009-11-14 00:47	843776	----a-w-	c:\windows\system32\divx_xx16.dll
2009-11-14 00:47 . 2009-11-14 00:47	839680	----a-w-	c:\windows\system32\divx_xx11.dll
2009-11-14 00:47 . 2009-11-14 00:47	696320	----a-w-	c:\windows\system32\DivX.dll
2009-11-07 17:37 . 2004-08-10 12:00	80268	----a-w-	c:\windows\system32\perfc007.dat
2009-11-07 17:37 . 2004-08-10 12:00	449334	----a-w-	c:\windows\system32\perfh007.dat
2009-10-29 07:40 . 2004-08-10 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2009-10-21 05:38 . 2004-08-10 12:00	75776	----a-w-	c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2004-08-10 12:00	25088	----a-w-	c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-10 12:00	265728	----a-w-	c:\windows\system32\drivers\http.sys
2009-10-13 10:32 . 2004-08-10 12:00	271360	----a-w-	c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2004-08-10 12:00	79872	----a-w-	c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2004-08-10 12:00	150528	----a-w-	c:\windows\system32\rastls.dll
.

------- Sigcheck -------

[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2009-09-13 1044480]
"RTHDCPL"="RTHDCPL.EXE" [2009-09-13 17881600]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-13 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-13 178712]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-13 150040]
"SunJavaUpdateSched"="e:\programme\Internet\java\bin\jusched.exe" [2009-10-11 149280]
"MobileConnect"="e:\programme\Internet\vodafone\Bin\MobileConnect.exe" [2009-07-03 2328576]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^simon-nb^Startmenü^Programme^Autostart^OpenOffice.org 3.1.lnk]
path=c:\dokumente und einstellungen\simon-nb\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 16:10	35696	----a-w-	e:\programme\Anwendung\adobe reader\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programme\\Messenger\\icq\\ICQ6.5\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"e:\\Programme\\Messenger\\skype\\Phone\\Skype.exe"=

R2 SRS_PostInstaller;SRS PostInstaller Service;c:\programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller2.exe [24.03.2009 08:52 74992]
R2 VMCService;Vodafone Mobile Connect Service;e:\programme\Internet\vodafone\Bin\VMCService.exe [03.07.2009 11:40 9216]
R3 wowfilter;WOW XT Filter Driver;c:\windows\system32\drivers\WOWFilter.sys [24.03.2009 08:52 25560]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [13.09.2009 16:28 1684736]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - BMLoad
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.forestle.de/
LSP: bmnet.dll
FF - ProfilePath - c:\dokumente und einstellungen\simon-nb\Anwendungsdaten\Mozilla\Firefox\Profiles\ny5p1e8w.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.forestle.de
FF - plugin: e:\programme\Anwendung\adobe reader\Reader\browser\nppdf32.dll
FF - plugin: e:\programme\Internet\java\bin\new_plugin\npdeploytk.dll
FF - plugin: e:\programme\Internet\java\bin\new_plugin\npjp2.dll
FF - plugin: e:\programme\Internet\opera\program\plugins\nppl3260.dll
FF - plugin: e:\programme\Internet\opera\program\plugins\npqtplugin.dll
FF - plugin: e:\programme\Internet\opera\program\plugins\npqtplugin2.dll
FF - plugin: e:\programme\Internet\opera\program\plugins\npqtplugin3.dll
FF - plugin: e:\programme\Internet\opera\program\plugins\npqtplugin4.dll
FF - plugin: e:\programme\Internet\opera\program\plugins\npqtplugin5.dll
FF - plugin: e:\programme\Internet\opera\program\plugins\nprpjplug.dll
FF - plugin: e:\programme\Internet\opera\program\plugins\NPSWF32.dll
FF - plugin: e:\programme\Media\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: e:\programme\Media\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: e:\programme\Media\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: e:\programme\Media\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************
Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(564)
c:\windows\system32\bmnet.dll

- - - - - - - > 'explorer.exe'(1620)
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2009-12-22  22:58:43
ComboFix-quarantined-files.txt  2009-12-22 21:58

Vor Suchlauf: 7 Verzeichnis(se), 34.666.295.296 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 34.632.040.448 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

- - End Of File - - D9BF0D36785D2B99F145F17E629A2A44
         

Alt 23.12.2009, 07:42   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt? - Standard

TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt?



Das sieht ok aus. Werden noch Schädlinge gemeldet?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.12.2009, 14:03   #8
unbezahlbar
 
TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt? - Standard

TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt?



Habe gerade noch jeweils einen Suchlauf mit AntiVir und mit Malwarebytes' Anti-Malware gemacht.
AntiVir findet nichts, Anti-Malware leider schon.
Eine infizierte Datei, hier der Report:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3415
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.12.2009 14:57:38
mbam-log-2009-12-23 (14-57-34).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 178719
Laufzeit: 28 minute(s), 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{BA410501-519D-426C-A4C9-0DC0E9ED7E36}\RP1\A0000079.sys (Rootkit.Agent) -> No action taken.
         

Alt 23.12.2009, 14:21   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt? - Standard

TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt?



Ist ne Datei in der SHW - Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.12.2009, 15:03   #10
unbezahlbar
 
TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt? - Standard

TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt?



Ist diese Datei gefährlich?
Seltsam, ich hatte die Systemwiederherstellung schon deaktiviert bevor ich Avenger eingesetzt habe, deswegen wundert es mich, dass sie wieder aktiv ist. Hängt das vielleicht mit der Wiederherstellungskonsole zusammen, die ComboFix runterlädt?
Habe sie jetzt auf jeden Fall wieder deaktiviert.

Danke für deine Hilfe cosinus

Gruß

Antwort

Themen zu TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt?
0 bytes, 1.tmp, antivir, antivir guard, avgnt.exe, avira, desktop, dllhost.exe, entfernt?, fehler, firefox.exe, flash player, home, install.exe, installation, jusched.exe, logfile, logon.exe, malware gefunden, malwarebytes' anti-malware, media center, mozilla, mp3, msiexec.exe, nicht gefunden, nt.dll, outlook express, passwort geändert, prozesse, quelldatei, registrierungsschlüssel, registry, rthdcpl.exe, rundll, security, sicherheit, suchlauf, svchost.exe, trojaner, unter windows xp, updates, versteckte objekte, verweise, virus gefunden, warnung, windows, windows internet, windows internet explorer, windows live messenger, windows xp, wirklich entfernt?, wlan, wuauclt.exe



Ähnliche Themen: TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt?


  1. Viele Trojaner im System: Kitana-134/Win32:Crypt -Buzus -Banker -...
    Plagegeister aller Art und deren Bekämpfung - 28.07.2013 (11)
  2. Trojaner Buzus.JJ.253 auf eingeschränktem Benutzerkonto
    Plagegeister aller Art und deren Bekämpfung - 07.05.2013 (10)
  3. Trojaner TR/Buzus.iias + TR/Buzus.ihys + Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.akm
    Plagegeister aller Art und deren Bekämpfung - 14.09.2011 (38)
  4. Trojaner eingefangen, Trojan.win32.buzus.dajg, Kaspersky kann es nicht beseitigen
    Log-Analyse und Auswertung - 03.10.2010 (1)
  5. Habe Probleme mit dem Trojaner TR/Buzus.fklu
    Log-Analyse und Auswertung - 24.09.2010 (3)
  6. Trojaner TR/Buzus.eksk
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (6)
  7. Ist Buzus Trojaner nach Löschung tatsächlich weg?
    Plagegeister aller Art und deren Bekämpfung - 11.07.2010 (2)
  8. Buzus Trojaner gefunden, liegt in Quarantäne benötige aber noch Ratschläge
    Log-Analyse und Auswertung - 24.05.2010 (4)
  9. TR/Buzus.diyx / Trojaner
    Log-Analyse und Auswertung - 10.04.2010 (15)
  10. SetupCasino.exe - Antivir warnt vor Trojaner TR/Buzus.defw
    Log-Analyse und Auswertung - 18.02.2010 (1)
  11. Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz
    Plagegeister aller Art und deren Bekämpfung - 22.01.2010 (16)
  12. TR/Buzus.amo
    Plagegeister aller Art und deren Bekämpfung - 15.01.2010 (11)
  13. Trojaner w32\buzus.x
    Plagegeister aller Art und deren Bekämpfung - 19.08.2009 (3)
  14. Trojaner Buzus
    Plagegeister aller Art und deren Bekämpfung - 02.07.2009 (1)
  15. Trojaner:Dropper, Downloader, Buzus
    Plagegeister aller Art und deren Bekämpfung - 03.02.2009 (28)
  16. TR/buzus.hrp
    Mülltonne - 24.11.2008 (0)
  17. Kennt ihr diesen Trojaner TR/Buzus.xxn?
    Plagegeister aller Art und deren Bekämpfung - 18.09.2008 (13)

Zum Thema TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt? - Guten Tag. Bin Windows XP (SP3) - User und habe seit zwei Tagen einen Trojaner auf meinem Computer. Den Trojaner (bzw. eher den entsprechenden Dropper) habe ich über einen Weblink - TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt?...
Archiv
Du betrachtest: TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.