Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: SubSeven Malware?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 21.12.2009, 16:30   #1
gort23
 
SubSeven Malware? - Standard

SubSeven Malware?



Hi,

mein Bruder hat unglücklicherweise einige Fernverwaltungsprogramme auf meinem PC ausprobieren wollen, eigentlich ausschließlich legale, nur leider war auch Subseven dabei; als ich den Dateinamen auf dem PC sah, habe ich natürlich sofort AntiVir angeschmissen, was auch einige Dateien erkannt hat, die ich entfernt habe; der SpyDoctor hat etwa 300 Infizierungen erkannt; leider habe ich ja nicht die Lizenz für diesen, daher habe ich es separat aus der Registry gelöscht (indem ich die regedit.exe in .com änderte); jetzt bin ich mir aber eben nicht sicher, ob auch das trojanische Pferd tatsächlich auf meinem PC war, also, ob tatsächlich uach jemand Zugriff hatte, oder ob es "nur" das Programm war (bei soetwas schlagen Virenprogramm ja auch Alarm); man soll ja auch etwasw in der win.ini-Datei ändern; da war bei mir aber überhaupt nichts zu ändern, weil hinter =load und =run (ich glaube, da sollte man schauen) gar nichts stand bzw. load und run stand dort gar nicht. Was muss ich jetzt noch beachten? Oder muss ich tatsächlich neu formatieren? Wie wahrscheinlich ist jetzt überhaupt eine Infektion, wenn die Setup von Subseven selbst genutzt wurde, das Programm also installiert wurde?

Hier das Log:

---
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:29:21, on 21.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\Engine\16.7.2.11\ccSvcHst.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Microsoft Encarta\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Norton AntiVirus\Engine\16.7.2.11\ccSvcHst.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox 2\firefox.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:4480;http=192.168.0.1:4480;https=192.168.0.1:4480;socks=192.168.0.1:1080
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu257\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton AntiVirus\Engine\16.7.2.11\IPSBHO.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download by Arles Download Manager - C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Ariel Download Manager\DownloadManager.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132771464828
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Programme\Norton AntiVirus\Engine\16.7.2.11\ccSvcHst.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 12391 bytes


Vielen Dank für eure Hilfe!

Alt 22.12.2009, 11:19   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
SubSeven Malware? - Standard

SubSeven Malware?



Hallo und

Du solltest Norton AV deinstallieren und AntiVir behalten, nur wenige Virenscanner mit Hintergrundwächter vertragen sich.

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 22.12.2009, 11:36   #3
Heike
 
SubSeven Malware? - Standard

SubSeven Malware?



sub7 ist so alt, er wurde gecodet, als noch ganz andere Betriebssysteme modern waren. Auf XP war sub7 nie richtig lauffähig, deshalb denke ich nicht, dass Du mit sub7 infiziert warst/bist.

trotzdem kannst Du natürlich infiziert sein.

Arne, bin schon wieder weg.
__________________
__________________

Alt 25.12.2009, 18:01   #4
gort23
 
SubSeven Malware? - Standard

SubSeven Malware?



So hier die Logfiles (das Malwarebytes Programm habe ich jedoch vor dem CCCleaner ausgeführt); ich hoffe, es ist so in Ordnung mit den Files (hijack ist im ersten Beitrag; ich hoffe ich habe auch alle Namen anonymisiert; sonst bitte noch mal sagen).

Vielen Dank für eure Hilfe!

Alt 26.12.2009, 16:54   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
SubSeven Malware? - Standard

SubSeven Malware?



1.) Funde mit Malwarebytes entfernt? Da steht überall "no action taken"

2.) Was willst Du mit den Toolbars? ICQ, Yahoo, Google, PC-Tools?
Das ist idR unnötiger/unnützer Ballast, nach Möglichkeit deinstallieren!

3.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten:
Code:
ATTFilter
C:\WINDOWS\system32\taksman.exe
C:\WINDOWS\system32\update.exe
C:\WINDOWS\system32\drivers\a90otbdk.sys
         
4.) Lade dir Lop S&D herunter.

Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus.

Windows Vista und 7: Rechtsklick auf Lop S&D.exe => Ausführen als Admin!!

Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 26.12.2009, 22:37   #6
gort23
 
SubSeven Malware? - Standard

SubSeven Malware?



Hi,

1) Ja, habe ich alles entfernt; im Anhang ist noch einmal ein ganz aktuelles File.

2) Dann werde ich die wohl mal deinstallieren

3) zu taksman.exe -> http://www.virustotal.com/de/analisis/adfd871f1f50dc7953443fb6cc1882d2650f4dfc01e08bebcb6749557ccca33b-1261862910 (ich hoffe, das ist so richtig mit dem Link)

update.exe und a90otbdk.sys habe ich nicht mehr gefunden.


Leider gibt es ein Problem mit dem Log S&D Programm; wenn ich doppelklicke, erscheint kurz ein blaues Fenster, wo dann kurz kurz steht. Parameter falsch. Dann schließt es sich, und es kommt nichts mehr.

Alt 26.12.2009, 23:21   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
SubSeven Malware? - Standard

SubSeven Malware?



Die taksman.exe dürfte neue Malware sein, bitte bei uns hochladen! (Anleitung)


Mach danach bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 27.12.2009, 01:35   #8
gort23
 
SubSeven Malware? - Standard

SubSeven Malware?



So, ich habe die Datei hochgeladen; muss ich sie denn jetzt separat löschen?`Das habe ihc noch nicht gemacht; ich habe vom ComboFix zwei Logs, weil ich den ersten Durchgang versentlich ohne Internetverbindung gemacht habe; ich poste daher beide.




ComboFix 09-12-26.01 - *** 27.12.2009 1:07.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.565 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-3540043398-1865561849-1674238358-1003
c:\windows\Fonts\Setup\SETUPLNG.DLL
c:\windows\system32\SIntf16.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-11-27 bis 2009-12-27 ))))))))))))))))))))))))))))))
.

2009-12-26 21:36 . 2009-12-26 21:36 -------- d-----w- C:\Lop SD
2009-12-26 10:15 . 2009-12-26 10:15 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2009-12-25 20:47 . 2009-12-26 21:56 -------- d-----w- c:\programme\NortonInstaller
2009-12-25 17:31 . 2009-11-14 00:49 9464 ------w- c:\windows\system32\drivers\cdralw2k.sys
2009-12-25 17:31 . 2009-11-14 00:49 9336 ------w- c:\windows\system32\drivers\cdr4_xp.sys
2009-12-25 17:31 . 2009-11-14 00:49 129784 ------w- c:\windows\system32\pxafs.dll
2009-12-25 17:30 . 2009-12-25 17:30 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-12-25 17:30 . 2009-12-25 17:47 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-12-25 16:54 . 2009-12-25 17:00 -------- d-----w- C:\rsit
2009-12-25 16:34 . 2009-12-25 16:35 -------- d-----w- c:\programme\CCleaner
2009-12-25 12:48 . 2009-12-25 12:48 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Threat Expert
2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-12-21 16:26 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-21 16:26 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-20 15:25 . 2009-12-20 15:25 -------- d-----w- c:\programme\Trend Micro
2009-12-20 15:02 . 2009-12-25 12:53 -------- d-----w- c:\programme\Crawler
2009-12-20 14:35 . 2009-11-10 09:26 767952 ----a-w- c:\windows\BDTSupport.dll
2009-12-20 14:29 . 2009-12-20 14:29 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\PC Tools
2009-12-20 14:29 . 2009-12-20 14:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2009-12-20 11:43 . 2009-12-20 11:43 1920 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_180001704B9E6FD48A54ACFA0D394E77.dll
2009-12-20 11:43 . 2009-12-20 11:43 10 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_18555481990E8AB4CBB63FB4F26006C0.dll
2009-12-20 11:43 . 2009-12-20 11:43 1172 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_0F007175D9BDA3B40BD3531AB45B39F9.dll
2009-12-20 11:43 . 2009-12-20 11:43 41 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_096825A1D2A65CB41B34C8A48E1DD969.dll
2009-12-20 11:43 . 2009-12-20 11:43 152 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_0E23E40C6140D434FA9B96967D309AFE.dll
2009-12-20 11:43 . 2009-12-20 11:43 10 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_0DC1503A46F231838AD88BCDDC8E8F7C.dll
2009-12-20 11:43 . 2009-12-20 11:43 769 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_01E4D47B488600000000000000001030.dll
2009-12-20 11:36 . 2009-12-20 11:36 -------- d-----w- C:\Autoruns
2009-12-19 18:49 . 2009-12-19 18:49 -------- d-----w- c:\programme\SmartFTP Client 4.0 Setup Files
2009-12-19 18:41 . 2003-12-19 18:41 105984 --s---w- c:\windows\system32\taksman.exe
2009-12-19 18:12 . 2009-12-19 18:12 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SmartFTP
2009-12-19 18:12 . 2009-12-19 18:49 -------- d-----w- c:\programme\SmartFTP Client
2009-12-14 18:17 . 2009-12-14 18:17 89845 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Uninstall.exe
2009-12-14 18:17 . 2009-12-20 11:10 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox
2009-12-12 00:38 . 2009-12-12 00:38 21953384 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe
2009-12-09 01:19 . 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-27 00:13 . 2007-01-05 23:32 -------- d-----w- c:\windows\Fonts\Setup
2009-12-27 00:01 . 2009-06-22 18:11 -------- d-----w- c:\programme\Mozilla Firefox 2
2009-12-26 23:57 . 2007-05-31 21:15 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-12-26 10:16 . 2005-11-22 21:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-12-25 17:47 . 2006-01-31 10:35 -------- d-----w- c:\programme\DivX
2009-12-25 17:32 . 2007-05-31 21:15 -------- d-----w- c:\programme\Google
2009-12-24 12:03 . 2009-12-20 14:29 -------- d-----w- c:\programme\Spyware Doctor
2009-12-22 17:49 . 2009-06-30 18:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2009-12-22 17:47 . 2005-11-22 21:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2009-12-20 16:15 . 2009-10-21 19:54 -------- d-----w- c:\programme\Ask.com
2009-12-20 15:14 . 2007-05-11 22:19 -------- d-----w- c:\programme\FDRLab
2009-12-20 15:14 . 2007-05-11 22:18 -------- d-----w- c:\programme\UZC Trial
2009-12-20 14:35 . 2009-12-20 14:29 -------- d-----w- c:\programme\Gemeinsame Dateien\PC Tools
2009-12-20 14:32 . 2009-12-20 14:32 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Uniblue
2009-12-20 14:32 . 2009-12-20 14:32 -------- d-----w- c:\programme\Uniblue
2009-12-20 14:25 . 2008-05-27 15:50 -------- d-----w- c:\programme\FlashGet
2009-12-20 14:13 . 2006-08-04 21:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Babylon
2009-12-20 11:43 . 2005-12-17 16:50 -------- d-----w- c:\programme\Security Task Manager
2009-12-19 17:55 . 2008-07-01 16:50 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ
2009-12-11 17:31 . 2009-08-08 16:39 122552 ----a-w- c:\dokumente und einstellungen\the storm 2\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-11 13:02 . 2005-11-07 08:38 566590 ----a-w- c:\windows\system32\perfh007.dat
2009-12-11 13:02 . 2005-11-07 08:38 123086 ----a-w- c:\windows\system32\perfc007.dat
2009-12-07 18:38 . 2009-11-07 22:23 79488 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-07 16:47 . 2009-08-31 18:53 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-26 20:44 . 2009-11-26 20:41 -------- d-----w- c:\programme\PartyGaming
2009-11-14 00:49 . 2006-01-31 10:35 43528 ------w- c:\windows\system32\drivers\PxHelp20.sys
2009-11-14 00:49 . 2006-01-31 10:35 120056 ------w- c:\windows\system32\pxcpyi64.exe
2009-11-14 00:49 . 2006-01-31 10:35 118520 ------w- c:\windows\system32\pxinsi64.exe
2009-11-14 00:47 . 2009-11-14 00:47 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2009-11-14 00:47 . 2009-11-14 00:47 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-11-14 00:47 . 2009-11-14 00:47 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2009-11-14 00:47 . 2009-11-14 00:47 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2009-11-14 00:47 . 2009-11-14 00:47 696320 ----a-w- c:\windows\system32\DivX.dll
2009-11-10 09:28 . 2009-12-20 14:35 149456 ----a-w- c:\windows\SGDetectionTool.dll
2009-11-10 09:28 . 2009-12-20 14:35 1640400 ----a-w- c:\windows\PCTBDCore.dll
2009-11-10 09:28 . 2009-12-20 14:35 165840 ----a-w- c:\windows\PCTBDRes.dll
2009-11-09 10:20 . 2009-12-20 14:30 207792 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2009-10-30 10:11 . 2009-12-20 14:30 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2009-10-28 00:36 . 2009-12-20 14:35 1152444 ----a-w- c:\windows\UDB.zip
2009-10-21 05:38 . 2005-11-07 08:37 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2005-11-07 08:37 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 23:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-18 01:14 . 2009-10-18 01:14 2117632 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Python25.dll
2009-10-13 10:32 . 2005-11-07 08:37 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2005-11-07 08:37 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2005-11-07 08:37 150528 ----a-w- c:\windows\system32\rastls.dll
2009-10-06 15:31 . 2009-12-20 14:30 87784 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2006-05-03 09:06 . 2007-11-17 21:27 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2007-11-17 21:27 31232 --sh--r- c:\windows\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-24 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14854144]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NSS"="c:\programme\NortonInstaller\{397E31AA-0D78-4649-A01C-339D73A2ED35}\NSS\LicenseType\2.3.0.44\InstStub.exe" [2009-12-26 634792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
ATI CATALYST System Tray.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-8-12 45056]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Bibliothek-Direktsuche.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Office-Bibliothek-Direktsuche.lnk
backup=c:\windows\pss\Office-Bibliothek-Direktsuche.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TrayMin220.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\TrayMin220.lnk
backup=c:\windows\pss\TrayMin220.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Microsoft.exe]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Microsoft.exe
backup=c:\windows\pss\Microsoft.exeStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^PowerReg Scheduler.exe]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\PowerReg Scheduler.exe
backup=c:\windows\pss\PowerReg Scheduler.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AIM]
2002-11-14 00:50 61440 ----a-w- c:\programme\AIM95\aim.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Babylon Client]
2006-12-13 14:15 2785256 ----a-w- c:\programme\Babylon\Babylon-Pro\Babylon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\E07DXLRD_14546890]
2006-06-12 20:00 351000 ----a-w- c:\programme\Microsoft Encarta\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\E07DXLRD_663703]
2006-06-12 20:00 351000 ----a-w- c:\programme\Microsoft Encarta\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flashget]
2007-09-25 09:29 2007088 ----a-w- c:\programme\FlashGet\flashget.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISTray]
2009-11-18 11:47 1243088 ----a-w- c:\programme\Spyware Doctor\pctsTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2006-02-23 13:45 278528 ----a-w- c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Monitor]
2006-11-03 09:01 319488 ----a-w- c:\windows\Philips\SPC220NC\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2005-08-31 19:27 1658592 ----a-w- c:\progra~1\MESSEN~1\Msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2005-11-01 11:23 143360 ------w- c:\programme\CyberLink\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-04-29 13:43 155648 ----a-w- c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-04-15 15:13 45056 -c--a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Shareaza]
2007-02-05 03:05 4354048 -c--a-w- c:\programme\Shareaza\Shareaza.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-06-15 11:56 148888 ----a-w- c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2007-06-24 15:39 68856 ----a-w- c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2005-11-28 20:09 180269 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
2005-08-18 10:49 307200 ----a-r- c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CLSched"=2 (0x2)
"CyberLink Media Library Service"=2 (0x2)
"CLCapSvc"=2 (0x2)
"iPodService"=3 (0x3)
"ISSVC"=2 (0x2)
"RichVideo"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\Msmsgs.exe"=
"c:\\Programme\\CyberLink\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\CyberLink\\PowerCinema\\PCMService.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\FlashGet\\flashget.exe"=
"c:\\Programme\\Shareaza\\Shareaza.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Dokumente und Einstellungen\\***\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 878BDA;DVB-TV 878 BDA Driver;c:\windows\system32\drivers\878BDA.sys [07.11.2005 09:45 78336]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [20.12.2009 15:30 207792]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [31.08.2009 19:53 108289]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\programme\Spyware Doctor\BDT\BDTUpdateService.exe [20.12.2009 15:35 112592]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [01.07.2008 17:52 222968]
R3 PhilCap;PhilCap service;c:\windows\system32\drivers\PhilCap.sys [07.11.2005 09:45 787840]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07.07.2006 14:24 611064]
S2 gupdate1ca8587f132a42c;Google Update Service (gupdate1ca8587f132a42c);c:\programme\Google\Update\GoogleUpdate.exe [25.12.2009 18:30 133104]
S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [20.12.2009 15:29 359624]
S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [07.11.2005 09:45 215040]
S3 SPC220NC;Philips SPC220NC Webcam;c:\windows\system32\drivers\SPC220NC.SYS [09.09.2008 16:58 507136]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = ftp=192.168.0.1:4480;http=192.168.0.1:4480;https=192.168.0.1:4480;socks=192.168.0.1:1080
uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm
IE: &Download by Arles Download Manager - c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Ariel Download Manager\DownloadManager.htm
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Translate with &Babylon - c:\programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
IE: {{1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - {0854DA01-5BF8-4E9D-A0E9-3CD5500AFB8C} - c:\programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ocmzychx.Standard-Benutzer\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
Notify-WgaLogon - (no file)
MSConfigStartUp-ccApp - c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
MSConfigStartUp-ICQ Lite - c:\programme\ICQLite\ICQLite.exe
MSConfigStartUp-Micosoft Systems - c:\windows\System32\update.exe
MSConfigStartUp-SpywareTerminatorUpdate - c:\programme\Spyware Terminator\SpywareTerminatorUpdate.exe
ActiveSetup-xalhj - c:\windows\system32\xalhj.exe
AddRemove-MP3-Cutter - c:\programme\MP3-Cutter\Uninst.isu



**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(720)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-12-27 01:16:54
ComboFix-quarantined-files.txt 2009-12-27 00:16

Vor Suchlauf: 20 Verzeichnis(se), 132.672.589.824 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 136.331.988.992 Bytes frei

- - End Of File - - A805F4DF382CC1FDA2676458FE5476B0



---

ComboFix 09-12-26.01 - *** 27.12.2009 1:20.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.528 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((( Dateien erstellt von 2009-11-27 bis 2009-12-27 ))))))))))))))))))))))))))))))
.

2009-12-27 00:06 . 2009-12-27 00:17 -------- d-----w- C:\Cofi
2009-12-26 21:36 . 2009-12-26 21:36 -------- d-----w- C:\Lop SD
2009-12-26 10:15 . 2009-12-26 10:15 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2009-12-25 20:47 . 2009-12-26 21:56 -------- d-----w- c:\programme\NortonInstaller
2009-12-25 17:31 . 2009-11-14 00:49 9464 ------w- c:\windows\system32\drivers\cdralw2k.sys
2009-12-25 17:31 . 2009-11-14 00:49 9336 ------w- c:\windows\system32\drivers\cdr4_xp.sys
2009-12-25 17:31 . 2009-11-14 00:49 129784 ------w- c:\windows\system32\pxafs.dll
2009-12-25 17:30 . 2009-12-25 17:30 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-12-25 17:30 . 2009-12-25 17:47 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-12-25 16:54 . 2009-12-25 17:00 -------- d-----w- C:\rsit
2009-12-25 16:34 . 2009-12-25 16:35 -------- d-----w- c:\programme\CCleaner
2009-12-25 12:48 . 2009-12-25 12:48 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Threat Expert
2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-12-21 16:26 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-21 16:26 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-20 15:25 . 2009-12-20 15:25 -------- d-----w- c:\programme\Trend Micro
2009-12-20 15:02 . 2009-12-25 12:53 -------- d-----w- c:\programme\Crawler
2009-12-20 14:35 . 2009-11-10 09:26 767952 ----a-w- c:\windows\BDTSupport.dll
2009-12-20 14:29 . 2009-12-20 14:29 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\PC Tools
2009-12-20 14:29 . 2009-12-20 14:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2009-12-20 11:43 . 2009-12-20 11:43 1920 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_180001704B9E6FD48A54ACFA0D394E77.dll
2009-12-20 11:43 . 2009-12-20 11:43 10 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_18555481990E8AB4CBB63FB4F26006C0.dll
2009-12-20 11:43 . 2009-12-20 11:43 1172 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_0F007175D9BDA3B40BD3531AB45B39F9.dll
2009-12-20 11:43 . 2009-12-20 11:43 41 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_096825A1D2A65CB41B34C8A48E1DD969.dll
2009-12-20 11:43 . 2009-12-20 11:43 152 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_0E23E40C6140D434FA9B96967D309AFE.dll
2009-12-20 11:43 . 2009-12-20 11:43 10 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_0DC1503A46F231838AD88BCDDC8E8F7C.dll
2009-12-20 11:43 . 2009-12-20 11:43 769 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_01E4D47B488600000000000000001030.dll
2009-12-20 11:36 . 2009-12-20 11:36 -------- d-----w- C:\Autoruns
2009-12-19 18:49 . 2009-12-19 18:49 -------- d-----w- c:\programme\SmartFTP Client 4.0 Setup Files
2009-12-19 18:41 . 2003-12-19 18:41 105984 --s---w- c:\windows\system32\taksman.exe
2009-12-19 18:12 . 2009-12-19 18:12 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SmartFTP
2009-12-19 18:12 . 2009-12-19 18:49 -------- d-----w- c:\programme\SmartFTP Client
2009-12-14 18:17 . 2009-12-14 18:17 89845 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Uninstall.exe
2009-12-14 18:17 . 2009-12-20 11:10 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox
2009-12-12 00:38 . 2009-12-12 00:38 21953384 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe
2009-12-09 01:19 . 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-27 00:17 . 2009-06-22 18:11 -------- d-----w- c:\programme\Mozilla Firefox 2
2009-12-27 00:13 . 2007-01-05 23:32 -------- d-----w- c:\windows\Fonts\Setup
2009-12-26 23:57 . 2007-05-31 21:15 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-12-26 10:16 . 2005-11-22 21:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-12-25 17:47 . 2006-01-31 10:35 -------- d-----w- c:\programme\DivX
2009-12-25 17:32 . 2007-05-31 21:15 -------- d-----w- c:\programme\Google
2009-12-24 12:03 . 2009-12-20 14:29 -------- d-----w- c:\programme\Spyware Doctor
2009-12-22 17:49 . 2009-06-30 18:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2009-12-22 17:47 . 2005-11-22 21:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2009-12-20 16:15 . 2009-10-21 19:54 -------- d-----w- c:\programme\Ask.com
2009-12-20 15:14 . 2007-05-11 22:19 -------- d-----w- c:\programme\FDRLab
2009-12-20 15:14 . 2007-05-11 22:18 -------- d-----w- c:\programme\UZC Trial
2009-12-20 14:35 . 2009-12-20 14:29 -------- d-----w- c:\programme\Gemeinsame Dateien\PC Tools
2009-12-20 14:32 . 2009-12-20 14:32 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Uniblue
2009-12-20 14:32 . 2009-12-20 14:32 -------- d-----w- c:\programme\Uniblue
2009-12-20 14:25 . 2008-05-27 15:50 -------- d-----w- c:\programme\FlashGet
2009-12-20 14:13 . 2006-08-04 21:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Babylon
2009-12-20 11:43 . 2005-12-17 16:50 -------- d-----w- c:\programme\Security Task Manager
2009-12-19 17:55 . 2008-07-01 16:50 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ
2009-12-11 17:31 . 2009-08-08 16:39 122552 ----a-w- c:\dokumente und einstellungen\the storm 2\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-11 13:02 . 2005-11-07 08:38 566590 ----a-w- c:\windows\system32\perfh007.dat
2009-12-11 13:02 . 2005-11-07 08:38 123086 ----a-w- c:\windows\system32\perfc007.dat
2009-12-07 18:38 . 2009-11-07 22:23 79488 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-07 16:47 . 2009-08-31 18:53 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-26 20:44 . 2009-11-26 20:41 -------- d-----w- c:\programme\PartyGaming
2009-11-14 00:49 . 2006-01-31 10:35 43528 ------w- c:\windows\system32\drivers\PxHelp20.sys
2009-11-14 00:49 . 2006-01-31 10:35 120056 ------w- c:\windows\system32\pxcpyi64.exe
2009-11-14 00:49 . 2006-01-31 10:35 118520 ------w- c:\windows\system32\pxinsi64.exe
2009-11-14 00:47 . 2009-11-14 00:47 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2009-11-14 00:47 . 2009-11-14 00:47 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-11-14 00:47 . 2009-11-14 00:47 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2009-11-14 00:47 . 2009-11-14 00:47 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2009-11-14 00:47 . 2009-11-14 00:47 696320 ----a-w- c:\windows\system32\DivX.dll
2009-11-10 09:28 . 2009-12-20 14:35 149456 ----a-w- c:\windows\SGDetectionTool.dll
2009-11-10 09:28 . 2009-12-20 14:35 1640400 ----a-w- c:\windows\PCTBDCore.dll
2009-11-10 09:28 . 2009-12-20 14:35 165840 ----a-w- c:\windows\PCTBDRes.dll
2009-11-09 10:20 . 2009-12-20 14:30 207792 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2009-10-30 10:11 . 2009-12-20 14:30 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2009-10-28 00:36 . 2009-12-20 14:35 1152444 ----a-w- c:\windows\UDB.zip
2009-10-21 05:38 . 2005-11-07 08:37 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2005-11-07 08:37 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 23:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-18 01:14 . 2009-10-18 01:14 2117632 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Python25.dll
2009-10-13 10:32 . 2005-11-07 08:37 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2005-11-07 08:37 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2005-11-07 08:37 150528 ----a-w- c:\windows\system32\rastls.dll
2009-10-06 15:31 . 2009-12-20 14:30 87784 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2006-05-03 09:06 . 2007-11-17 21:27 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2007-11-17 21:27 31232 --sh--r- c:\windows\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-24 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14854144]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NSS"="c:\programme\NortonInstaller\{397E31AA-0D78-4649-A01C-339D73A2ED35}\NSS\LicenseType\2.3.0.44\InstStub.exe" [2009-12-26 634792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
ATI CATALYST System Tray.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-8-12 45056]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Bibliothek-Direktsuche.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Office-Bibliothek-Direktsuche.lnk
backup=c:\windows\pss\Office-Bibliothek-Direktsuche.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TrayMin220.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\TrayMin220.lnk
backup=c:\windows\pss\TrayMin220.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Microsoft.exe]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Microsoft.exe
backup=c:\windows\pss\Microsoft.exeStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^PowerReg Scheduler.exe]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\PowerReg Scheduler.exe
backup=c:\windows\pss\PowerReg Scheduler.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AIM]
2002-11-14 00:50 61440 ----a-w- c:\programme\AIM95\aim.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Babylon Client]
2006-12-13 14:15 2785256 ----a-w- c:\programme\Babylon\Babylon-Pro\Babylon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\E07DXLRD_14546890]
2006-06-12 20:00 351000 ----a-w- c:\programme\Microsoft Encarta\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\E07DXLRD_663703]
2006-06-12 20:00 351000 ----a-w- c:\programme\Microsoft Encarta\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flashget]
2007-09-25 09:29 2007088 ----a-w- c:\programme\FlashGet\flashget.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISTray]
2009-11-18 11:47 1243088 ----a-w- c:\programme\Spyware Doctor\pctsTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2006-02-23 13:45 278528 ----a-w- c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Monitor]
2006-11-03 09:01 319488 ----a-w- c:\windows\Philips\SPC220NC\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2005-08-31 19:27 1658592 ----a-w- c:\progra~1\MESSEN~1\Msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2005-11-01 11:23 143360 ------w- c:\programme\CyberLink\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-04-29 13:43 155648 ----a-w- c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-04-15 15:13 45056 -c--a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Shareaza]
2007-02-05 03:05 4354048 -c--a-w- c:\programme\Shareaza\Shareaza.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-06-15 11:56 148888 ----a-w- c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2007-06-24 15:39 68856 ----a-w- c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2005-11-28 20:09 180269 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
2005-08-18 10:49 307200 ----a-r- c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CLSched"=2 (0x2)
"CyberLink Media Library Service"=2 (0x2)
"CLCapSvc"=2 (0x2)
"iPodService"=3 (0x3)
"ISSVC"=2 (0x2)
"RichVideo"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\Msmsgs.exe"=
"c:\\Programme\\CyberLink\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\CyberLink\\PowerCinema\\PCMService.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\FlashGet\\flashget.exe"=
"c:\\Programme\\Shareaza\\Shareaza.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Dokumente und Einstellungen\\***\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 878BDA;DVB-TV 878 BDA Driver;c:\windows\system32\drivers\878BDA.sys [07.11.2005 09:45 78336]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [20.12.2009 15:30 207792]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [31.08.2009 19:53 108289]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\programme\Spyware Doctor\BDT\BDTUpdateService.exe [20.12.2009 15:35 112592]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [01.07.2008 17:52 222968]
R3 PhilCap;PhilCap service;c:\windows\system32\drivers\PhilCap.sys [07.11.2005 09:45 787840]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07.07.2006 14:24 611064]
S2 gupdate1ca8587f132a42c;Google Update Service (gupdate1ca8587f132a42c);c:\programme\Google\Update\GoogleUpdate.exe [25.12.2009 18:30 133104]
S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [20.12.2009 15:29 359624]
S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [07.11.2005 09:45 215040]
S3 SPC220NC;Philips SPC220NC Webcam;c:\windows\system32\drivers\SPC220NC.SYS [09.09.2008 16:58 507136]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = ftp=192.168.0.1:4480;http=192.168.0.1:4480;https=192.168.0.1:4480;socks=192.168.0.1:1080
uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm
IE: &Download by Arles Download Manager - c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Ariel Download Manager\DownloadManager.htm
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Translate with &Babylon - c:\programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
IE: {{1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - {0854DA01-5BF8-4E9D-A0E9-3CD5500AFB8C} - c:\programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ocmzychx.Standard-Benutzer\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-27 01:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(720)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1776)
c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
c:\programme\SmartFTP Client\en-US\sfShellTools.dll.mui
c:\windows\system32\ieframe.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-12-27 01:27:17
ComboFix-quarantined-files.txt 2009-12-27 00:27
ComboFix2.txt 2009-12-27 00:16

Vor Suchlauf: 23 Verzeichnis(se), 136.326.447.104 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 136.313.110.528 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptOut

- - End Of File - - 85401AA3B5FAF709D8A06AC5011ADA92

Alt 27.12.2009, 16:06   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
SubSeven Malware? - Standard

SubSeven Malware?



Bitte mal den Avenger anwenden:

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig) und benenne es beim Herunterladen bitte um in "gehweg.exe".

2.) Entpack das zip-Archiv, führe die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
folders to delete:
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
c:\programme\Ask.com

files to delete:
c:\programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\taksman.exe
C:\WINDOWS\system32\update.exe
C:\WINDOWS\system32\drivers\a90otbdk.sys

drivers to delete:
ICQ Service
a90otbdk
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Lad bitte die Datei c:\avenger\backup.zip bei gile-upload.net hoch und verlink es hier.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 27.12.2009, 19:35   #10
gort23
 
SubSeven Malware? - Standard

SubSeven Malware?



Hier ist das Logfile - ich habe es zwei Mal benutzt, daher ist das jetzt hier das zweite Logfile; hier der Link (das ist das erste Backup) - hoffentlich ist das so in Ordnung; ich war erst etwas verwundert, weil ja so etwas kryptisches im Wordpad zunächst rauskommt, daher hatte ich es noch einmal gemacht.
http://www.file-upload.net/download-2109459/backup.zip.html

L o g f i l e o f T h e A v e n g e r V e r s i o n 2 . 0 , ( c ) b y S w a n d o g 4 6

h t t p : / / s w a n d o g 4 6 . g e e k s t o g o . c o m



P l a t f o r m : W i n d o w s X P



* * * * * * * * * * * * * * * * * * *



S c r i p t f i l e o p e n e d s u c c e s s f u l l y .

S c r i p t f i l e r e a d s u c c e s s f u l l y .



B a c k u p s d i r e c t o r y o p e n e d s u c c e s s f u l l y a t C : \ A v e n g e r



* * * * * * * * * * * * * * * * * * *



B e g i n n i n g t o p r o c e s s s c r i p t f i l e :



R o o t k i t s c a n a c t i v e .

N o r o o t k i t s f o u n d !





E r r o r : f o l d e r " c : \ d o k u m e n t e u n d e i n s t e l l u n g e n \ A l l U s e r s \ A n w e n d u n g s d a t e n \ S e c T a s k M a n " n o t f o u n d !

D e l e t i o n o f f o l d e r " c : \ d o k u m e n t e u n d e i n s t e l l u n g e n \ A l l U s e r s \ A n w e n d u n g s d a t e n \ S e c T a s k M a n " f a i l e d !

S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D )

- - > t h e o b j e c t d o e s n o t e x i s t





E r r o r : f o l d e r " c : \ p r o g r a m m e \ A s k . c o m " n o t f o u n d !

D e l e t i o n o f f o l d e r " c : \ p r o g r a m m e \ A s k . c o m " f a i l e d !

S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D )

- - > t h e o b j e c t d o e s n o t e x i s t





E r r o r : f i l e " c : \ p r o g r a m m e \ I C Q 6 T o o l b a r \ I C Q S e r v i c e . e x e " n o t f o u n d !

D e l e t i o n o f f i l e " c : \ p r o g r a m m e \ I C Q 6 T o o l b a r \ I C Q S e r v i c e . e x e " f a i l e d !

S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D )

- - > t h e o b j e c t d o e s n o t e x i s t





E r r o r : f i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ t a k s m a n . e x e " n o t f o u n d !

D e l e t i o n o f f i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ t a k s m a n . e x e " f a i l e d !

S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D )

- - > t h e o b j e c t d o e s n o t e x i s t





E r r o r : f i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ u p d a t e . e x e " n o t f o u n d !

D e l e t i o n o f f i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ u p d a t e . e x e " f a i l e d !

S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D )

- - > t h e o b j e c t d o e s n o t e x i s t





E r r o r : f i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ d r i v e r s \ a 9 0 o t b d k . s y s " n o t f o u n d !

D e l e t i o n o f f i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ d r i v e r s \ a 9 0 o t b d k . s y s " f a i l e d !

S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D )

- - > t h e o b j e c t d o e s n o t e x i s t





E r r o r : r e g i s t r y k e y " \ R e g i s t r y \ M a c h i n e \ S y s t e m \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ I C Q S e r v i c e " n o t f o u n d !

D e l e t i o n o f d r i v e r " I C Q S e r v i c e " f a i l e d !

S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D )

- - > t h e o b j e c t d o e s n o t e x i s t





E r r o r : r e g i s t r y k e y " \ R e g i s t r y \ M a c h i n e \ S y s t e m \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ a 9 0 o t b d k " n o t f o u n d !

D e l e t i o n o f d r i v e r " a 9 0 o t b d k " f a i l e d !

S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D )

- - > t h e o b j e c t d o e s n o t e x i s t





C o m p l e t e d s c r i p t p r o c e s s i n g .



* * * * * * * * * * * * * * * * * * *



F i n i s h e d ! T e r m i n a t e .

Alt 28.12.2009, 08:20   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
SubSeven Malware? - Standard

SubSeven Malware?



Also irgendwie klappte das nicht mit dem Avenger
Bitte das hier mal machen:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:
ATTFilter
KILLALL::

Folder::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
c:\programme\Ask.com

File::
c:\programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\taksman.exe
C:\WINDOWS\system32\update.exe
C:\WINDOWS\system32\drivers\a90otbdk.sys

Driver::
ICQ Service
a90otbdk
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Geändert von cosinus (28.12.2009 um 08:39 Uhr)

Alt 28.12.2009, 15:45   #12
gort23
 
SubSeven Malware? - Standard

SubSeven Malware?



Aber warum soll es denn nicht geklappt haben mit dem Avenger? Es war ja der zweite Durchlauf, vllt. sind die Dateien deshalb nicht gefunden worden? Hatte ja leider das erste nicht gespeichert.

Aber hier das Combolog:

---
ComboFix 09-12-27.03 - *** 28.12.2009 15:25:39.3.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.555 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\Cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\programme\ICQ6Toolbar\ICQ Service.exe"
"c:\windows\system32\drivers\a90otbdk.sys"
"c:\windows\system32\taksman.exe"
"c:\windows\system32\update.exe"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ICQ_SERVICE


((((((((((((((((((((((( Dateien erstellt von 2009-11-28 bis 2009-12-28 ))))))))))))))))))))))))))))))
.

2009-12-28 14:20 . 2009-12-28 14:23 -------- d-----w- C:\Cofi20873C
2009-12-27 00:06 . 2009-12-27 00:17 -------- d-----w- C:\Cofi
2009-12-26 21:36 . 2009-12-26 21:36 -------- d-----w- C:\Lop SD
2009-12-26 10:15 . 2009-12-26 10:15 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2009-12-25 17:31 . 2009-11-14 00:49 9464 ------w- c:\windows\system32\drivers\cdralw2k.sys
2009-12-25 17:31 . 2009-11-14 00:49 9336 ------w- c:\windows\system32\drivers\cdr4_xp.sys
2009-12-25 17:31 . 2009-11-14 00:49 129784 ------w- c:\windows\system32\pxafs.dll
2009-12-25 17:30 . 2009-12-25 17:30 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-12-25 17:30 . 2009-12-25 17:47 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-12-25 16:54 . 2009-12-25 17:00 -------- d-----w- C:\rsit
2009-12-25 16:34 . 2009-12-25 16:35 -------- d-----w- c:\programme\CCleaner
2009-12-25 12:48 . 2009-12-25 12:48 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Threat Expert
2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-12-21 16:26 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-21 16:26 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-20 15:25 . 2009-12-20 15:25 -------- d-----w- c:\programme\Trend Micro
2009-12-20 15:02 . 2009-12-25 12:53 -------- d-----w- c:\programme\Crawler
2009-12-20 14:35 . 2009-11-10 09:26 767952 ----a-w- c:\windows\BDTSupport.dll
2009-12-20 14:29 . 2009-12-20 14:29 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\PC Tools
2009-12-20 14:29 . 2009-12-20 14:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2009-12-20 11:36 . 2009-12-20 11:36 -------- d-----w- C:\Autoruns
2009-12-19 18:49 . 2009-12-19 18:49 -------- d-----w- c:\programme\SmartFTP Client 4.0 Setup Files
2009-12-19 18:12 . 2009-12-19 18:12 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SmartFTP
2009-12-19 18:12 . 2009-12-19 18:49 -------- d-----w- c:\programme\SmartFTP Client
2009-12-14 18:17 . 2009-12-14 18:17 89845 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Uninstall.exe
2009-12-14 18:17 . 2009-12-20 11:10 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox
2009-12-12 00:38 . 2009-12-12 00:38 21953384 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe
2009-12-09 01:19 . 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 14:33 . 2007-05-31 21:15 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-12-28 14:11 . 2009-06-22 18:11 -------- d-----w- c:\programme\Mozilla Firefox 2
2009-12-27 18:08 . 2008-07-01 16:52 -------- d-----w- c:\programme\ICQ6Toolbar
2009-12-27 00:13 . 2007-01-05 23:32 -------- d-----w- c:\windows\Fonts\Setup
2009-12-26 10:16 . 2005-11-22 21:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-12-25 17:47 . 2006-01-31 10:35 -------- d-----w- c:\programme\DivX
2009-12-25 17:32 . 2007-05-31 21:15 -------- d-----w- c:\programme\Google
2009-12-24 12:03 . 2009-12-20 14:29 -------- d-----w- c:\programme\Spyware Doctor
2009-12-22 17:49 . 2009-06-30 18:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2009-12-22 17:47 . 2005-11-22 21:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2009-12-20 15:14 . 2007-05-11 22:19 -------- d-----w- c:\programme\FDRLab
2009-12-20 15:14 . 2007-05-11 22:18 -------- d-----w- c:\programme\UZC Trial
2009-12-20 14:35 . 2009-12-20 14:29 -------- d-----w- c:\programme\Gemeinsame Dateien\PC Tools
2009-12-20 14:32 . 2009-12-20 14:32 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Uniblue
2009-12-20 14:32 . 2009-12-20 14:32 -------- d-----w- c:\programme\Uniblue
2009-12-20 14:25 . 2008-05-27 15:50 -------- d-----w- c:\programme\FlashGet
2009-12-20 14:13 . 2006-08-04 21:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Babylon
2009-12-20 11:43 . 2005-12-17 16:50 -------- d-----w- c:\programme\Security Task Manager
2009-12-19 17:55 . 2008-07-01 16:50 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ
2009-12-11 17:31 . 2009-08-08 16:39 122552 ----a-w- c:\dokumente und einstellungen\the storm 2\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-11 13:02 . 2005-11-07 08:38 566590 ----a-w- c:\windows\system32\perfh007.dat
2009-12-11 13:02 . 2005-11-07 08:38 123086 ----a-w- c:\windows\system32\perfc007.dat
2009-12-07 18:38 . 2009-11-07 22:23 79488 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-07 16:47 . 2009-08-31 18:53 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-26 20:44 . 2009-11-26 20:41 -------- d-----w- c:\programme\PartyGaming
2009-11-14 00:49 . 2006-01-31 10:35 43528 ------w- c:\windows\system32\drivers\PxHelp20.sys
2009-11-14 00:49 . 2006-01-31 10:35 120056 ------w- c:\windows\system32\pxcpyi64.exe
2009-11-14 00:49 . 2006-01-31 10:35 118520 ------w- c:\windows\system32\pxinsi64.exe
2009-11-14 00:47 . 2009-11-14 00:47 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2009-11-14 00:47 . 2009-11-14 00:47 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-11-14 00:47 . 2009-11-14 00:47 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2009-11-14 00:47 . 2009-11-14 00:47 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2009-11-14 00:47 . 2009-11-14 00:47 696320 ----a-w- c:\windows\system32\DivX.dll
2009-11-10 09:28 . 2009-12-20 14:35 149456 ----a-w- c:\windows\SGDetectionTool.dll
2009-11-10 09:28 . 2009-12-20 14:35 1640400 ----a-w- c:\windows\PCTBDCore.dll
2009-11-10 09:28 . 2009-12-20 14:35 165840 ----a-w- c:\windows\PCTBDRes.dll
2009-11-09 10:20 . 2009-12-20 14:30 207792 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2009-10-30 10:11 . 2009-12-20 14:30 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2009-10-28 00:36 . 2009-12-20 14:35 1152444 ----a-w- c:\windows\UDB.zip
2009-10-21 05:38 . 2005-11-07 08:37 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2005-11-07 08:37 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 23:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-18 01:14 . 2009-10-18 01:14 2117632 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Python25.dll
2009-10-13 10:32 . 2005-11-07 08:37 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2005-11-07 08:37 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2005-11-07 08:37 150528 ----a-w- c:\windows\system32\rastls.dll
2009-10-06 15:31 . 2009-12-20 14:30 87784 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2006-05-03 09:06 . 2007-11-17 21:27 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2007-11-17 21:27 31232 --sh--r- c:\windows\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-24 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14854144]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
ATI CATALYST System Tray.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-8-12 45056]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Bibliothek-Direktsuche.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Office-Bibliothek-Direktsuche.lnk
backup=c:\windows\pss\Office-Bibliothek-Direktsuche.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TrayMin220.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\TrayMin220.lnk
backup=c:\windows\pss\TrayMin220.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Microsoft.exe]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Microsoft.exe
backup=c:\windows\pss\Microsoft.exeStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^PowerReg Scheduler.exe]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\PowerReg Scheduler.exe
backup=c:\windows\pss\PowerReg Scheduler.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AIM]
2002-11-14 00:50 61440 ----a-w- c:\programme\AIM95\aim.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Babylon Client]
2006-12-13 14:15 2785256 ----a-w- c:\programme\Babylon\Babylon-Pro\Babylon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\E07DXLRD_14546890]
2006-06-12 20:00 351000 ----a-w- c:\programme\Microsoft Encarta\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\E07DXLRD_663703]
2006-06-12 20:00 351000 ----a-w- c:\programme\Microsoft Encarta\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flashget]
2007-09-25 09:29 2007088 ----a-w- c:\programme\FlashGet\flashget.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISTray]
2009-11-18 11:47 1243088 ----a-w- c:\programme\Spyware Doctor\pctsTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2006-02-23 13:45 278528 ----a-w- c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Monitor]
2006-11-03 09:01 319488 ----a-w- c:\windows\Philips\SPC220NC\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2005-08-31 19:27 1658592 ----a-w- c:\progra~1\MESSEN~1\Msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2005-11-01 11:23 143360 ------w- c:\programme\CyberLink\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-04-29 13:43 155648 ----a-w- c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-04-15 15:13 45056 -c--a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Shareaza]
2007-02-05 03:05 4354048 -c--a-w- c:\programme\Shareaza\Shareaza.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-06-15 11:56 148888 ----a-w- c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2007-06-24 15:39 68856 ----a-w- c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2005-11-28 20:09 180269 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
2005-08-18 10:49 307200 ----a-r- c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CLSched"=2 (0x2)
"CyberLink Media Library Service"=2 (0x2)
"CLCapSvc"=2 (0x2)
"iPodService"=3 (0x3)
"ISSVC"=2 (0x2)
"RichVideo"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\Msmsgs.exe"=
"c:\\Programme\\CyberLink\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\CyberLink\\PowerCinema\\PCMService.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\FlashGet\\flashget.exe"=
"c:\\Programme\\Shareaza\\Shareaza.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Dokumente und Einstellungen\\***\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 878BDA;DVB-TV 878 BDA Driver;c:\windows\system32\drivers\878BDA.sys [07.11.2005 09:45 78336]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [20.12.2009 15:30 207792]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07.07.2006 14:24 611064]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [31.08.2009 19:53 108289]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\programme\Spyware Doctor\BDT\BDTUpdateService.exe [20.12.2009 15:35 112592]
R3 PhilCap;PhilCap service;c:\windows\system32\drivers\PhilCap.sys [07.11.2005 09:45 787840]
S2 gupdate1ca8587f132a42c;Google Update Service (gupdate1ca8587f132a42c);c:\programme\Google\Update\GoogleUpdate.exe [25.12.2009 18:30 133104]
S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [20.12.2009 15:29 359624]
S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [07.11.2005 09:45 215040]
S3 SPC220NC;Philips SPC220NC Webcam;c:\windows\system32\drivers\SPC220NC.SYS [09.09.2008 16:58 507136]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = ftp=192.168.0.1:4480;http=192.168.0.1:4480;https=192.168.0.1:4480;socks=192.168.0.1:1080
uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm
IE: &Download by Arles Download Manager - c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Ariel Download Manager\DownloadManager.htm
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Translate with &Babylon - c:\programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
IE: {{1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - {0854DA01-5BF8-4E9D-A0E9-3CD5500AFB8C} - c:\programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ocmzychx.Standard-Benutzer\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-NSS - c:\programme\NortonInstaller\{397E31AA-0D78-4649-A01C-339D73A2ED35}\NSS\LicenseType\2.3.0.44\InstStub.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 15:34
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys PCTCore.sys ACPI.sys hal.dll atapi.sys sptd.sys >>UNKNOWN [0x86F8A73C]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf767af28
\Driver\ACPI -> ACPI.sys @ 0xf73eccb8
\Driver\atapi -> atapi.sys @ 0xf73a7b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Intel(R) PRO/100 VE Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7260bb0
PacketIndicateHandler -> NDIS.sys @ 0xf726da21
SendHandler -> NDIS.sys @ 0xf724b87b
user & kernel MBR OK

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(772)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2188)
c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
c:\programme\SmartFTP Client\en-US\sfShellTools.dll.mui
c:\windows\system32\ieframe.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\Ati2evxx.exe
c:\windows\RTHDCPL.EXE
c:\programme\Microsoft ActiveSync\Wcescomm.exe
c:\progra~1\MICROS~3\rapimgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-28 15:40:04 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-12-28 14:40
ComboFix2.txt 2009-12-27 00:27
ComboFix3.txt 2009-12-27 00:16

Vor Suchlauf: 24 Verzeichnis(se), 136.243.056.640 Bytes frei
Nach Suchlauf: 26 Verzeichnis(se), 136.126.382.080 Bytes frei

- - End Of File - - C2E56444A7DAF7C7353BB09E9D98D9FB

Alt 28.12.2009, 16:03   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
SubSeven Malware? - Standard

SubSeven Malware?



Hm okay, dann wurden die Dateien schon zuvor gelöscht. Ich war nur etwas irritiert wegen des ungewöhnlichen Logs vom Avenger mit den vielen Leerzeichen in den Buchstaben

Wie verhäl sich Dein PC denn jetzt?
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu SubSeven Malware?
.com, antivir, antivir guard, antivirus, avira, babylon, bho, browser, browser guard, desktop, excel, firefox, google, hijack, hijackthis, hkus\s-1-5-18, intrusion prevention, malware, malware?, mozilla, nicht sicher, object, pferd, plug-in, registry, security, software, spyware, spyware terminator, subseven, symantec, system, trojanische, windows, windows xp, ändern



Ähnliche Themen: SubSeven Malware?


  1. Unistall-Vo-package (Malware/Virus?) bei Win7 64 bit /Malware-Adware gelöscht -Danke!
    Lob, Kritik und Wünsche - 06.07.2014 (1)
  2. malware: antivirus security pro -anty-malware lässt sich nicht installieren
    Plagegeister aller Art und deren Bekämpfung - 03.10.2013 (15)
  3. email link Malware Funde Heur.PE@4294967295, Malware@#nwdk01o66rpro, Malware@#2x6qrvr63cjrw
    Plagegeister aller Art und deren Bekämpfung - 29.10.2012 (10)
  4. Virus/Malware verhindert Installation/Start jeglicher Anti-Malware/Virusprogramme
    Plagegeister aller Art und deren Bekämpfung - 03.02.2012 (17)
  5. Log-Analyse nach Trojaner/Malware befall (Malware.Trace / Trojan.BHO)
    Log-Analyse und Auswertung - 26.09.2011 (16)
  6. Malware Spyware.passwords.xgen durch Malwarebyte Anti-Malware erkannt.
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (50)
  7. Facharbeit über Subseven
    Mülltonne - 12.10.2007 (1)
  8. Trojaner SubSeven entdeckt TCP Port 1234
    Plagegeister aller Art und deren Bekämpfung - 07.01.2007 (1)
  9. BDS/SubSeven.21.C
    Plagegeister aller Art und deren Bekämpfung - 17.11.2006 (8)
  10. Trojaner DR.SubSeven.22.A1
    Plagegeister aller Art und deren Bekämpfung - 16.09.2006 (1)
  11. Subseven Backdoor?
    Plagegeister aller Art und deren Bekämpfung - 26.02.2006 (1)
  12. Subseven.CM
    Plagegeister aller Art und deren Bekämpfung - 16.06.2005 (1)
  13. Backdoor / Subseven trojaner?!?
    Plagegeister aller Art und deren Bekämpfung - 06.01.2004 (36)
  14. BACKDOOR SUBSEVEN - Fehler beim Entfernen gemacht... Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 04.07.2003 (11)
  15. Backdoor/SubSeven
    Plagegeister aller Art und deren Bekämpfung - 27.05.2003 (5)
  16. SubSeven
    Antiviren-, Firewall- und andere Schutzprogramme - 11.04.2003 (7)
  17. Frage zu Backdoor/SubSeven
    Archiv - 15.01.2003 (22)

Zum Thema SubSeven Malware? - Hi, mein Bruder hat unglücklicherweise einige Fernverwaltungsprogramme auf meinem PC ausprobieren wollen, eigentlich ausschließlich legale, nur leider war auch Subseven dabei; als ich den Dateinamen auf dem PC sah, habe - SubSeven Malware?...
Archiv
Du betrachtest: SubSeven Malware? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.