Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen und massiver Spamversand

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.03.2010, 15:45   #1
hoppel
 
TR/Dropper.Gen und massiver Spamversand - Standard

TR/Dropper.Gen und massiver Spamversand



Ich habe heute einen Brief von der Telekom bekommen, dass bei der Nutzung unseres DSL-Zugangs massiv Spam-Mails versendet werden.

Das AntiVir läuft jeden Tag durch, ohne Gefahrenmeldungen anzuzeigen.
Inzwischen habe ich bei w*w.antivirus.de den HouseCall heruntergeladen und durchlaufen lassen. Während der Suche vom HouseCall hat sich dann der AntiVir Guard mit folgender Meldung eingeschaltet:

In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HouseCall\VS390NQR.001'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Der HouseCall hat den Suchlauf beendet mit „No threats found“


Ich habe die Datei aus der Quarantäne gelöscht, die Systemwiederherstellung deaktiviert, den Computer neu gestartet und den CCleaner laufen lassen:

REINIGUNG komplett - (1281.024 Sek)
------------------------------------------------------------------------------------------
0,11MB entfernt.
------------------------------------------------------------------------------------------

Details der gelöschten Dateien
------------------------------------------------------------------------------------------
Internet Explorer - Temporäre Internet-Dateien 77KB 1 Dateien
Internet Explorer - Cookies 2KB 8 Dateien
Internet Explorer - Lösche Index.dat-Dateien 0KB 3 Dateien
Windows Explorer - Aufgerufene Dokumente 2KB 4 Dateien
System - Windows-Logdateien 28KB 6 Dateien
------------------------------------------------------------------------------------------
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat 77KB
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@antivirus[2].txt 1KB
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@apmebf[1].txt 1KB
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@facebook[1].txt 1KB
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@google[2].txt 1KB
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@housecall.trendmicro[1].txt 1KB
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mediaplex[1].txt 1KB
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@statse.webtrendslive[2].txt 1KB
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@trendmicro[1].txt 1KB
Zum Löschen markiert: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat 0KB
Zum Löschen markiert: C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat 0KB
Zum Löschen markiert: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat 0KB
C:\Dokumente und Einstellungen\Administrator\Recent\AN.lnk 1KB
C:\Dokumente und Einstellungen\Administrator\Recent\AN_01_10.doc.lnk 1KB
C:\Dokumente und Einstellungen\Administrator\Recent\AN_02_10.doc.lnk 1KB
C:\Dokumente und Einstellungen\Administrator\Recent\Trojaner.doc.lnk 1KB
C:\WINDOWS\system32\wbem\Logs\FrameWork.log 1KB
C:\WINDOWS\system32\wbem\Logs\wbemcore.log 2KB
C:\WINDOWS\system32\wbem\Logs\wbemess.log 23KB
C:\WINDOWS\system32\wbem\Logs\wmiprov.log 1KB


Malwarebyte hat nichts gefunden:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3899
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

22.03.2010 15:06:58
mbam-log-2010-03-22 (15-06-58).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 179799
Laufzeit: 43 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

[edit hier noch die RSIT-Ergebnisse]

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrator at 2010-03-22 15:48:09
Microsoft Windows XP Professional Service Pack 3
System drive C: has 41 GB (80%) free of 51 GB
Total RAM: 479 MB (36% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:48:18, on 22.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\RSIT.exe
C:\Programme\HiJackThis\Administrator.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = birco
O1 - Hosts: 82.135.41.66 hilfe.kios.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus Photo 1400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBUA.EXE /FU "C:\WINDOWS\TEMP\E_SB0.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [EPSON Stylus Photo 1400 Series at //dlink-AB7939/dlk-AB7939-U1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBUA.EXE /FU "C:\WINDOWS\TEMP\E_S181.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: login.lnk = C:\login.bat
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD LT-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.fujitsu-siemens.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{E70CE885-4F72-40F4-9F14-BA090D921271}: NameServer = 192.168.10.99
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 6068 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Google Software Updater.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll [2003-11-03 54248]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
AcroIEToolbarHelper Class - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll [2003-05-15 147456]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll [2009-03-24 668656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-11 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll [2003-05-15 147456]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2005-02-08 77824]
"OSSelectorReinstall"=C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe [2007-03-09 2224104]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-10-11 149280]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"EPSON Stylus Photo 1400 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBUA.EXE [2007-08-02 182272]
"EPSON Stylus Photo 1400 Series at //dlink-AB7939/dlk-AB7939-U1"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBUA.EXE [2007-08-02 182272]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
AutoCAD LT-Startbeschleuniger.lnk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe

C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
login.lnk - C:\login.bat

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{871b926d-0389-11dc-9512-0030056701df}]
shell\AutoRun\command - F:\START.EXE


======File associations======

.scr - open - "C:\WINDOWS\system32\notepad.exe" "%1"
.scr - install -
.scr - config -

======List of files/folders created in the last 1 months======

2010-03-22 15:48:09 ----D---- C:\rsit

======List of files/folders modified in the last 1 months======

2010-03-22 15:48:18 ----D---- C:\WINDOWS\Prefetch
2010-03-22 15:48:15 ----D---- C:\Programme\HiJackThis
2010-03-22 13:45:52 ----D---- C:\WINDOWS\system32\Restore
2010-03-22 13:24:50 ----D---- C:\WINDOWS
2010-03-22 13:24:30 ----SHD---- C:\System Volume Information
2010-03-22 13:24:20 ----D---- C:\WINDOWS\Temp
2010-03-22 13:24:18 ----D---- C:\WINDOWS\system32\CatRoot2
2010-03-22 13:23:59 ----SD---- C:\WINDOWS\Tasks
2010-03-22 13:23:10 ----N---- C:\WINDOWS\SchedLgU.Txt
2010-03-22 13:17:58 ----D---- C:\WINDOWS\system32\drivers
2010-03-22 09:58:56 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2010-03-19 20:07:16 ----D---- C:\WINDOWS\system32
2010-03-19 20:07:07 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM
2010-03-19 18:18:08 ----D---- C:\Programme\ORCA AVA
2010-03-19 10:02:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ORCA AVA
2010-03-19 09:48:30 ----SHD---- C:\WINDOWS\Installer
2010-03-16 20:02:25 ----D---- C:\Scanpics
2010-03-11 18:44:18 ----D---- C:\WINDOWS\Debug
2010-03-10 20:16:55 ----HD---- C:\WINDOWS\inf
2010-03-10 20:16:48 ----RSHD---- C:\WINDOWS\system32\dllcache
2010-03-10 20:16:48 ----D---- C:\Programme\Movie Maker
2010-03-10 20:15:51 ----HD---- C:\WINDOWS\$hf_mig$
2010-03-09 16:35:52 ----D---- C:\Programme\CCleaner
2010-03-09 11:31:32 ----A---- C:\WINDOWS\ccolwiz.ini
2010-03-02 06:30:12 ----A---- C:\WINDOWS\system32\MRT.exe
2010-03-01 17:02:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2010-03-01 16:36:05 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 InCDPass;InCDPass; C:\WINDOWS\System32\DRIVERS\InCDPass.sys [2003-12-12 28752]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 SiSkp;SiSkp; C:\WINDOWS\System32\DRIVERS\srvkp.sys [2004-01-02 11520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-08 56816]
R2 hardlock;hardlock; \??\C:\WINDOWS\system32\drivers\hardlock.sys []
R2 Haspnt;Haspnt; \??\C:\WINDOWS\system32\drivers\Haspnt.sys []
R2 MicroGuard;MicroGuard Copy Protection; \??\C:\WINDOWS\system32\drivers\mgnt.sys []
R3 ALCXSENS;Service for WDM 3D Audio Driver; C:\WINDOWS\system32\drivers\ALCXSENS.SYS [2004-02-24 400384]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2004-02-27 611820]
R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter; C:\WINDOWS\System32\DRIVERS\AN983.sys [2002-10-28 38528]
R3 SiS315;SiS315; C:\WINDOWS\System32\DRIVERS\sisgrp.sys [2004-01-02 432000]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-13 17152]
R4 InCDfs;InCD File System; C:\WINDOWS\system32\drivers\InCDfs.sys [2003-12-12 91712]
S1 P3;Intel PentiumIII-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\p3.sys [2008-04-14 46848]
S3 Dmsodlor_nrkfl;Dmsodlor_nrkfl; C:\WINDOWS\system32\drivers\Dmsodlor_nrkfl.sys []
S3 E100B;Intel(R) PRO-Adaptertreiber; C:\WINDOWS\System32\DRIVERS\e100b325.sys [2001-08-18 117760]
S3 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S3 Xreagp;Xreagp; C:\WINDOWS\system32\drivers\Xreagp.sys []
S4 adpu320;adpu320; C:\WINDOWS\System32\DRIVERS\adpu320.sys [2002-08-21 109568]
S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\System32\DRIVERS\agpCPQ.sys [2008-04-13 44928]
S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\System32\DRIVERS\alim1541.sys [2008-04-13 42752]
S4 cbidf;cbidf; C:\WINDOWS\System32\DRIVERS\cbidf2k.sys [2001-08-17 13952]
S4 IntelIde;IntelIde; C:\WINDOWS\System32\DRIVERS\intelide.sys [2008-04-14 5504]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-06 185089]
R2 InCDsrv;InCD Helper; C:\Programme\Ahead\InCD\InCDsrv.exe [2003-12-12 802868]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-10-11 153376]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 SNMP;SNMP-Dienst; C:\WINDOWS\System32\snmp.exe [2008-04-14 33280]
S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2009-11-13 135664]
S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 183280]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2008-04-21 68096]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 Autodesk Licensing Service;Autodesk Licensing Service; C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe [2005-07-12 77944]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 SNMPTRAP;SNMP-Trap-Dienst; C:\WINDOWS\System32\snmptrap.exe [2008-04-14 8704]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------


info.txt logfile of random's system information tool 1.06 2010-03-22 15:48:21

======Uninstall list======

-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\setup.exe" -l0x7
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Acronis*Disk Director Suite-->MsiExec.exe /X{2300EE96-0A41-4FAB-BD03-989EC44577A0}
Adobe Acrobat 6.0.1 Professional - English, Français, Deutsch-->MsiExec.exe /I{AC76BA86-1033-F400-7760-000000000001}
Adobe Acrobat and Reader 6.0.6 Update-->MsiExec.exe /I{AC76BA86-0000-7EC8-7489-000000000606}
Adobe Creative Suite-->C:\PROGRA~1\INSTAL~1\{D52EC~1\setup.exe /Relaunched=yes /Uninstall /Relaunched=yes
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe SVG Viewer 3.0-->C:\Programme\Gemeinsame Dateien\Adobe\SVG Viewer 3.0\Uninstall\Winstall.exe -u -fC:\Programme\Gemeinsame Dateien\Adobe\SVG Viewer 3.0\Uninstall\Install.log
AutoCAD LT 2000i - Deutsch-->MsiExec.exe /I{5783F2D7-0065-0407-0000-0060B0CE6BBA}
AutoCAD LT 2006 - Deutsch-->MsiExec.exe /I{5783F2D7-4009-0407-0002-0060B0CE6BBA}
Autodesk CAD Manager Tools 3.0-->MsiExec.exe /I{5783F2D7-0111-0409-0010-0060B0CE6BBA}
Autodesk DWF Viewer-->C:\PROGRA~1\Autodesk\AUTODE~1\Setup.exe /remove
Autodesk-Einrichtungsassistent-->MsiExec.exe /X{04AE4390-AC57-44A1-9165-FAF5C6BFB14E}
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
Borland Database Engine 5.1 - Runtime-->C:\WINDOWS\unin0407.exe -fd:\programme\DeIsL1.isu -cd:\programme\_ISREG32.DLL
CCleaner-->"C:\Programme\CCleaner\uninst.exe"
EPSON Printer Software-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
EPSON Scan-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0E0131B2-CF18-40D9-A331-60A3746C1204}\SETUP.EXE" -l0x7 UNINSTALL
Google Earth-->MsiExec.exe /X{2EAF7E61-068E-11DF-953C-005056806466}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Updater-->"C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall
HijackThis 2.0.2-->"C:\Programme\HiJackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix für Windows XP (KB979306)-->"C:\WINDOWS\$NtUninstallKB979306$\spuninst\spuninst.exe"
HTML.Browser.Framework 1.1.2-->MsiExec.exe /X{3DF2A0E8-ABB2-4026-84BC-26D0655F7EB8}
InCD-->C:\WINDOWS\NuNInst.exe /UNINSTALL
IrfanView (remove only)-->D:\Programme\IrfanView\iv_uninstall.exe
J2SE Runtime Environment 5.0 Update 11-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150110}
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework (German) v1.0.3705-->C:\WINDOWS\Microsoft.NET\Framework\Install.exe /u /p Microsoft .NET Framework Full v1.0.3705 (1031)
Microsoft .NET Framework (German)-->MsiExec.exe /X{20F1FFAF-1BFF-450C-A8C7-03D1BE24B950}
Microsoft .NET Framework 1.0 Hotfix (KB928367)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Updates\M9283671031\M9283671031Uninstall.msp"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office Basic Edition 2003-->MsiExec.exe /I{91130407-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Nero OEM-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
ORCA AVA-->MsiExec.exe /X{BEF30FDB-2413-4BBA-A7D8-B21343A45139}
QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\system32\QuickTime\Uninstall.log
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB972260)-->"C:\WINDOWS\ie7updates\KB972260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB974455)-->"C:\WINDOWS\ie7updates\KB974455-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB976325)-->"C:\WINDOWS\ie7updates\KB976325-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB978207)-->"C:\WINDOWS\ie7updates\KB978207-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975561)-->"C:\WINDOWS\$NtUninstallKB975561$\spuninst\spuninst.exe"
STLB-Bau XML V2 - Einzelplatz, Server-->MsiExec.exe /X{C8135AF6-930E-43BC-8E7E-2E857654EAEF}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update für Windows Internet Explorer 7 (KB976749)-->"C:\WINDOWS\ie7updates\KB976749-IE7\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
WinZip-->"C:\Programme\WinZip\WINZIP32.EXE" /uninstall

======Hosts File======

82.135.41.66 hilfe.kios.de

======Security center information======

AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz (disabled)
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz (disabled)
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz (disabled)
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir Desktop
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz
AV: AntiVir PersonalEdition Classic Virenschutz

======System event log======

Computer Name: ***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "WMI-Leistungsadapter" gesendet.

Record Number: 35152
Source Name: Service Control Manager
Time Written: 20091117140018.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***
Event Code: 17
Message: AVGNTFLT successfully loaded

Record Number: 35151
Source Name: avgntflt
Time Written: 20091117140017.000000+060
Event Type: Informationen
User:

Computer Name: ***
Event Code: 7036
Message: Dienst "Intelligenter Hintergrundübertragungsdienst" befindet sich jetzt im Status "Ausgeführt".

Record Number: 35150
Source Name: Service Control Manager
Time Written: 20091117140017.000000+060
Event Type: Informationen
User:

Computer Name: ***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "RAS-Verbindungsverwaltung" gesendet.

Record Number: 35149
Source Name: Service Control Manager
Time Written: 20091117140017.000000+060
Event Type: Informationen
User: PC2\Administrator

Computer Name: ***
Event Code: 7036
Message: Dienst "Telefonie" befindet sich jetzt im Status "Ausgeführt".

Record Number: 35148
Source Name: Service Control Manager
Time Written: 20091117140017.000000+060
Event Type: Informationen
User:

=====Application event log=====

Computer Name: ***
Event Code: 0
Message:
Record Number: 13755
Source Name: gusvc
Time Written: 20090623092500.000000+060
Event Type: Informationen
User:

Computer Name: ***
Event Code: 0
Message:
Record Number: 13754
Source Name: gusvc
Time Written: 20090623083912.000000+060
Event Type: Informationen
User:

Computer Name: ***
Event Code: 1015
Message: TraceLevel-Parameter ist nicht in der Registrierung enthalten.
Die verwendete Standardablaufverfolgungsstufe ist 32.

Record Number: 13753
Source Name: EvntAgnt
Time Written: 20090623083823.000000+060
Event Type: Warnung
User:

Computer Name: ***
Event Code: 1003
Message: TraceFileName-Parameter ist nicht in der Registrierung enthalten.
Die verwendete Standardablaufverfolgungsdatei ist .

Record Number: 13752
Source Name: EvntAgnt
Time Written: 20090623083823.000000+060
Event Type: Warnung
User:

Computer Name: ***
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 13751
Source Name: Avira AntiVir
Time Written: 20090623083821.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Gemeinsame Dateien\Autodesk Shared\
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0209
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO

-----------------EOF-----------------

Geändert von hoppel (22.03.2010 um 15:58 Uhr)

Alt 22.03.2010, 19:24   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen und massiver Spamversand - Standard

TR/Dropper.Gen und massiver Spamversand



Hallo und

Zitat:
Ich habe heute einen Brief von der Telekom bekommen, dass bei der Nutzung unseres DSL-Zugangs massiv Spam-Mails versendet werden.
Betreibst Du rein zufällig ein WLAN, das nicht oder nur unzureichend verschlüsselt ist?
Bitte von dem Rechner auch ein Log mit GMER machen und posten.
__________________

__________________

Alt 23.03.2010, 14:18   #3
hoppel
 
TR/Dropper.Gen und massiver Spamversand - Standard

TR/Dropper.Gen und massiver Spamversand



Hallo Arne,

danke für die schnelle Antwort.

Der Rechner mit dem Trojaner ist verkabelt. Mit WLAN (verschlüsselt) läuft nur der Laptop, da war die Viren- und Trojanersuche bisher ohne Ergebnis.

Hier das Ergebnis des GMER-Scans:

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-03-23 13:49:41
Windows 5.1.2600 Service Pack 3
Running: t9tt9kf9.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\pgtdapow.sys


---- System - GMER 1.0.15 ----

SSDT F7EA91D6 ZwCreateKey
SSDT F7EA91CC ZwCreateThread
SSDT F7EA91DB ZwDeleteKey
SSDT F7EA91E5 ZwDeleteValueKey
SSDT F7EA91EA ZwLoadKey
SSDT F7EA91B8 ZwOpenProcess
SSDT F7EA91BD ZwOpenThread
SSDT F7EA91F4 ZwReplaceKey
SSDT F7EA91EF ZwRestoreKey
SSDT F7EA91E0 ZwSetValueKey
SSDT F7EA91C7 ZwTerminateProcess

INT 0x06 \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) F403416D
INT 0x0E \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) F4033FC2

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!ZwYieldExecution + 1FE 804E4A58 4 Bytes JMP 4CF7EA91
init C:\WINDOWS\system32\drivers\ALCXSENS.SYS entry point in "init" section [0xF7490900]
.text C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xF3A69400, 0x7EE2E, 0xE0000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xF3B06A20] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xF3B06A20]
.protectÿÿÿÿhardlockunknown last code section [0xF3B06800, 0x4E48, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xF3B06800, 0x4E48, 0xE0000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Nach dem Scan ging hier gar nichts mehr - ich musste den Rechner abwürgen und neu starten. Jetzt läuft er allerdings wieder normal.
__________________

Alt 24.03.2010, 10:21   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen und massiver Spamversand - Standard

TR/Dropper.Gen und massiver Spamversand



Ok. Bitte ein Log mit CF machen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.03.2010, 12:04   #5
hoppel
 
TR/Dropper.Gen und massiver Spamversand - Standard

TR/Dropper.Gen und massiver Spamversand



Hallo Arne,

obwohl AntiVir Guard deaktiviert war (Schirm geschlossen) hat CF vor dem Start gemeldet, dass der Virenschutz aktiv ist. Ich konnte diese Meldung nur abbrechen. Der CF-Scan ist dann gestartet. Hier das Ergebnis:

ComboFix 10-03-23.03 - Administrator 24.03.2010 11:44:33.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.479.172 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {84E8F054-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {84F9CB4C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {850D2454-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84C55364-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84D59C24-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84E46DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84E67DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84E7728C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84E7EA7C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EA95FC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EB6DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EB8554-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EBAA6C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EC77DC-FFA4-00EF-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84ECBDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84ED1314-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84ED1714-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84ED185C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EDD62C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EDFBD4-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EE2054-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EE55F4-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EEC9BC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F07DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F0AB54-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F16DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F1C18C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F1FA6C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F1FDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F20DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F2B5FC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F35C04-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F9621C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FA0054-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FA3B4C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FAF8F4-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FB0464-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FB4554-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FBA784-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FBF2A4-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FC02CC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FC87D4-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FC8DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FCA384-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FCB8CC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FCD62C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FCE38C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FCECE4-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FCF8BC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FD1C5C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FD268C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FD685C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FE0DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FE1DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FF1DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {85002DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {8500D6B4-FFA4-00EF-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {85033DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {8504BDB4-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {85052324-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {850A6494-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {850B3D54-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {850F256C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {850F4054-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {850F6264-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {850FB7BC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {8512A054-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {85286834-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {852B27BC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {852C897C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {852CD8CC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {852D1BAC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {BADB0D00-FFA4-00EF-0D24-347CA8A3377C}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-2894288591-730300115-2682224103-500
c:\windows\system32\images
c:\windows\system32\images\h_com.gif
c:\windows\system32\images\h_foto.jpg
c:\windows\system32\images\h_future.gif
c:\windows\system32\images\h_logo.gif
c:\windows\system32\images\n_select.gif
c:\windows\system32\images\spacer.gif

.
((((((((((((((((((((((( Dateien erstellt von 2010-02-24 bis 2010-03-24 ))))))))))))))))))))))))))))))
.

2010-03-23 13:09 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-03-22 14:48 . 2010-03-22 14:48 -------- d-----w- C:\rsit
2010-03-10 08:50 . 2009-10-23 15:28 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-24 09:36 . 2004-10-12 14:32 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\AdobeUM
2010-03-23 13:00 . 2008-11-27 12:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-03-19 17:18 . 2004-09-29 12:34 -------- d-----w- c:\programme\ORCA AVA
2010-03-19 09:02 . 2007-12-20 13:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ORCA AVA
2010-03-09 15:35 . 2007-08-08 15:13 -------- d-----w- c:\programme\CCleaner
2010-02-16 08:25 . 2008-03-03 08:37 -------- d-----w- c:\programme\Google
2010-02-09 09:24 . 2010-02-09 09:17 -------- d-----w- c:\programme\RSIT
2010-02-09 09:08 . 2006-02-08 18:29 -------- d-----w- c:\programme\AntiVir
2010-02-08 17:14 . 2010-02-08 17:14 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-02-08 17:14 . 2010-02-08 17:13 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-02-08 17:13 . 2010-02-08 17:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-08 17:13 . 2010-02-08 17:12 -------- d-----w- c:\programme\Malwarebyte
2010-01-18 12:08 . 2004-09-29 10:33 51544 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-07 15:07 . 2010-02-08 17:13 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2010-02-08 17:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-05 09:52 . 2004-01-21 16:24 832512 ----a-w- c:\windows\system32\wininet.dll
2010-01-05 09:52 . 2004-09-29 10:27 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-01-05 09:52 . 2003-05-22 20:24 17408 ----a-w- c:\windows\system32\corpol.dll
2009-12-31 16:50 . 2003-05-22 20:27 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2007-12-20 10:38 . 2006-03-28 14:27 3699 ----a-w- c:\programme\AVA_USER.INI
2007-02-22 15:02 . 2007-02-22 15:02 147 ----a-w- c:\programme\AVAWspell.ini
2006-03-10 13:39 . 2006-03-28 14:27 66048 ----a-w- c:\programme\AVANEWS.DOC
2005-11-08 14:19 . 2006-03-28 14:27 503620 ----a-w- c:\programme\acfpdf.dll
2005-08-24 14:16 . 2006-03-28 14:27 2105344 ----a-w- c:\programme\GxmlTbv2.exe
2005-08-24 14:11 . 2006-03-28 14:27 3059712 ----a-w- c:\programme\GaebTbv2.exe
2004-08-04 06:57 . 2006-03-28 14:27 614429 ----a-w- c:\programme\mswstr10.dll
2004-06-02 07:13 . 2006-03-28 14:27 540672 ----a-w- c:\programme\tx32.dll
2004-05-27 00:23 . 2006-03-28 14:27 159744 ----a-w- c:\programme\tx_rtf32.dll
2004-05-10 22:10 . 2006-03-28 14:27 471040 ----a-w- c:\programme\tx_pdf.dll
2004-03-16 17:44 . 2006-03-28 14:27 30749 ----a-w- c:\programme\vbajet32.dll
2004-03-16 17:44 . 2006-03-28 14:27 1507356 ----a-w- c:\programme\msjet40.dll
2004-03-08 21:00 . 2006-03-28 14:27 224016 ----a-w- c:\programme\tabctl32.ocx
2004-03-08 21:00 . 2006-03-28 14:27 132880 ----a-w- c:\programme\msinet.ocx
2004-03-08 21:00 . 2006-03-28 14:27 1081616 ----a-w- c:\programme\mscomctl.ocx
2004-03-08 21:00 . 2006-03-28 14:27 416528 ----a-w- c:\programme\comct332.ocx
2004-03-01 17:55 . 2006-03-28 14:27 241693 ----a-w- c:\programme\msjtes40.dll
2004-02-22 21:00 . 2006-03-28 14:27 1386496 ----a-w- c:\programme\msvbvm60.dll
2004-01-10 10:37 . 2006-03-28 14:27 380957 ----a-w- c:\programme\expsrv.dll
2004-01-10 10:36 . 2006-03-28 14:27 315423 ----a-w- c:\programme\msrd3x40.dll
2003-09-02 23:01 . 2006-03-28 14:27 188416 ----a-w- c:\programme\tx_htm32.dll
2003-07-17 22:51 . 2006-03-28 14:27 344064 ----a-w- c:\programme\tx4ole.ocx
2003-07-01 22:31 . 2006-03-28 14:27 356352 ----a-w- c:\programme\tx_css.dll
2003-07-01 22:21 . 2006-03-28 14:27 380928 ----a-w- c:\programme\tx_xml.dll
2003-07-01 22:12 . 2006-03-28 14:27 172032 ----a-w- c:\programme\tx_jpg32.flt
2003-04-27 23:10 . 2006-03-28 14:27 372736 ----a-w- c:\programme\tx_word.dll
2003-04-27 22:11 . 2006-03-28 14:27 192512 ----a-w- c:\programme\tx_png32.flt
2003-04-16 00:02 . 2006-03-28 14:27 478 ----a-w- c:\programme\ic32.ini
2003-04-16 00:02 . 2006-03-28 14:27 102400 ----a-w- c:\programme\ic32.dll
2003-04-14 23:12 . 2006-03-28 14:27 114688 ----a-w- c:\programme\txtls32.dll
2003-04-07 22:41 . 2006-03-28 14:27 53248 ----a-w- c:\programme\wndtls32.dll
2003-03-27 23:44 . 2006-03-28 14:27 61440 ----a-w- c:\programme\tx_tif32.flt
2003-03-27 23:01 . 2006-03-28 14:27 49152 ----a-w- c:\programme\tx_bmp32.flt
2003-03-27 22:13 . 2006-03-28 14:27 33280 ----a-w- c:\programme\tx_wmf32.flt
2003-02-02 10:35 . 2006-03-28 14:27 426528 ----a-w- c:\programme\XceedZip.dll
2002-06-19 09:54 . 2006-03-28 14:27 2 ----a-w- c:\programme\WILISNAP.EXE.LOCAL
2002-06-19 09:54 . 2006-03-28 14:27 2 ----a-w- c:\programme\DNACC.EXE.LOCAL
2002-02-11 09:09 . 2006-03-28 14:27 811 ----a-w- c:\programme\avaspell.ini
2002-01-30 09:42 . 2006-03-28 14:27 11264 ----a-w- c:\programme\avaspell.hud
2002-01-22 22:14 . 2006-03-28 14:27 327680 ----a-w- c:\programme\txobj32.dll
2001-06-13 10:17 . 2006-03-28 14:27 888832 ----a-w- c:\programme\AVADATA.MDB
2001-05-31 18:38 . 2006-03-28 14:27 254224 ----a-w- c:\programme\mstext40.dll
2001-03-01 15:39 . 2006-07-13 12:26 2636 ----a-w- c:\programme\AVAINFO.HTM
2001-02-13 15:58 . 2006-07-13 12:26 5967 ----a-w- c:\programme\AVAINFO.JPG
2000-09-21 11:13 . 2006-03-28 14:27 188416 ----a-w- c:\programme\azs32.ocx
2000-05-17 10:57 . 2006-03-28 14:27 180224 ----a-w- c:\programme\azs32.dll
2000-01-31 17:40 . 2006-03-28 14:27 557328 ----a-w- c:\programme\dao360.dll
1999-12-01 11:13 . 2006-03-28 14:27 20480 ----a-w- c:\programme\az32lic.dll
1999-09-30 17:21 . 2006-03-28 14:27 166672 ----a-w- c:\programme\mstext35.dll
1999-09-28 19:42 . 2006-03-28 14:27 1050896 ----a-w- c:\programme\msjet35.dll
1999-08-25 12:57 . 2006-03-28 14:27 415504 ----a-w- c:\programme\msrepl35.dll
1999-06-10 16:48 . 2006-03-28 14:27 801464 ----a-w- c:\programme\tdbg6.ocx
1999-03-31 14:06 . 2006-03-28 14:27 250640 ----a-w- c:\programme\MSEXCL35.DLL
1998-07-05 22:00 . 2006-03-28 14:27 22528 ----a-w- c:\programme\tabctDE.dll
1998-07-05 22:00 . 2006-03-28 14:27 158208 ----a-w- c:\programme\mscmcde.dll
1998-06-23 22:00 . 2006-03-28 14:27 137000 ----a-w- c:\programme\msmapi32.ocx
1998-05-14 22:00 . 2006-03-28 14:27 73184 ----a-w- c:\programme\DAO2535.TLB
1998-04-26 22:00 . 2006-03-28 14:27 570128 ----a-w- c:\programme\DAO350.DLL
1998-04-23 22:00 . 2006-03-28 14:27 287504 ----a-w- c:\programme\msxbse35.dll
1998-04-23 22:00 . 2006-03-28 14:27 252176 ----a-w- c:\programme\msrd2x35.dll
1998-04-23 22:00 . 2006-03-28 14:27 24848 ----a-w- c:\programme\msjter35.dll
1998-04-23 22:00 . 2006-03-28 14:27 148240 ----a-w- c:\programme\msjint35.dll
1997-11-30 23:02 . 2006-03-28 14:27 24064 ----a-w- c:\programme\tx_gif32.flt
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-02-08 77824]
"OSSelectorReinstall"="c:\programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-03-09 2224104]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
login.lnk - C:\login.bat [2004-9-29 181]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
login.lnk - C:\login.bat [2004-9-29 181]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-10-24 217194]
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-4-21 113664]
AutoCAD LT-Startbeschleuniger.lnk - c:\programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe [2005-3-5 10872]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"InCD"=c:\programme\Ahead\InCD\InCD.exe
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.07.2009 09:17 108289]
R2 MicroGuard;MicroGuard Copy Protection;c:\windows\system32\drivers\mgnt.sys [08.02.2005 10:01 40288]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [13.11.2009 09:38 135664]
S3 Dmsodlor_nrkfl;Dmsodlor_nrkfl; [x]
S3 Xreagp;Xreagp; [x]
.
Inhalt des "geplante Tasks" Ordners

2010-03-24 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-11-27 09:38]

2010-03-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-11-13 08:38]

2010-03-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-11-13 08:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = birco
TCP: {E70CE885-4F72-40F4-9F14-BA090D921271} = 192.168.10.99
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADLTScriptFile
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-03-24 11:48
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-03-24 11:50:13
ComboFix-quarantined-files.txt 2010-03-24 10:50

Vor Suchlauf: 15 Verzeichnis(se), 42.754.359.296 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 42.733.162.496 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 6A8D0FB083F5904896AAEBA18E8A0D8D


Alt 24.03.2010, 12:07   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen und massiver Spamversand - Standard

TR/Dropper.Gen und massiver Spamversand



Zitat:
obwohl AntiVir Guard deaktiviert war (Schirm geschlossen) hat CF vor dem Start gemeldet, dass der Virenschutz aktiv ist
Ist ein Bug von AntiVir. Manchmal müllt es das Sicherheitscenter zu und die Programme denken, AV wäre noch aktiv.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Driver::
Dmsodlor_nrkfl
Xreagp
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
--> TR/Dropper.Gen und massiver Spamversand

Alt 24.03.2010, 12:34   #7
hoppel
 
TR/Dropper.Gen und massiver Spamversand - Standard

TR/Dropper.Gen und massiver Spamversand



ok.
Hier die neue CF-Logdatei:

ComboFix 10-03-23.04 - Administrator 24.03.2010 12:18:37.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.479.128 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {84E8F054-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {84F9CB4C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {850D2454-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84C55364-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84D59C24-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84E46DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84E67DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84E7728C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84E7EA7C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EA95FC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EB6DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EB8554-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EBAA6C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EC77DC-FFA4-00EF-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84ECBDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84ED1314-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84ED1714-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84ED185C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EDD62C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EDFBD4-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EE2054-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EE55F4-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84EEC9BC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F07DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F0AB54-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F16DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F1C18C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F1FA6C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F1FDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F20DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F2B5FC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F35C04-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84F9621C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FA0054-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FA3B4C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FAF8F4-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FB0464-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FB4554-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FBA784-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FBF2A4-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FC02CC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FC87D4-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FC8DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FCA384-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FCB8CC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FCD62C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FCE38C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FCECE4-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FCF8BC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FD1C5C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FD268C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FD685C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FE0DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FE1DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {84FF1DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {85002DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {8500D6B4-FFA4-00EF-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {85033DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {8504BDB4-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {85052324-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {850A6494-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {850B3D54-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {850F256C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {850F4054-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {850F6264-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {850FB7BC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {8512A054-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {85286834-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {852B27BC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {852C897C-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {852CD8CC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {852D1BAC-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {BADB0D00-FFA4-00EF-0D24-347CA8A3377C}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Dmsodlor_nrkfl
-------\Service_Xreagp


((((((((((((((((((((((( Dateien erstellt von 2010-02-24 bis 2010-03-24 ))))))))))))))))))))))))))))))
.

2010-03-23 13:09 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-03-22 14:48 . 2010-03-22 14:48 -------- d-----w- C:\rsit
2010-03-10 08:50 . 2009-10-23 15:28 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-24 09:36 . 2004-10-12 14:32 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\AdobeUM
2010-03-23 13:00 . 2008-11-27 12:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-03-19 17:18 . 2004-09-29 12:34 -------- d-----w- c:\programme\ORCA AVA
2010-03-19 09:02 . 2007-12-20 13:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ORCA AVA
2010-03-09 15:35 . 2007-08-08 15:13 -------- d-----w- c:\programme\CCleaner
2010-02-16 08:25 . 2008-03-03 08:37 -------- d-----w- c:\programme\Google
2010-02-09 09:24 . 2010-02-09 09:17 -------- d-----w- c:\programme\RSIT
2010-02-09 09:08 . 2006-02-08 18:29 -------- d-----w- c:\programme\AntiVir
2010-02-08 17:14 . 2010-02-08 17:14 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-02-08 17:14 . 2010-02-08 17:13 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-02-08 17:13 . 2010-02-08 17:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-08 17:13 . 2010-02-08 17:12 -------- d-----w- c:\programme\Malwarebyte
2010-01-18 12:08 . 2004-09-29 10:33 51544 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-07 15:07 . 2010-02-08 17:13 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2010-02-08 17:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-05 09:52 . 2004-01-21 16:24 832512 ------w- c:\windows\system32\wininet.dll
2010-01-05 09:52 . 2004-09-29 10:27 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-01-05 09:52 . 2003-05-22 20:24 17408 ----a-w- c:\windows\system32\corpol.dll
2009-12-31 16:50 . 2003-05-22 20:27 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2007-12-20 10:38 . 2006-03-28 14:27 3699 ----a-w- c:\programme\AVA_USER.INI
2007-02-22 15:02 . 2007-02-22 15:02 147 ----a-w- c:\programme\AVAWspell.ini
2006-03-10 13:39 . 2006-03-28 14:27 66048 ----a-w- c:\programme\AVANEWS.DOC
2005-11-08 14:19 . 2006-03-28 14:27 503620 ----a-w- c:\programme\acfpdf.dll
2005-08-24 14:16 . 2006-03-28 14:27 2105344 ----a-w- c:\programme\GxmlTbv2.exe
2005-08-24 14:11 . 2006-03-28 14:27 3059712 ----a-w- c:\programme\GaebTbv2.exe
2004-08-04 06:57 . 2006-03-28 14:27 614429 ----a-w- c:\programme\mswstr10.dll
2004-06-02 07:13 . 2006-03-28 14:27 540672 ----a-w- c:\programme\tx32.dll
2004-05-27 00:23 . 2006-03-28 14:27 159744 ----a-w- c:\programme\tx_rtf32.dll
2004-05-10 22:10 . 2006-03-28 14:27 471040 ----a-w- c:\programme\tx_pdf.dll
2004-03-16 17:44 . 2006-03-28 14:27 30749 ----a-w- c:\programme\vbajet32.dll
2004-03-16 17:44 . 2006-03-28 14:27 1507356 ----a-w- c:\programme\msjet40.dll
2004-03-08 21:00 . 2006-03-28 14:27 224016 ----a-w- c:\programme\tabctl32.ocx
2004-03-08 21:00 . 2006-03-28 14:27 132880 ----a-w- c:\programme\msinet.ocx
2004-03-08 21:00 . 2006-03-28 14:27 1081616 ----a-w- c:\programme\mscomctl.ocx
2004-03-08 21:00 . 2006-03-28 14:27 416528 ----a-w- c:\programme\comct332.ocx
2004-03-01 17:55 . 2006-03-28 14:27 241693 ----a-w- c:\programme\msjtes40.dll
2004-02-22 21:00 . 2006-03-28 14:27 1386496 ----a-w- c:\programme\msvbvm60.dll
2004-01-10 10:37 . 2006-03-28 14:27 380957 ----a-w- c:\programme\expsrv.dll
2004-01-10 10:36 . 2006-03-28 14:27 315423 ----a-w- c:\programme\msrd3x40.dll
2003-09-02 23:01 . 2006-03-28 14:27 188416 ----a-w- c:\programme\tx_htm32.dll
2003-07-17 22:51 . 2006-03-28 14:27 344064 ----a-w- c:\programme\tx4ole.ocx
2003-07-01 22:31 . 2006-03-28 14:27 356352 ----a-w- c:\programme\tx_css.dll
2003-07-01 22:21 . 2006-03-28 14:27 380928 ----a-w- c:\programme\tx_xml.dll
2003-07-01 22:12 . 2006-03-28 14:27 172032 ----a-w- c:\programme\tx_jpg32.flt
2003-04-27 23:10 . 2006-03-28 14:27 372736 ----a-w- c:\programme\tx_word.dll
2003-04-27 22:11 . 2006-03-28 14:27 192512 ----a-w- c:\programme\tx_png32.flt
2003-04-16 00:02 . 2006-03-28 14:27 478 ----a-w- c:\programme\ic32.ini
2003-04-16 00:02 . 2006-03-28 14:27 102400 ----a-w- c:\programme\ic32.dll
2003-04-14 23:12 . 2006-03-28 14:27 114688 ----a-w- c:\programme\txtls32.dll
2003-04-07 22:41 . 2006-03-28 14:27 53248 ----a-w- c:\programme\wndtls32.dll
2003-03-27 23:44 . 2006-03-28 14:27 61440 ----a-w- c:\programme\tx_tif32.flt
2003-03-27 23:01 . 2006-03-28 14:27 49152 ----a-w- c:\programme\tx_bmp32.flt
2003-03-27 22:13 . 2006-03-28 14:27 33280 ----a-w- c:\programme\tx_wmf32.flt
2003-02-02 10:35 . 2006-03-28 14:27 426528 ----a-w- c:\programme\XceedZip.dll
2002-06-19 09:54 . 2006-03-28 14:27 2 ----a-w- c:\programme\WILISNAP.EXE.LOCAL
2002-06-19 09:54 . 2006-03-28 14:27 2 ----a-w- c:\programme\DNACC.EXE.LOCAL
2002-02-11 09:09 . 2006-03-28 14:27 811 ----a-w- c:\programme\avaspell.ini
2002-01-30 09:42 . 2006-03-28 14:27 11264 ----a-w- c:\programme\avaspell.hud
2002-01-22 22:14 . 2006-03-28 14:27 327680 ----a-w- c:\programme\txobj32.dll
2001-06-13 10:17 . 2006-03-28 14:27 888832 ----a-w- c:\programme\AVADATA.MDB
2001-05-31 18:38 . 2006-03-28 14:27 254224 ----a-w- c:\programme\mstext40.dll
2001-03-01 15:39 . 2006-07-13 12:26 2636 ----a-w- c:\programme\AVAINFO.HTM
2001-02-13 15:58 . 2006-07-13 12:26 5967 ----a-w- c:\programme\AVAINFO.JPG
2000-09-21 11:13 . 2006-03-28 14:27 188416 ----a-w- c:\programme\azs32.ocx
2000-05-17 10:57 . 2006-03-28 14:27 180224 ----a-w- c:\programme\azs32.dll
2000-01-31 17:40 . 2006-03-28 14:27 557328 ----a-w- c:\programme\dao360.dll
1999-12-01 11:13 . 2006-03-28 14:27 20480 ----a-w- c:\programme\az32lic.dll
1999-09-30 17:21 . 2006-03-28 14:27 166672 ----a-w- c:\programme\mstext35.dll
1999-09-28 19:42 . 2006-03-28 14:27 1050896 ----a-w- c:\programme\msjet35.dll
1999-08-25 12:57 . 2006-03-28 14:27 415504 ----a-w- c:\programme\msrepl35.dll
1999-06-10 16:48 . 2006-03-28 14:27 801464 ----a-w- c:\programme\tdbg6.ocx
1999-03-31 14:06 . 2006-03-28 14:27 250640 ----a-w- c:\programme\MSEXCL35.DLL
1998-07-05 22:00 . 2006-03-28 14:27 22528 ----a-w- c:\programme\tabctDE.dll
1998-07-05 22:00 . 2006-03-28 14:27 158208 ----a-w- c:\programme\mscmcde.dll
1998-06-23 22:00 . 2006-03-28 14:27 137000 ----a-w- c:\programme\msmapi32.ocx
1998-05-14 22:00 . 2006-03-28 14:27 73184 ----a-w- c:\programme\DAO2535.TLB
1998-04-26 22:00 . 2006-03-28 14:27 570128 ----a-w- c:\programme\DAO350.DLL
1998-04-23 22:00 . 2006-03-28 14:27 287504 ----a-w- c:\programme\msxbse35.dll
1998-04-23 22:00 . 2006-03-28 14:27 252176 ----a-w- c:\programme\msrd2x35.dll
1998-04-23 22:00 . 2006-03-28 14:27 24848 ----a-w- c:\programme\msjter35.dll
1998-04-23 22:00 . 2006-03-28 14:27 148240 ----a-w- c:\programme\msjint35.dll
1997-11-30 23:02 . 2006-03-28 14:27 24064 ----a-w- c:\programme\tx_gif32.flt
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-02-08 77824]
"OSSelectorReinstall"="c:\programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-03-09 2224104]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
login.lnk - C:\login.bat [2004-9-29 181]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
login.lnk - C:\login.bat [2004-9-29 181]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-10-24 217194]
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-4-21 113664]
AutoCAD LT-Startbeschleuniger.lnk - c:\programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe [2005-3-5 10872]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"InCD"=c:\programme\Ahead\InCD\InCD.exe
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.07.2009 09:17 108289]
R2 MicroGuard;MicroGuard Copy Protection;c:\windows\system32\drivers\mgnt.sys [08.02.2005 10:01 40288]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [13.11.2009 09:38 135664]
.
Inhalt des "geplante Tasks" Ordners

2010-03-24 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-11-27 09:38]

2010-03-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-11-13 08:38]

2010-03-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-11-13 08:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = birco
TCP: {E70CE885-4F72-40F4-9F14-BA090D921271} = 192.168.10.99
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-03-24 12:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1792)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Ahead\InCD\InCDsrv.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\System32\snmp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-03-24 12:30:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-03-24 11:30
ComboFix2.txt 2010-03-24 10:50

Vor Suchlauf: 16 Verzeichnis(se), 42.728.812.544 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 42.628.661.248 Bytes frei

- - End Of File - - EB097D3B02AE8CF44A31B058CAC0B597

Alt 24.03.2010, 12:35   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen und massiver Spamversand - Standard

TR/Dropper.Gen und massiver Spamversand



Sieht ok aus. Mach bitte Kontrollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.03.2010, 15:30   #9
hoppel
 
TR/Dropper.Gen und massiver Spamversand - Standard

TR/Dropper.Gen und massiver Spamversand



So, das hat bissl gedauert, weil ich trotz Hinweis erst mal vergessen habe das Malwarebytes upzudaten.

Hier das Malwarebytes-Log:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3908
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

24.03.2010 14:21:08
mbam-log-2010-03-24 (14-21-08).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 181087
Laufzeit: 35 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Und hier SUPERAntiSpyware:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/24/2010 at 03:20 PM

Application Version : 4.34.1000

Core Rules Database Version : 4723
Trace Rules Database Version: 2535

Scan type : Complete Scan
Total Scan Time : 00:44:37

Memory items scanned : 462
Memory threats detected : 0
Registry items scanned : 6027
Registry threats detected : 0
File items scanned : 54063
File threats detected : 1

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt

Alt 24.03.2010, 15:33   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen und massiver Spamversand - Standard

TR/Dropper.Gen und massiver Spamversand



Aber es hat sich gelohnt es wurde von SUPERAntiSpyware nur ein Cookie gefunden
Noch Probleme oder sonstwas? Wenn nicht Updates prüfen!!

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.03.2010, 18:09   #11
hoppel
 
TR/Dropper.Gen und massiver Spamversand - Standard

TR/Dropper.Gen und massiver Spamversand



Hallo Arne,

vielen Dank für die ausdauernde Hilfe! Wo soll ich denn eigentlich den Kuchen hinschicken ?

Ich habe inzwischen ein Microsoftupdate gemacht, den alten PDF-Reader gelöscht, den neuen Flashplayer geladen ein Java-Update gemacht und das AntiVir aktualisiert.

Dann habe ich nocheinmal den TrendMicro HouseCall laufen lassen, und wieder hat sich während des HouseCall Scans der AntiVir Guard eingeschaltet und den Trojaner gefunden:

In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\HouseCall\VS4P8SAR.001'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Ich hab dann den ganzen Temp-Ordner gelöscht und das ganze nochmal laufen lassen:

In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\HouseCall\VS63GOIM.001'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Dann habe ich Malwarebytes nochmal durchlaufen lassen -ohne irgendeinen Fund.

Ist da jetzt ein Pferd oder nicht???

[edit] hier noch das letzte Malwarebytes-Log:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3908
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

24.03.2010 17:50:52
mbam-log-2010-03-24 (17-50-52).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 181348
Laufzeit: 44 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Geändert von hoppel (24.03.2010 um 18:34 Uhr)

Alt 24.03.2010, 20:34   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen und massiver Spamversand - Standard

TR/Dropper.Gen und massiver Spamversand



Zitat:
und wieder hat sich während des HouseCall Scans der AntiVir Guard eingeschaltet und den Trojaner gefunden:
Ähm ja, das passiert schonmal. AntiVir hat da wohl was in den Signaturen vom Housecall gefunden, beachte den kompletten Pfad:

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\HouseCall\VS4P8SAR.001

Das ist auch eigentlich der Grund überhaupt, warum man nie zwei oder mehr Virenscanner mit Wächter/Guard installiert haben sollte. Die Dinger können sich gegenseitig aushebeln bzw. lahmlegen! (Wobei Malwarebytes da ne Ausnahme bildet, denn das Tool wurde extra für Parallelbetrieb konzipiert)
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 26.03.2010, 19:49   #13
hoppel
 
TR/Dropper.Gen und massiver Spamversand - Standard

TR/Dropper.Gen und massiver Spamversand



Ok, dann vielen Dank für die Hilfe, allein der seelische Beistand war enorm .
Das Angebot mit dem Kuchen steht noch .

Alt 27.03.2010, 00:30   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen und massiver Spamversand - Standard

TR/Dropper.Gen und massiver Spamversand



Steht Dein Kuchen in der Nähe von Bremen?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.03.2010, 08:16   #15
hoppel
 
TR/Dropper.Gen und massiver Spamversand - Standard

TR/Dropper.Gen und massiver Spamversand



Fast. Landshut-Bremen = 750 km.
Aber ich könnte ja die gute alte Deutsche Post bemühen. Zum Versand würden sich besonders Cookies gut eignen .

Antwort

Themen zu TR/Dropper.Gen und massiver Spamversand
1.tmp, administrator, anti-malware, antivir, antivir guard, avgntflt.sys, beendet, brief, c:\windows\temp, ccleaner, computer, content.ie5, datei, disk director, einstellungen, explorer, folge, fontcache, gelöscht, gen, google, guard, gupdate, hkus\s-1-5-18, hotfix.exe, löschen, msiexec.exe, neu, notepad.exe, programm, security update, spam-mails, suche, suchlauf, system32, systemwiederherstellung, telekom, temp, tr/dropper.gen, trojan, windows internet, windows internet explorer



Ähnliche Themen: TR/Dropper.Gen und massiver Spamversand


  1. Massiver Datenklau bei US-Steuerbehörde IRS
    Nachrichten - 27.05.2015 (0)
  2. Spamversand aus E-Mail-Account
    Plagegeister aller Art und deren Bekämpfung - 01.03.2014 (3)
  3. Sperrdrohung von der Telekom wg. Spamversand
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (1)
  4. Telekom Abuse: Spamversand
    Log-Analyse und Auswertung - 23.07.2012 (1)
  5. Pc ( windows 7 ) massiver Virenbefall
    Log-Analyse und Auswertung - 17.02.2012 (2)
  6. Unerklärlicher Spamversand
    Plagegeister aller Art und deren Bekämpfung - 08.12.2011 (5)
  7. Uerklärlicher Spamversand
    Überwachung, Datenschutz und Spam - 07.12.2011 (3)
  8. wwwzuc32.exe + SPAMversand
    Antiviren-, Firewall- und andere Schutzprogramme - 26.05.2010 (2)
  9. Massiver Leistungsabbruch des Internets im Heimnetzwerk
    Log-Analyse und Auswertung - 12.05.2010 (3)
  10. SPAMversand - nzntocu.sys Rootkit
    Plagegeister aller Art und deren Bekämpfung - 05.03.2010 (10)
  11. Spamversand mit unserer IP
    Überwachung, Datenschutz und Spam - 08.01.2010 (6)
  12. Spamversand aus dem GMX-Webinterface
    Überwachung, Datenschutz und Spam - 06.06.2009 (5)
  13. massiver Virenbefall
    Log-Analyse und Auswertung - 03.12.2008 (1)
  14. massiver Befall nach Download
    Log-Analyse und Auswertung - 19.04.2008 (15)
  15. massiver trojanerbefall, was tun?
    Plagegeister aller Art und deren Bekämpfung - 02.05.2006 (18)
  16. Massiver Befall von unterschiedlicher Spyware!
    Plagegeister aller Art und deren Bekämpfung - 06.03.2005 (9)
  17. Massiver Trojaner-Befall-Hij-Log
    Log-Analyse und Auswertung - 14.02.2005 (6)

Zum Thema TR/Dropper.Gen und massiver Spamversand - Ich habe heute einen Brief von der Telekom bekommen, dass bei der Nutzung unseres DSL-Zugangs massiv Spam-Mails versendet werden. Das AntiVir läuft jeden Tag durch, ohne Gefahrenmeldungen anzuzeigen. Inzwischen habe - TR/Dropper.Gen und massiver Spamversand...
Archiv
Du betrachtest: TR/Dropper.Gen und massiver Spamversand auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.