Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: 16 Trojaner entfernt, System jetzt sauber?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 08.03.2010, 12:37   #1
wankistanki
 
16 Trojaner entfernt, System jetzt sauber? - Standard

16 Trojaner entfernt, System jetzt sauber?



Halo zusammen,

Mutti muss es mal wieder richten... ACHTUG, absoluter Laie!
Wir hatten auf unserem Familienrechner ständig Angriffe und nun hab ich mich mal eingelesen und folgendes gemacht:
-System bereinigt
-Malwarebytes installiert und gescannt


Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3835
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

8.3.2010 09:50:42
mbam-log-2010-03-08 (09-50-42).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 126444
Laufzeit: 6 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\svchost (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Zbot) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Infizierte Dateien:
C:\WINDOWS\system32\sdra64.exe (Trojan.Zbot) -> Delete on reboot.
C:\WINDOWS\Temp\1.tmp (Trojan.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\2.tmp (Trojan.Malex) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.


...dann hab ich noch mal einen vollständigen Suchlauf durchgeführt und hatte noch 2 Treffer.
Hier nun mein Hijack:



[/I][/I]Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 12:58:10, on 8.3.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AceBIT\WISE-FTP 4\wf_tp.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\IncrediMail\bin\IMApp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Programme\SlimBrowser\sbrowser.exe
C:\Programme\IncrediMail\bin\IncMail.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\HJT\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [mspd] C:\WINDOWS\system32\mspd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - HKCU\..\Run: [Miro - NDR Player] C:\Programme\Participatory Culture Foundation\Miro\Miro.exe --theme "NDR Player (official)"
O4 - HKCU\..\Run: [FTP Drive] "C:\Programme\Cyberlab GmbH\FTP Drive\ftp drive.exe" "1"
O4 - HKCU\..\Run: [WISE-FTP Task Planner] "C:\Programme\AceBIT\WISE-FTP 4\wf_tp.exe" /bg
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 7462 bytes

Hab ich es geschafft, oder iss da noch was???
Kann mir einer helfen?
Gruß,
wankistanki

Alt 08.03.2010, 13:15   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
16 Trojaner entfernt, System jetzt sauber? - Standard

16 Trojaner entfernt, System jetzt sauber?



Hallo und

- bei Malwarebytes ist immer ein Vollscan nötig, bitte nachholen und Log posten
- poste auch RSIT Logfiles
__________________

__________________

Alt 08.03.2010, 13:20   #3
wankistanki
 
16 Trojaner entfernt, System jetzt sauber? - Standard

16 Trojaner entfernt, System jetzt sauber?



Hallo Arne,
einen vollständigen San habe ich auch schon gemacht. Hier das Ergebniss:


Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3835
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

8.3.2010 11:36:12
mbam-log-2010-03-08 (11-36-12).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 226441
Laufzeit: 1 hour(s), 16 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gruß,
wankistanki
__________________

Alt 08.03.2010, 13:26   #4
wankistanki
 
16 Trojaner entfernt, System jetzt sauber? - Standard

16 Trojaner entfernt, System jetzt sauber?



soooo... und hier der Rest...:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Janw at 2010-03-08 14:23:37
Microsoft Windows XP Professional Service Pack 3
System drive C: has 30 GB (38%) free of 79 GB
Total RAM: 895 MB (49% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:23:52, on 8.3.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AceBIT\WISE-FTP 4\wf_tp.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\IncrediMail\bin\IMApp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AZX0WRFV\RSIT[1].exe
C:\Programme\trend micro\Janw.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [mspd] C:\WINDOWS\system32\mspd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - HKCU\..\Run: [Miro - NDR Player] C:\Programme\Participatory Culture Foundation\Miro\Miro.exe --theme "NDR Player (official)"
O4 - HKCU\..\Run: [FTP Drive] "C:\Programme\Cyberlab GmbH\FTP Drive\ftp drive.exe" "1"
O4 - HKCU\..\Run: [WISE-FTP Task Planner] "C:\Programme\AceBIT\WISE-FTP 4\wf_tp.exe" /bg
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 7176 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\NSSstub.job
C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-1060284298-1343024091-839522115-1003.job
C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-1060284298-1343024091-839522115-1003.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}]
SWEETIE Class - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll [2010-03-07 329312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
C:\Programme\Spybot - Search & Destroy\SDHelper.dll [2005-05-31 853672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - SweetIM For Internet Explorer - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\System32\NvCpl.dll [2006-07-12 7626752]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\System32\NvMcTray.dll [2006-07-12 86016]
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [2004-11-02 32768]
"NeroFilterCheck"=C:\WINDOWS\System32\NeroCheck.exe [2001-07-09 155648]
"SkyTel"=C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-06-28 16248320]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"NWEReboot"= []
"Lexmark X6100 Series"=C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe [2003-09-23 57344]
"Ulead AutoDetector v2"=C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe [2005-05-23 90112]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_05\bin\jusched.exe [2008-02-22 144784]
"NapsterShell"=C:\Programme\Napster\napster.exe /systray []
"mspd"=C:\WINDOWS\system32\mspd.exe []
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2009-05-26 413696]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2010-03-07 202256]
"SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2005-05-31 1415824]
"IncrediMail"=C:\Programme\IncrediMail\bin\IncMail.exe [2009-02-25 251264]
"SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe []
"updateMgr"=C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [2006-03-30 313472]
"Miro - NDR Player"=C:\Programme\Participatory Culture Foundation\Miro\Miro.exe --theme NDR Player (official) []
"FTP Drive"=C:\Programme\Cyberlab GmbH\FTP Drive\ftp drive.exe 1 []
"WISE-FTP Task Planner"=C:\Programme\AceBIT\WISE-FTP 4\wf_tp.exe [2007-01-19 965632]
"Rainlendar2"=C:\Programme\Rainlendar2\Rainlendar2.exe [2009-02-21 4333568]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
BlueSoleil.lnk - C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Programme\IncrediMail\bin\IncMail.exe"="C:\Programme\IncrediMail\bin\IncMail.exe:*:Enabled:IncrediMail"
"C:\Programme\IncrediMail\bin\IMApp.exe"="C:\Programme\IncrediMail\bin\IMApp.exe:*:Enabled:IncrediMail"
"E:\Programme\IncrediMail\bin\IncMail.exe"="E:\Programme\IncrediMail\bin\IncMail.exe:*:Enabled:IncrediMail"
"C:\Programme\Yahoo!\Messenger\YahooMessenger.exe"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\Programme\Yahoo!\Messenger\YServer.exe"="C:\Programme\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\Programme\IncrediMail\bin\ImpCnt.exe"="C:\Programme\IncrediMail\bin\ImpCnt.exe:*:Enabled:IncrediMail"
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*isabled:@xpsp2res.dll,-22019"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*isabled:Microsoft DirectPlay Voice Test"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*isabled:Eine DLL-Datei als Anwendung ausführen"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Programme\Participatory Culture Foundation\Miro\xulrunner\python\Miro_Downloader.exe"="C:\Programme\Participatory Culture Foundation\Miro\xulrunner\python\Miro_Downloader.exe:*:Enabled:Miro_Downloader"
"C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe"="C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:Enabled:BlueSoleil"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\IncrediMail\bin\ImLc.exe"="C:\Programme\IncrediMail\bin\ImLc.exe:*:Enabled:IncrediMail"
"C:\Programme\SlimBrowser\sbrowser.exe"="C:\Programme\SlimBrowser\sbrowser.exe:*isabled:FlashPeak SlimBrowser"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5c1aeb3d-c302-11de-8e68-00138fc6cb5b}]
shell\AutoRun\command - Toshiba\more4you.exe


======List of files/folders created in the last 1 months======

2010-03-08 14:23:37 ----D---- C:\rsit
2010-03-08 14:23:37 ----D---- C:\Programme\trend micro
2010-03-08 12:56:53 ----D---- C:\Programme\HJT
2010-03-08 09:53:59 ----D---- C:\Avenger
2010-03-08 09:38:58 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Malwarebytes
2010-03-08 09:38:51 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-03-08 09:38:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-07 11:02:58 ----A---- C:\WINDOWS\system32\rmoc3260.dll
2010-03-07 11:02:48 ----A---- C:\WINDOWS\system32\pndx5032.dll
2010-03-07 11:02:48 ----A---- C:\WINDOWS\system32\pndx5016.dll
2010-03-07 11:02:38 ----D---- C:\Programme\Gemeinsame Dateien\xing shared
2010-03-03 19:19:33 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real
2010-02-24 07:56:07 ----HDC---- C:\WINDOWS\$NtUninstallKB979306$
2010-02-10 09:11:32 ----HDC---- C:\WINDOWS\$NtUninstallKB978262$
2010-02-10 09:11:23 ----HDC---- C:\WINDOWS\$NtUninstallKB971468$
2010-02-10 09:07:52 ----HDC---- C:\WINDOWS\$NtUninstallKB978037$
2010-02-10 09:07:42 ----HDC---- C:\WINDOWS\$NtUninstallKB975713$
2010-02-10 09:07:31 ----HDC---- C:\WINDOWS\$NtUninstallKB978251$
2010-02-10 09:07:21 ----HDC---- C:\WINDOWS\$NtUninstallKB975560$
2010-02-10 09:06:52 ----HDC---- C:\WINDOWS\$NtUninstallKB977914$
2010-02-10 09:06:34 ----HDC---- C:\WINDOWS\$NtUninstallKB978706$
2010-02-10 09:06:01 ----HDC---- C:\WINDOWS\$NtUninstallKB977165$

======List of files/folders modified in the last 1 months======

2010-03-08 14:23:37 ----RD---- C:\Programme
2010-03-08 14:23:33 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\SlimBrowser
2010-03-08 14:23:03 ----D---- C:\WINDOWS\Prefetch
2010-03-08 14:22:16 ----D---- C:\WINDOWS\Temp
2010-03-08 14:22:16 ----A---- C:\WINDOWS\lexstat.ini
2010-03-08 12:56:58 ----SHD---- C:\WINDOWS\Installer
2010-03-08 12:56:55 ----SD---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Microsoft
2010-03-08 10:11:37 ----A---- C:\WINDOWS\NeroDigital.ini
2010-03-08 09:54:44 ----D---- C:\WINDOWS\system32\CatRoot2
2010-03-08 09:54:40 ----SD---- C:\WINDOWS\Tasks
2010-03-08 09:54:16 ----D---- C:\Programme\Yahoo!
2010-03-08 09:53:59 ----HDC---- C:\WINDOWS\$NtUninstallKB958690$
2010-03-08 09:53:59 ----D---- C:\WINDOWS\system32\drivers
2010-03-08 09:53:59 ----D---- C:\WINDOWS\system32
2010-03-08 09:53:14 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-03-08 09:34:59 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2010-03-08 09:34:59 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2010-03-08 09:32:47 ----D---- C:\WINDOWS\WinSxS
2010-03-08 09:30:35 ----D---- C:\Programme\Snapfish-Fotobuch
2010-03-08 09:29:22 ----D---- C:\Programme\SCHLECKER
2010-03-08 09:22:17 ----D---- C:\Programme\Kyodai Mahjongg 2006
2010-03-07 18:02:35 ----A---- C:\WINDOWS\winamp.ini
2010-03-07 12:13:36 ----D---- C:\Dokumente und Einstellungen\Janw\Anwendungsdaten\Real
2010-03-07 11:03:02 ----D---- C:\Programme\Gemeinsame Dateien\Real
2010-03-07 11:02:46 ----D---- C:\Programme\Real
2010-03-07 11:02:38 ----D---- C:\Programme\Gemeinsame Dateien
2010-03-07 11:02:11 ----A---- C:\WINDOWS\system32\pncrt.dll
2010-03-04 07:48:45 ----D---- C:\WINDOWS\system
2010-03-03 13:32:46 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\MSN6
2010-02-28 12:59:04 ----D---- C:\Programme\SlimBrowser
2010-02-26 17:02:26 ----SD---- C:\WINDOWS\Downloaded Program Files
2010-02-25 07:35:12 ----D---- C:\WINDOWS
2010-02-24 07:56:21 ----HD---- C:\WINDOWS\inf
2010-02-14 13:19:19 ----D---- C:\WINDOWS\system32\ReinstallBackups
2010-02-12 18:39:08 ----A---- C:\WINDOWS\Iedit_.INI
2010-02-12 14:53:05 ----A---- C:\WINDOWS\Pex.INI
2010-02-10 09:43:41 ----D---- C:\Programme\Windows Media Connect 2
2010-02-10 09:43:39 ----D---- C:\Programme\DivX
2010-02-10 09:11:35 ----A---- C:\WINDOWS\imsins.BAK
2010-02-10 09:11:30 ----HD---- C:\WINDOWS\$hf_mig$
2010-02-10 09:11:24 ----RSHDC---- C:\WINDOWS\system32\dllcache

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\AmdK8.sys [2006-06-18 43520]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\System32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 StarOpen;StarOpen; C:\WINDOWS\system32\drivers\StarOpen.sys [2008-10-01 5632]
R2 ACEDRV09;ACEDRV09; \??\C:\WINDOWS\system32\drivers\ACEDRV09.sys []
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-08 56816]
R2 irda;IrDA-Protokoll; C:\WINDOWS\System32\DRIVERS\irda.sys [2008-04-13 88192]
R3 BlueletAudio;Bluetooth Audio Service; C:\WINDOWS\system32\DRIVERS\blueletaudio.sys [2004-10-19 20096]
R3 BT;Bluetooth PAN Network Adapter; C:\WINDOWS\system32\DRIVERS\btnetdrv.sys [2004-09-21 10804]
R3 BTHidEnum;Bluetooth HID Enumerator; C:\WINDOWS\system32\DRIVERS\vbtenum.sys [2005-01-13 12500]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\System32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-06-28 4304384]
R3 irsir;Microsoft serieller Infrarottreiber; C:\WINDOWS\System32\DRIVERS\irsir.sys [2001-08-17 18688]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2002-08-29 12288]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2006-07-12 3934592]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\System32\DRIVERS\NVENETFD.sys [2006-07-11 57856]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\System32\DRIVERS\nvnetbus.sys [2006-07-11 20480]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\System32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2002-08-29 5888]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2008-04-13 25856]
R3 usbscan;USB-Scannertreiber; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2008-04-13 15104]
R3 VComm;Virtual Serial port driver; C:\WINDOWS\system32\DRIVERS\VComm.sys [2004-10-19 61312]
R3 VcommMgr;Bluetooth VComm Manager Service; C:\WINDOWS\System32\Drivers\VcommMgr.sys [2004-11-05 82148]
S1 InCDPass;InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys []
S1 wceusbsh;Serieller Hosttreiber für Windows CE USB; C:\WINDOWS\System32\DRIVERS\wceusbsh.sys [2008-04-14 32000]
S3 Btcsrusb;Bluetooth USB For Bluetooth Service; C:\WINDOWS\System32\Drivers\btcusb.sys [2005-01-17 23000]
S3 BTNetFilter;Bluetooth Network Filter; \??\C:\WINDOWS\system32\drivers\BTNetFilter.sys []
S3 Ca533av;Digital Camera, WDM Video Capture; C:\WINDOWS\System32\Drivers\Ca533av.sys [2002-05-03 528917]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\WINDOWS\System32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 InCDFs;InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-13 185089]
R2 BlueSoleil Hid Service;BlueSoleil Hid Service; C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe [2005-01-27 106496]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 LexBceS;LexBce Server; C:\WINDOWS\system32\LEXBCES.EXE [2003-09-23 303104]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\System32\nvsvc32.exe [2006-07-12 155715]
R2 ProtexisLicensing;ProtexisLicensing; C:\WINDOWS\system32\PSIService.exe [2006-11-02 174656]
R2 YahooAUService;Yahoo! Updater; C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe [2008-11-09 602392]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 ServiceLayer;ServiceLayer; C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe [2009-06-02 637952]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Geändert von wankistanki (08.03.2010 um 13:36 Uhr)

Alt 08.03.2010, 13:48   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
16 Trojaner entfernt, System jetzt sauber? - Standard

16 Trojaner entfernt, System jetzt sauber?



Zitat:
C:\WINDOWS\system32\mspd.exe
Bitte diese Datei bei Virustotal auswerten lassen und von jeder den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.03.2010, 14:08   #6
wankistanki
 
16 Trojaner entfernt, System jetzt sauber? - Standard

16 Trojaner entfernt, System jetzt sauber?



ist nicht sichtbar und lässt sich auch nicht sichtbar machen (nach Anleitung)
...und nu?

Alt 08.03.2010, 14:17   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
16 Trojaner entfernt, System jetzt sauber? - Standard

16 Trojaner entfernt, System jetzt sauber?



Dann mach bitte einen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.03.2010, 15:28   #8
wankistanki
 
16 Trojaner entfernt, System jetzt sauber? - Standard

16 Trojaner entfernt, System jetzt sauber?



...ist das richtig???

ComboFix 10-03-07.05 - **** 08.03.2010 16:02:54.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.895.423 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Thumbs.db

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SVCHOST


((((((((((((((((((((((( Dateien erstellt von 2010-02-08 bis 2010-03-08 ))))))))))))))))))))))))))))))
.

2010-03-08 13:23 . 2010-03-08 13:23 -------- d-----w- C:\rsit
2010-03-08 13:23 . 2010-03-08 13:23 -------- d-----w- c:\programme\trend micro
2010-03-08 11:56 . 2010-03-08 11:56 388096 ----a-r- c:\dokumente und einstellungen\****\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-03-08 11:56 . 2010-03-08 11:56 -------- d-----w- c:\programme\HJT
2010-03-08 08:38 . 2010-03-08 08:38 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2010-03-08 08:38 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-08 08:38 . 2010-03-08 08:38 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-03-08 08:38 . 2010-03-08 08:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-08 08:38 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-07 10:03 . 2010-03-07 10:03 -------- d-----w- c:\dokumente und einstellungen\Janw\Lokale Einstellungen\Anwendungsdaten\Real
2010-03-07 10:03 . 2010-03-07 10:03 118784 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
2010-03-07 10:03 . 2010-03-07 10:03 118784 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
2010-03-07 10:03 . 2010-03-07 10:03 118784 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
2010-03-07 10:03 . 2010-03-07 10:03 118784 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
2010-03-07 10:03 . 2010-03-07 10:03 329312 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
2010-03-07 10:03 . 2010-03-07 10:03 300616 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
2010-03-07 10:03 . 2010-03-07 10:03 118784 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
2010-03-07 10:03 . 2010-03-07 10:03 118784 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
2010-03-07 10:02 . 2010-03-07 10:02 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-08 14:57 . 2007-01-05 16:20 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\SlimBrowser
2010-03-08 08:54 . 2007-01-05 19:16 -------- d-----w- c:\programme\Yahoo!
2010-03-08 08:30 . 2007-02-05 11:23 -------- d-----w- c:\programme\Snapfish-Fotobuch
2010-03-08 08:29 . 2009-08-20 11:52 -------- d-----w- c:\programme\SCHLECKER
2010-03-08 08:22 . 2009-12-29 13:38 -------- d-----w- c:\programme\Kyodai Mahjongg 2006
2010-03-07 10:03 . 2007-04-29 08:03 -------- d-----w- c:\programme\Gemeinsame Dateien\Real
2010-03-07 10:02 . 2007-04-29 08:03 -------- d-----w- c:\programme\Real
2010-03-03 12:32 . 2008-02-04 18:41 -------- d-----w- c:\dokumente und einstellungen\Janw\Anwendungsdaten\MSN6
2010-02-28 11:59 . 2007-01-05 16:20 -------- d-----w- c:\programme\SlimBrowser
2010-02-10 08:43 . 2009-07-31 18:27 -------- d-----w- c:\programme\Windows Media Connect 2
2010-02-10 08:43 . 2009-07-27 16:43 -------- d-----w- c:\programme\DivX
2009-12-31 16:50 . 2002-08-29 13:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-22 05:07 . 2002-08-29 13:00 672768 ----a-w- c:\windows\system32\wininet.dll
2009-12-22 05:07 . 2007-01-05 16:30 81920 ------w- c:\windows\system32\ieencode.dll
2009-12-17 07:40 . 2006-12-21 20:49 346624 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2002-08-29 13:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-10 15:56 . 2002-08-29 13:00 83500 ----a-w- c:\windows\system32\perfc007.dat
2009-12-10 15:56 . 2002-08-29 13:00 457126 ----a-w- c:\windows\system32\perfh007.dat
2009-12-09 10:06 . 2002-08-29 13:00 2191488 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-09 10:06 . 2002-08-29 03:41 2068352 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-08 15:25 . 2009-06-25 07:07 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2003-01-13 08:59 . 2007-06-04 15:07 278528 ------w- c:\programme\internet explorer\plugins\PanoViewer.dll
1999-04-30 14:00 . 2007-06-04 15:07 98304 ------w- c:\programme\internet explorer\plugins\UPjpeg.dll
2008-11-16 13:24 . 2008-11-16 13:24 60526 ----a-w- c:\programme\mozilla firefox\components\jar50.dll
2008-11-16 13:24 . 2008-11-16 13:24 49256 ----a-w- c:\programme\mozilla firefox\components\jsd3250.dll
2008-11-16 13:24 . 2008-11-16 13:24 166000 ----a-w- c:\programme\mozilla firefox\components\xpinstal.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2007-04-30 17:34 . 2007-04-30 17:22 848 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 1415824]
"IncrediMail"="c:\programme\IncrediMail\bin\IncMail.exe" [2009-02-25 251264]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"WISE-FTP Task Planner"="c:\programme\AceBIT\WISE-FTP 4\wf_tp.exe" [2007-01-19 965632]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2009-02-21 4333568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2006-07-12 7626752]
"nwiz"="nwiz.exe" [2006-07-12 1519616]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2006-07-12 86016]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="c:\windows\System32\NeroCheck.exe" [2001-07-09 155648]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]
"Lexmark X6100 Series"="c:\programme\Lexmark X6100 Series\lxbfbmgr.exe" [2003-09-23 57344]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2005-05-23 90112]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-03-07 202256]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
BlueSoleil.lnk - c:\programme\IVT Corporation\BlueSoleil\BlueSoleil.exe [2008-10-4 1048576]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\IncrediMail\\bin\\ImLc.exe"=
"c:\\Programme\\SlimBrowser\\sbrowser.exe"=

R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [4.10.2008 14:50 110304]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.6.2009 08:07 108289]
S3 Ca533av;Digital Camera, WDM Video Capture;c:\windows\system32\drivers\Ca533av.sys [20.6.2009 14:03 528917]
.
Inhalt des "geplante Tasks" Ordners

2008-12-27 c:\windows\Tasks\NSSstub.job
- c:\windows\system32\Adobe\Shockwave 11\nssstub.exe [2008-12-27 14:31]

2010-03-08 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1060284298-1343024091-839522115-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

2010-03-08 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1060284298-1343024091-839522115-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://home.sweetim.com
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Janw\Anwendungsdaten\Mozilla\Firefox\Profiles\28p2sl37.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://de.yahoo.com
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=ffds1&p=
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://branding/content/searchconfig.properties");
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-SweetIM - c:\programme\Macrogaming\SweetIM\SweetIM.exe
HKCU-Run-Miro - NDR Player - c:\programme\Participatory Culture Foundation\Miro\Miro.exe
HKCU-Run-FTP Drive - c:\programme\Cyberlab GmbH\FTP Drive\ftp drive.exe
HKLM-Run-NWEReboot - (no file)
HKLM-Run-NapsterShell - c:\programme\Napster\napster.exe
HKLM-Run-mspd - c:\windows\system32\mspd.exe
HKLM-Run-SweetIM - c:\programme\Macrogaming\SweetIM\SweetIM.exe
Notify-WgaLogon - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-08 16:10
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\IVT Corporation\BlueSoleil\BTNtService.exe
c:\windows\System32\nvsvc32.exe
c:\windows\system32\PSIService.exe
c:\programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\RTHDCPL.EXE
c:\programme\Lexmark X6100 Series\lxbfbmon.exe
c:\programme\IncrediMail\bin\IMApp.exe
c:\windows\system32\wscntfy.exe
c:\programme\Java\jre1.6.0_05\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-03-08 16:16:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-03-08 15:16

Vor Suchlauf: 16 Verzeichnis(se), 31.478.648.832 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 31.657.648.128 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /usepmtimer /NoExecute=OptIn

- - End Of File - - B80185A83DF13B18BC731EA5863DEDFE

Alt 08.03.2010, 18:30   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
16 Trojaner entfernt, System jetzt sauber? - Standard

16 Trojaner entfernt, System jetzt sauber?



Ok. Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.03.2010, 13:57   #10
wankistanki
 
16 Trojaner entfernt, System jetzt sauber? - Standard

16 Trojaner entfernt, System jetzt sauber?



Ich glaub ich hab sie alle erwischt, oder?
Noch ne Frage: muss die Firewall von Windows aktiv sein wenn man Antivir benutzt, oder laufen die nicht zusammen?


Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3835
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.3.2010 14:53:18
mbam-log-2010-03-10 (14-53-18).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 228298
Laufzeit: 1 hour(s), 10 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 10.03.2010, 14:07   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
16 Trojaner entfernt, System jetzt sauber? - Standard

16 Trojaner entfernt, System jetzt sauber?



Zitat:
Noch ne Frage: muss die Firewall von Windows aktiv sein wenn man Antivir benutzt, oder laufen die nicht zusammen?
Wie kommst Du darauf? Die Windows-Firewall arbeitet hervorragend mit AntiVir zusammen! Nur auch mal so als Hinweis, Du brauchst auch keinen anderen Firewallschrott wie ZoneAlarm oder so.

Zitat:
Datenbank Version: 3835
So ganz aktuell ist die DB-Version von MBAM aber nicht gewesen
Aktuell jetzt wäre 3846.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.03.2010, 14:35   #12
wankistanki
 
16 Trojaner entfernt, System jetzt sauber? - Standard

16 Trojaner entfernt, System jetzt sauber?



...das Update habe ich vergessen, hab ich auch grad gesehen, das mach ich jetzt und lass ihn noch mal durch laufen...

Das mit Windows wollte mir hier zu Hause jemand weiß machen, deswegen hab ich gefragt. Zonealarm und sowas haben wir nicht (glaub ich zumindest) nur Antivir.

Alt 10.03.2010, 15:03   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
16 Trojaner entfernt, System jetzt sauber? - Standard

16 Trojaner entfernt, System jetzt sauber?



Zitat:
Zitat von wankistanki Beitrag anzeigen
Das mit Windows wollte mir hier zu Hause jemand weiß machen, deswegen hab ich gefragt. Zonealarm und sowas haben wir nicht (glaub ich zumindest) nur Antivir.
Naja, wie gesagt, die Windows-Firewall verursacht da keine Probleme.
Mit ZoneAlarm sollte nur eine vorsichtige Warnung ausgesprochen werden, Du machst Dir damit mehr kaputt als dass es von Nutzen wäre, denn die Windows-Firewall sichert Deinen Rechner schon vernünftig ab.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.03.2010, 15:44   #14
wankistanki
 
16 Trojaner entfernt, System jetzt sauber? - Standard

16 Trojaner entfernt, System jetzt sauber?



Soooooooo, ...

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3847
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.3.2010 16:41:51
mbam-log-2010-03-10 (16-41-51).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 229979
Laufzeit: 1 hour(s), 4 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 10.03.2010, 18:39   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
16 Trojaner entfernt, System jetzt sauber? - Standard

16 Trojaner entfernt, System jetzt sauber?



Sieht ok aus, man kann Dich und Deinen PC entlassen
Prüf aber bitte die Updates:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu 16 Trojaner entfernt, System jetzt sauber?
1.tmp, adobe, antivir, antivir guard, avira, bho, browseui preloader, desktop, dll, einstellungen, excel, explorer, helper, hijackthis, kis, logfile, malware.trace, malwarebytes' anti-malware, nvidia, pdf, programme, rundll, server, software, stolen.data, suchlauf, svchost, system, temp, trojan.zbot, trojaner, trojaner entfernt, userinit.exe, windows xp



Ähnliche Themen: 16 Trojaner entfernt, System jetzt sauber?


  1. BDS/ZeroAccess - Trojaner gelöscht, nicht sicher ob System jetzt sauber ist
    Plagegeister aller Art und deren Bekämpfung - 31.03.2013 (4)
  2. ist GVU-Trojaner Infektion übertragbar? - kann ich dvon ausgehen, daß mein System jetzt sauber ist?
    Log-Analyse und Auswertung - 14.03.2013 (7)
  3. Hatte GVU-Trojaner, angeblich entfernt, bin unsicher, ob mein System nun sauber ist
    Plagegeister aller Art und deren Bekämpfung - 15.01.2013 (69)
  4. GVU Trojaner entfernt, System jetzt sauber?
    Log-Analyse und Auswertung - 07.08.2012 (32)
  5. 2. Rechner nach GVU Trojaner Entfernung: System jetzt sauber?(LogFiles dabei)
    Log-Analyse und Auswertung - 15.07.2012 (8)
  6. Win32/Bublik.b Trojaner entfernt - ist mein System jetzt wieder sauber?
    Log-Analyse und Auswertung - 01.02.2012 (26)
  7. EXP/2010-0840.AO entfernt - System jetzt sauber?
    Plagegeister aller Art und deren Bekämpfung - 12.01.2012 (24)
  8. Vermeidlicher Virus der Bundespolizei entfernt. PC jetzt sauber?
    Log-Analyse und Auswertung - 11.12.2011 (13)
  9. Trojaner urlzone - System nach Neuaufsetzen jetzt sauber/sicher?
    Log-Analyse und Auswertung - 12.06.2011 (10)
  10. Antimalware doctor entfernt, Computer jetzt völlig sauber?
    Log-Analyse und Auswertung - 23.04.2011 (5)
  11. Conhost-Trojaner: Ist mein System jetzt sauber???
    Plagegeister aller Art und deren Bekämpfung - 07.03.2011 (2)
  12. Trojan.Dropper.PGen gefunden und mit MBAM entfernt, jetzt alles sauber?
    Log-Analyse und Auswertung - 17.11.2010 (6)
  13. Trojaner eingefangen, weiß nicht ob System jetzt sauber...
    Plagegeister aller Art und deren Bekämpfung - 03.05.2010 (23)
  14. Trojaner gehabt - System jetzt sauber? IE öffnet sich selbständig...
    Plagegeister aller Art und deren Bekämpfung - 01.05.2010 (24)
  15. Mehrere Trojaner gefunden, System bereinigt, ist es jetzt sauber?
    Log-Analyse und Auswertung - 12.01.2010 (16)
  16. viren und trojaner? system jetzt sauber?
    Log-Analyse und Auswertung - 31.10.2008 (0)
  17. VX2 entfernt jetzt Sauber?
    Log-Analyse und Auswertung - 11.02.2006 (2)

Zum Thema 16 Trojaner entfernt, System jetzt sauber? - Halo zusammen, Mutti muss es mal wieder richten... ACHTUG, absoluter Laie! Wir hatten auf unserem Familienrechner ständig Angriffe und nun hab ich mich mal eingelesen und folgendes gemacht: -System bereinigt - 16 Trojaner entfernt, System jetzt sauber?...
Archiv
Du betrachtest: 16 Trojaner entfernt, System jetzt sauber? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.