Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Agent 188416 im Minutentakt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.03.2010, 08:58   #1
Moesle-Bau
 
TR/Agent 188416 im Minutentakt - Standard

TR/Agent 188416 im Minutentakt



Hallo Ihr,

hab schon gesucht obs das Thema schon mal gab. Habs leider nicht gefunden also seit mir bitte nicht böse wenn ichs nochmal poste. Bei meinem Arbeitskollegen kommt den ganzen morgen schon der Trojaner TR/Agent 188416. Antivir klingelt im Minutentakt. Wir haben keine Ahnung wie wir den wegbekommen, hoffentlich könnt ihr uns helfen. Is n sehr wichtiger Firmenrechner und war wohl nicht ausreichend geschützt!

Hier das Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:21:51, on 25.03.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Comodo\CBOClean\BOCORE.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ShrewSoft\VPN Client\dtpd.exe
C:\Programme\ShrewSoft\VPN Client\iked.exe
C:\Programme\ShrewSoft\VPN Client\ipsecd.exe
C:\Programme\WEBDE\SmartSurfer\SmurfService.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\wuauclt.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: XBTP01621 - {F6104497-54FD-4688-9162-5115CC8AB0FB} - (no file)
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [YVIBBBHA8C] C:\DOKUME~1\rh\LOKALE~1\Temp\Bqx.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A28F1646-B86E-4C73-ADCF-2607A52B1833}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D22C59FA-2333-478E-B595-704CBCFB972E}: Domain = pcconnect.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{D22C59FA-2333-478E-B595-704CBCFB972E}: NameServer = 62.156.251.3,62.156.251.6
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: BOCore - COMODO - C:\Programme\Comodo\CBOClean\BOCORE.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ShrewSoft DNS Proxy Daemon (dtpd) - Unknown owner - C:\Programme\ShrewSoft\VPN Client\dtpd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: ShrewSoft IKE Daemon (iked) - Unknown owner - C:\Programme\ShrewSoft\VPN Client\iked.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ShrewSoft IPSEC Daemon (ipsecd) - Unknown owner - C:\Programme\ShrewSoft\VPN Client\ipsecd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Programme\WEBDE\SmartSurfer\SmurfService.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O24 - Desktop Component 1: PC-Aquarium Deluxe - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 9031 bytes


Ich hoffe ihr könnt meinem Kollegen weiter helfen! Vielen vielen Dank im Voraus!!!

Alt 25.03.2010, 11:59   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Agent 188416 im Minutentakt - Standard

TR/Agent 188416 im Minutentakt



Hallo und

Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{D22C59FA-2333-478E-B595-704CBCFB972E}: Domain = pcconnect.de
Das ist nicht rein zufällig ein Bürorechner? Wenn ja, solltest Du das lieber mit Deiner EDV klären!
__________________

__________________

Alt 25.03.2010, 13:02   #3
Moesle-Bau
 
TR/Agent 188416 im Minutentakt - Standard

TR/Agent 188416 im Minutentakt



Wir sind nur ne kleine Firma und haben keine EDV-Abteilung. Machen das alles selbst. Kannst du mir das Logfile auswerten und uns Abhilfe schaffen? Wär echt klasse. Danke schon mal.
__________________

Alt 25.03.2010, 13:19   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Agent 188416 im Minutentakt - Standard

TR/Agent 188416 im Minutentakt



Ok. Poste bitte aber erstmal das Logfile vom Virenscanner.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.03.2010, 13:29   #5
Moesle-Bau
 
TR/Agent 188416 im Minutentakt - Standard

TR/Agent 188416 im Minutentakt



Hier den vom MBAM, haben den eh gerade laufen lassen.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3910
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

25.03.2010 13:23:16
mbam-log-2010-03-25 (13-22-56).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 291142
Laufzeit: 2 hour(s), 5 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> No action taken.


Alt 25.03.2010, 13:45   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Agent 188416 im Minutentakt - Standard

TR/Agent 188416 im Minutentakt



Hast Du die Funde mit Malwarebytes entfernt?
Poste bitte auch das Log von AntiVir.
__________________
--> TR/Agent 188416 im Minutentakt

Alt 25.03.2010, 13:59   #7
Moesle-Bau
 
TR/Agent 188416 im Minutentakt - Standard

TR/Agent 188416 im Minutentakt



Ja hab ich entfernt. Ich hoffe das war okay. Den log von Antivir kann ich dir erst morgen geben, da Antivir abgekackt is und ich jetzt wieder von vorne anfangen muss (braucht insgesamt über 5 Stunden..). Nochmals vielen Dank für deine schnelle Hilfe, sind sehr begeistert von dem Forum hier! Danke!

Alt 25.03.2010, 14:04   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Agent 188416 im Minutentakt - Standard

TR/Agent 188416 im Minutentakt



Ok, dann machs morgen
Und wenn Du schon dabei bist, erstell auch gleich Logs mit RSIT und GMER und poste sie auch.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.03.2010, 14:28   #9
Moesle-Bau
 
TR/Agent 188416 im Minutentakt - Standard

TR/Agent 188416 im Minutentakt



so hier die RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by rh at 2010-03-25 14:08:03
Microsoft Windows XP Professional Service Pack 2
System drive C: has 4 GB (5%) free of 80 GB
Total RAM: 1014 MB (63% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:08:06, on 25.03.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\ShrewSoft\VPN Client\dtpd.exe
C:\Programme\ShrewSoft\VPN Client\iked.exe
C:\Programme\ShrewSoft\VPN Client\ipsecd.exe
C:\Programme\WEBDE\SmartSurfer\SmurfService.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\WINDOWS\System32\svchost.exe
G:\RSIT.exe
C:\Programme\Trend Micro\HijackThis\rh.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.bearshare.com/sidebar.html?src=ssb
R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: XBTP01621 - {F6104497-54FD-4688-9162-5115CC8AB0FB} - (no file)
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A28F1646-B86E-4C73-ADCF-2607A52B1833}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D22C59FA-2333-478E-B595-704CBCFB972E}: Domain = pcconnect.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{D22C59FA-2333-478E-B595-704CBCFB972E}: NameServer = 62.156.251.3,62.156.251.6
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ShrewSoft DNS Proxy Daemon (dtpd) - Unknown owner - C:\Programme\ShrewSoft\VPN Client\dtpd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: ShrewSoft IKE Daemon (iked) - Unknown owner - C:\Programme\ShrewSoft\VPN Client\iked.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ShrewSoft IPSEC Daemon (ipsecd) - Unknown owner - C:\Programme\ShrewSoft\VPN Client\ipsecd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Programme\WEBDE\SmartSurfer\SmurfService.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O24 - Desktop Component 1: PC-Aquarium Deluxe - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 8320 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Automatische Problemsuche.job
C:\WINDOWS\tasks\GoogleUpdateTaskUser.job
C:\WINDOWS\tasks\User_Feed_Synchronization-{919C21D0-0BFC-4143-AF5C-0258B27F54BA}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443}]
metaspinner media GmbH - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL [2007-04-10 128512]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll [2008-08-15 370296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL [2006-10-26 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F6104497-54FD-4688-9162-5115CC8AB0FB}]
XBTP01621 Class

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD}]
C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL [2006-11-30 1402368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - &klickTel Toolbar - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL [2006-11-30 1402368]
{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - []
{32099AAC-C132-4136-9E9A-4E364A424E17} - DAEMON Tools Toolbar - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll [2008-07-17 691656]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"ToADiMon.exe"=C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe [2007-02-15 282624]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2008-08-15 185896]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2006-03-23 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PCANotify]
C:\WINDOWS\system32\PCANotify.dll [2003-10-31 8704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL [2006-10-26 2210608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
relog_ap

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"E:\Data\Sys\Sybase\win32\dbeng9.exe"="E:\Data\Sys\Sybase\win32\dbeng9.exe:*:Enabled:Adaptive Server Anywhere Database Engine"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Symantec\pcAnywhere\Winaw32.exe"="C:\Programme\Symantec\pcAnywhere\Winaw32.exe:*:EnabledcAnywhere Main Executable"
"C:\Programme\Symantec\pcAnywhere\awhost32.exe"="C:\Programme\Symantec\pcAnywhere\awhost32.exe:*:EnabledcAnywhere Host Service"
"C:\Programme\Symantec\pcAnywhere\awrem32.exe"="C:\Programme\Symantec\pcAnywhere\awrem32.exe:*:EnabledcAnywhere Remote Service"
"C:\Programme\Joost\xulrunner\tvprunner.exe"="C:\Programme\Joost\xulrunner\tvprunner.exe:*:Enabled:tvprunner"
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Dokumente und Einstellungen\rh\Desktop\NTRsupport_W95-XP.exe"="C:\Dokumente und Einstellungen\rh\Desktop\NTRsupport_W95-XP.exe:*:Enabled:NTRsupport"
"E:\Zusatz\Sybase9\win32\dbeng9.exe"="E:\Zusatz\Sybase9\win32\dbeng9.exe:*:Enabled:Adaptive Server Anywhere Database Engine"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\onlineTV Global 2\onlineTV.exe"="C:\Programme\onlineTV Global 2\onlineTV.exe:*:EnablednlineTV"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1b6c802-fe10-11db-a18c-00138f820035}]
shell\AutoRun\command - G:\LaunchU3.exe -a


======List of files/folders created in the last 1 months======

2010-03-25 14:08:03 ----D---- C:\rsit
2010-03-25 11:15:16 ----D---- C:\Dokumente und Einstellungen\rh\Anwendungsdaten\Malwarebytes
2010-03-25 11:15:09 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-03-25 11:15:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-25 11:11:05 ----D---- C:\Programme\CCleaner
2010-03-25 09:01:54 ----A---- C:\WINDOWS\system32\mwtsp.dll
2010-03-25 09:01:54 ----A---- C:\WINDOWS\inst_tsp.exe
2010-03-25 09:01:52 ----D---- C:\WINDOWS\system32\FLCSS.EXE
2010-03-25 08:20:55 ----D---- C:\Programme\Trend Micro
2010-03-25 07:19:48 ----N---- C:\WINDOWS\system32\browserchoice.exe
2010-03-23 17:06:11 ----D---- C:\Dokumente und Einstellungen\rh\Anwendungsdaten\Mozilla
2010-03-23 14:38:28 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UAB
2010-03-23 14:37:46 ----D---- C:\Programme\Driver Whiz
2010-03-23 14:36:55 ----SHD---- C:\Config.Msi
2010-03-23 14:14:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Driver Whiz
2010-03-16 11:55:13 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real
2010-03-11 16:01:10 ----HDC---- C:\WINDOWS\$NtUninstallKB975561$
2010-03-11 11:57:00 ----D---- C:\Programme\ShrewSoft

======List of files/folders modified in the last 1 months======

2010-03-25 14:03:31 ----D---- C:\WINDOWS\system32
2010-03-25 14:03:31 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-03-25 14:01:14 ----D---- C:\WINDOWS\Prefetch
2010-03-25 14:01:12 ----AD---- C:\WINDOWS
2010-03-25 14:00:22 ----RD---- C:\Programme
2010-03-25 13:59:55 ----A---- C:\WINDOWS\win.ini
2010-03-25 13:59:18 ----D---- C:\WINDOWS\system32\CatRoot2
2010-03-25 13:59:13 ----D---- C:\WINDOWS\Temp
2010-03-25 13:58:27 ----D---- C:\WINDOWS\system32\drivers
2010-03-25 13:57:47 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-03-25 13:57:36 ----D---- C:\WINDOWS\mui
2010-03-25 13:23:16 ----D---- C:\Rudi
2010-03-25 11:12:17 ----D---- C:\WINDOWS\Debug
2010-03-25 09:47:40 ----SD---- C:\WINDOWS\Tasks
2010-03-25 08:46:49 ----HD---- C:\WINDOWS\inf
2010-03-25 08:45:51 ----SHD---- C:\WINDOWS\Installer
2010-03-25 08:44:32 ----DC---- C:\WINDOWS\system32\DRVSTORE
2010-03-25 08:38:27 ----D---- C:\Programme\onlineTV Global 2
2010-03-25 08:36:51 ----D---- C:\Programme\Real
2010-03-25 08:34:31 ----D---- C:\Programme\Comodo
2010-03-23 17:05:54 ----D---- C:\Programme\Mozilla Firefox
2010-03-23 14:14:33 ----RSD---- C:\WINDOWS\assembly
2010-03-23 09:20:17 ----A---- C:\WINDOWS\BrzDzEp.INI
2010-03-22 13:29:25 ----D---- C:\WINDOWS\Crystal
2010-03-18 14:01:41 ----A---- C:\WINDOWS\ktel.ini
2010-03-16 11:49:25 ----AC---- C:\WINDOWS\NeroDigital.ini
2010-03-16 09:56:26 ----A---- C:\BrzCProt.txt
2010-03-11 16:01:12 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-03-11 16:01:12 ----D---- C:\Programme\Movie Maker
2010-03-11 16:00:44 ----HD---- C:\WINDOWS\$hf_mig$
2010-03-05 08:03:37 ----D---- C:\Lohnverb
2010-03-05 07:56:49 ----D---- C:\Zahlung Disk
2010-03-02 13:09:25 ----D---- C:\WINDOWS\system32\Restore
2010-03-02 06:30:12 ----A---- C:\WINDOWS\system32\MRT.exe
2010-03-01 16:35:02 ----D---- C:\Programme\klickIdent Herbst 2009

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 AW_HOST;AW_HOST; C:\WINDOWS\system32\drivers\aw_host5.sys [2003-10-23 16984]
R1 awlegacy;awlegacy; C:\WINDOWS\System32\Drivers\awlegacy.sys [2003-04-21 10901]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2009-02-17 24232]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-10 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-08 56816]
R2 AVMPORT;AVMPORT; C:\WINDOWS\System32\drivers\avmport.sys [2001-10-23 59520]
R2 BrPar;BrPar; C:\WINDOWS\System32\drivers\BrPar.sys [2000-07-24 19537]
R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2004-08-03 87424]
R2 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2004-08-04 5888]
R2 tifsfilter;Acronis True Image FS Filter; C:\WINDOWS\system32\DRIVERS\tifsfilt.sys [2007-06-04 32768]
R3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2009-03-10 103744]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber; C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2007-02-16 11984]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0; C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 444416]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2008-04-17 15464]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2006-03-23 1166972]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-06-14 4299264]
R3 irsir;Microsoft serieller Infrarottreiber; C:\WINDOWS\system32\DRIVERS\irsir.sys [2001-08-17 18688]
R3 KOBCCEX;KOBCCEX; C:\WINDOWS\system32\drivers\KOBCCEX.sys [2008-07-09 23296]
R3 KOBCCID;KOBCCID; C:\WINDOWS\system32\drivers\KOBCCID.sys [2008-07-09 84480]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NETFRITZ;AVM FRITZ!web PPP over ISDN; C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [2002-01-11 259072]
R3 pflt;Shrew Soft Miniport Filter; C:\WINDOWS\system32\DRIVERS\vfilter.sys [2009-11-19 23808]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2006-02-26 81408]
R3 TSMPacket;DSL-Manager Service; C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2007-06-26 13824]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv; \??\C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys []
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S3 ad047jbn;ad047jbn; C:\WINDOWS\system32\drivers\ad047jbn.sys []
S3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-09-22 3727680]
S3 BOCDRIVE;BOClean Kernel Monitor.; \??\C:\Programme\Comodo\CBOClean\BOCDRIVE.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver; C:\WINDOWS\System32\Drivers\hcw95bda.sys [2007-10-25 487424]
S3 hcw95rc;Hauppauge MOD7700 IR Driver; C:\WINDOWS\system32\DRIVERS\hcw95rc.sys [2007-10-25 15488]
S3 MEMSWEEP2;MEMSWEEP2; \??\C:\WINDOWS\system32\26.tmp []
S3 MIINPazX;MIINPazX NDIS Protocol Driver; \??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS []
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2004-08-03 15360]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver; \??\C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS []
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2004-08-04 40320]
S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2005-10-10 3530432]
S3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2005-07-29 34048]
S3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2005-07-29 12928]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\PLCMPR5.SYS []
S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\PLCNDIS5.SYS []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 SymEvent;SymEvent; \??\C:\Programme\Symantec\SYMEVENT.SYS []
S3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2004-08-04 17024]
S3 vnet;Shrew Soft Virtual Adapter; C:\WINDOWS\system32\DRIVERS\virtualnet.sys [2009-11-19 6784]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-04 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AcrSch2Svc;Acronis Scheduler2 Service; C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe [2007-02-09 407072]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-10 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-06 185089]
R2 dtpd;ShrewSoft DNS Proxy Daemon; C:\Programme\ShrewSoft\VPN Client\dtpd.exe [2009-11-15 49152]
R2 iked;ShrewSoft IKE Daemon; C:\Programme\ShrewSoft\VPN Client\iked.exe [2009-11-15 716800]
R2 ipsecd;ShrewSoft IPSEC Daemon; C:\Programme\ShrewSoft\VPN Client\ipsecd.exe [2009-11-15 536576]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
R2 SmartSurferManager;SmartSurfer Manager; C:\Programme\WEBDE\SmartSurfer\SmurfService.exe [2007-09-24 132560]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service; C:\WINDOWS\System32\TUProgSt.exe [2008-12-15 603904]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service; C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [2009-10-30 1021256]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2005-10-10 131139]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 awhost32;pcAnywhere Host-Modul; C:\Programme\Symantec\pcAnywhere\awhost32.exe [2003-10-31 106496]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 de_serv;AVM FRITZ!web Routing Service; C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe [2002-01-11 196669]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-11-20 536872]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-26 65824]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 TDslMgrService;DSL-Manager; C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe [2007-08-01 290816]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst; C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe [2009-11-02 435016]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
S4 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe []

-----------------EOF-----------------

GMER kommt als nächstes, morgen dann das AntiVir Log.

Alt 25.03.2010, 14:34   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Agent 188416 im Minutentakt - Standard

TR/Agent 188416 im Minutentakt



Gut. Du kannst schon mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
files to delete:
C:\WINDOWS\system32\mwtsp.dll
C:\WINDOWS\inst_tsp.exe
C:\WINDOWS\system32\FLCSS.EXE
C:\WINDOWS\BrzDzEp.INI
C:\WINDOWS\ktel.ini
C:\WINDOWS\system32\drivers\ad047jbn.sys
C:\WINDOWS\system32\26.tmp

drivers to delete:
ad047jbn
MEMSWEEP2
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.03.2010, 15:57   #11
Moesle-Bau
 
TR/Agent 188416 im Minutentakt - Standard

TR/Agent 188416 im Minutentakt



Hier der Log vom Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\mwtsp.dll" deleted successfully.
File "C:\WINDOWS\inst_tsp.exe" deleted successfully.

Error: "C:\WINDOWS\system32\FLCSS.EXE" is a folder, not a file!
Deletion of file "C:\WINDOWS\system32\FLCSS.EXE" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

File "C:\WINDOWS\BrzDzEp.INI" deleted successfully.
File "C:\WINDOWS\ktel.ini" deleted successfully.

Error: file "C:\WINDOWS\system32\drivers\ad047jbn.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\ad047jbn.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\26.tmp" not found!
Deletion of file "C:\WINDOWS\system32\26.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\ad047jbn" not found!
Deletion of driver "ad047jbn" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "MEMSWEEP2" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Link: hxxp://www.file-upload.net/download-2377957/backup.zip.html

Alt 25.03.2010, 16:24   #12
Moesle-Bau
 
TR/Agent 188416 im Minutentakt - Standard

TR/Agent 188416 im Minutentakt



So noch die GMER-Log:

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-03-25 16:00:58
Windows 5.1.2600 Service Pack 2
Running: ei3r8iih.exe; Driver: C:\DOKUME~1\rh\LOKALE~1\Temp\ugroipog.sys


---- System - GMER 1.0.15 ----

SSDT F7F33C26 ZwCreateKey
SSDT F7F33C1C ZwCreateThread
SSDT F7F33C2B ZwDeleteKey
SSDT F7F33C35 ZwDeleteValueKey
SSDT spye.sys ZwEnumerateKey [0xF7749CA2]
SSDT spye.sys ZwEnumerateValueKey [0xF774A030]
SSDT F7F33C3A ZwLoadKey
SSDT spye.sys ZwOpenKey [0xF772B0C0]
SSDT F7F33C08 ZwOpenProcess
SSDT F7F33C0D ZwOpenThread
SSDT spye.sys ZwQueryKey [0xF774A108]
SSDT spye.sys ZwQueryValueKey [0xF7749F88]
SSDT F7F33C44 ZwReplaceKey
SSDT F7F33C3F ZwRestoreKey
SSDT F7F33C30 ZwSetValueKey
SSDT F7F33C17 ZwTerminateProcess

INT 0x62 ? 86F66BF8
INT 0x63 ? 86DB8BF8
INT 0x73 ? 86DB8BF8
INT 0x83 ? 86F66BF8
INT 0x83 ? 86F66BF8
INT 0x83 ? 86DB8BF8
INT 0x83 ? 86F66BF8
INT 0xB4 ? 86DB8BF8

---- Kernel code sections - GMER 1.0.15 ----

? aemhhmy.sys Das System kann die angegebene Datei nicht finden. !
? spye.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F62C962C 5 Bytes JMP 86DB81D8
.text appasgw3.SYS F6197386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text appasgw3.SYS F61973AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text appasgw3.SYS F61973C4 3 Bytes [00, 50, 02] {ADD [EAX+0x2], DL}
.text appasgw3.SYS F61973C9 1 Byte [26]
.text appasgw3.SYS F61973C9 11 Bytes [26, 00, 00, 00, 32, 02, 00, ...] {ADD ES:[EAX], AL; ADD [EDX], DH; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F772C040] spye.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F772C13C] spye.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F772C0BE] spye.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F772C7FC] spye.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F772C6D2] spye.sys
IAT \SystemRoot\System32\Drivers\appasgw3.SYS[HAL.dll!KfAcquireSpinLock] E0835200
IAT \SystemRoot\System32\Drivers\appasgw3.SYS[HAL.dll!READ_PORT_UCHAR] E857503F
IAT \SystemRoot\System32\Drivers\appasgw3.SYS[HAL.dll!KeGetCurrentIrql] 0000EB44
IAT \SystemRoot\System32\Drivers\appasgw3.SYS[HAL.dll!KfRaiseIrql] 026B938D
IAT \SystemRoot\System32\Drivers\appasgw3.SYS[HAL.dll!KfLowerIrql] C6830000
IAT \SystemRoot\System32\Drivers\appasgw3.SYS[HAL.dll!HalGetInterruptVector] 0008B908
IAT \SystemRoot\System32\Drivers\appasgw3.SYS[HAL.dll!HalTranslateBusAddress] FA8B0000
IAT \SystemRoot\System32\Drivers\appasgw3.SYS[HAL.dll!KeStallExecutionProcessor] 758BA5F3
IAT \SystemRoot\System32\Drivers\appasgw3.SYS[HAL.dll!KfReleaseSpinLock] 064E8A08
IAT \SystemRoot\System32\Drivers\appasgw3.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 883FE180
IAT \SystemRoot\System32\Drivers\appasgw3.SYS[HAL.dll!READ_PORT_USHORT] 0002688B
IAT \SystemRoot\System32\Drivers\appasgw3.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 06468A00
IAT \SystemRoot\System32\Drivers\appasgw3.SYS[HAL.dll!WRITE_PORT_UCHAR] 8306E8C0
IAT \SystemRoot\System32\Drivers\appasgw3.SYS[WMILIB.SYS!WmiSystemControl] 02698388
IAT \SystemRoot\System32\Drivers\appasgw3.SYS[WMILIB.SYS!WmiCompleteRequest] 19750000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 86F651F8
Device \FileSystem\Fastfat \FatCdrom 862F6500
Device \Driver\usbuhci \Device\USBPDO-0 86DB71F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 86FD51F8
Device \Driver\dmio \Device\DmControl\DmConfig 86FD51F8
Device \Driver\dmio \Device\DmControl\DmPnP 86FD51F8
Device \Driver\dmio \Device\DmControl\DmInfo 86FD51F8
Device \Driver\usbuhci \Device\USBPDO-1 86DB71F8
Device \Driver\usbuhci \Device\USBPDO-2 86DB71F8
Device \Driver\usbuhci \Device\USBPDO-3 86DB71F8
Device \Driver\usbehci \Device\USBPDO-4 86DB61F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 86F671F8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Ftdisk \Device\HarddiskVolume2 86F671F8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom0 86D3B1F8
Device \Driver\USBSTOR \Device\000000b0 8628E500
Device \Driver\Cdrom \Device\CdRom1 86D3B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 86F671F8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 86F661F8
Device \Driver\atapi \Device\Ide\IdePort0 86F661F8
Device \Driver\atapi \Device\Ide\IdePort1 86F661F8
Device \Driver\atapi \Device\Ide\IdePort2 86F661F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 86F661F8
Device \Driver\USBSTOR \Device\000000b1 8628E500
Device \Driver\sptd \Device\2561451816 spye.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export 864951F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{D761812D-CB7A-4561-9823-6188FEB5BAF5} 864951F8
Device \Driver\NetBT \Device\NetbiosSmb 864951F8
Device \Driver\USBSTOR \Device\000000aa 8628E500
Device \Driver\usbuhci \Device\USBFDO-0 86DB71F8
Device \Driver\USBSTOR \Device\000000ab 8628E500
Device \Driver\PCI_PNP9316 \Device\0000006c spye.sys
Device \Driver\usbuhci \Device\USBFDO-1 86DB71F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 863231F8
Device \Driver\usbuhci \Device\USBFDO-2 86DB71F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 863231F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{A28F1646-B86E-4C73-ADCF-2607A52B1833} 864951F8
Device \Driver\usbuhci \Device\USBFDO-3 86DB71F8
Device \Driver\usbehci \Device\USBFDO-4 86DB61F8
Device \Driver\Ftdisk \Device\FtControl 86F671F8
Device \Driver\appasgw3 \Device\Scsi\appasgw31Port3Path0Target0Lun0 86D1D500
Device \Driver\appasgw3 \Device\Scsi\appasgw31 86D1D500
Device \FileSystem\Fastfat \Fat 862F6500

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 862EC500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xE2 0x48 0x9D 0xD0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xCB 0xAC 0xDC 0x8D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xE4 0x31 0xCA 0x38 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xE2 0x48 0x9D 0xD0 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xCB 0xAC 0xDC 0x8D ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xE4 0x31 0xCA 0x38 ...

Alt 25.03.2010, 16:26   #13
Moesle-Bau
 
TR/Agent 188416 im Minutentakt - Standard

TR/Agent 188416 im Minutentakt



und die AntiVir Log gleich hinter her (war doch schneller fertig wie gedacht )



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 25. März 2010 16:21

Es wird nach 1903552 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : rh
Computername : ARBEITSZIMMER

Versionsinformationen:
BUILD.DAT : 10.0.0.561 32098 Bytes 18.03.2010 15:35:00
AVSCAN.EXE : 10.0.2.3 433832 Bytes 07.03.2010 16:57:03
AVSCAN.DLL : 10.0.2.0 55144 Bytes 15.02.2010 15:03:11
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.4.204 2048 Bytes 05.03.2010 10:29:03
VBASE006.VDF : 7.10.4.205 2048 Bytes 05.03.2010 10:29:03
VBASE007.VDF : 7.10.4.206 2048 Bytes 05.03.2010 10:29:03
VBASE008.VDF : 7.10.4.207 2048 Bytes 05.03.2010 10:29:03
VBASE009.VDF : 7.10.4.208 2048 Bytes 05.03.2010 10:29:03
VBASE010.VDF : 7.10.4.209 2048 Bytes 05.03.2010 10:29:03
VBASE011.VDF : 7.10.4.210 2048 Bytes 05.03.2010 10:29:03
VBASE012.VDF : 7.10.4.211 2048 Bytes 05.03.2010 10:29:03
VBASE013.VDF : 7.10.4.242 153088 Bytes 08.03.2010 14:43:21
VBASE014.VDF : 7.10.5.17 99328 Bytes 10.03.2010 14:24:21
VBASE015.VDF : 7.10.5.44 107008 Bytes 11.03.2010 16:41:40
VBASE016.VDF : 7.10.5.69 92672 Bytes 12.03.2010 08:25:53
VBASE017.VDF : 7.10.5.91 119808 Bytes 15.03.2010 08:39:58
VBASE018.VDF : 7.10.5.121 112640 Bytes 18.03.2010 12:01:24
VBASE019.VDF : 7.10.5.138 139776 Bytes 18.03.2010 15:21:08
VBASE020.VDF : 7.10.5.164 113152 Bytes 22.03.2010 15:21:09
VBASE021.VDF : 7.10.5.182 108032 Bytes 23.03.2010 15:21:09
VBASE022.VDF : 7.10.5.199 123904 Bytes 24.03.2010 15:21:11
VBASE023.VDF : 7.10.5.200 2048 Bytes 24.03.2010 15:21:11
VBASE024.VDF : 7.10.5.201 2048 Bytes 24.03.2010 15:21:11
VBASE025.VDF : 7.10.5.202 2048 Bytes 24.03.2010 15:21:11
VBASE026.VDF : 7.10.5.203 2048 Bytes 24.03.2010 15:21:11
VBASE027.VDF : 7.10.5.204 2048 Bytes 24.03.2010 15:21:11
VBASE028.VDF : 7.10.5.205 2048 Bytes 24.03.2010 15:21:11
VBASE029.VDF : 7.10.5.206 2048 Bytes 24.03.2010 15:21:11
VBASE030.VDF : 7.10.5.207 2048 Bytes 24.03.2010 15:21:12
VBASE031.VDF : 7.10.5.214 71168 Bytes 25.03.2010 15:21:12
Engineversion : 8.2.1.196
AEVDF.DLL : 8.1.1.3 106868 Bytes 13.02.2010 11:16:21
AESCRIPT.DLL : 8.1.3.18 1024378 Bytes 17.03.2010 10:09:47
AESCN.DLL : 8.1.5.0 127347 Bytes 25.02.2010 17:38:41
AESBX.DLL : 8.1.2.1 254323 Bytes 17.03.2010 10:09:47
AERDL.DLL : 8.1.4.3 541043 Bytes 17.03.2010 10:09:47
AEPACK.DLL : 8.2.1.1 426358 Bytes 25.03.2010 15:21:18
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17.03.2010 10:09:46
AEHEUR.DLL : 8.1.1.13 2470262 Bytes 17.03.2010 10:09:46
AEHELP.DLL : 8.1.10.2 237941 Bytes 17.03.2010 10:09:46
AEGEN.DLL : 8.1.3.2 373108 Bytes 25.03.2010 15:21:16
AEEMU.DLL : 8.1.1.0 393587 Bytes 10.11.2009 08:04:22
AECORE.DLL : 8.1.12.3 188789 Bytes 17.03.2010 10:09:45
AEBB.DLL : 8.1.0.3 53618 Bytes 10.09.2009 11:15:06
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.1.2 52072 Bytes 29.01.2010 10:47:36
AVSCPLR.DLL : 10.0.2.3 83304 Bytes 07.03.2010 17:02:25
AVARKT.DLL : 10.0.0.13 227176 Bytes 07.03.2010 16:48:35
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.46.0 98664 Bytes 05.03.2010 09:09:35

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Kurze Systemprüfung nach Installation
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\setupprf.dat
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 25. März 2010 16:21

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avconfig.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'setup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'presetup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avira_antivir_personal_de.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TUProgSt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmurfService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipsecd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iked.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dtpd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ToADiMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCardSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1744' Dateien ).



Ende des Suchlaufs: Donnerstag, 25. März 2010 16:23
Benötigte Zeit: 01:09 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
2216 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
2216 Dateien ohne Befall
6 Archive wurden durchsucht
0 Warnungen
0 Hinweise


So jetzt musst du dich erstmal durchkämpfen. Vielen Dank schon mal für die dein Mühen den ganzen Tag über, wär echt aufgeschmissen! Danke.


Alt 25.03.2010, 16:37   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Agent 188416 im Minutentakt - Standard

TR/Agent 188416 im Minutentakt



Sieht ok aus. Mach bitte Kontrollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 26.03.2010, 07:47   #15
Moesle-Bau
 
TR/Agent 188416 im Minutentakt - Standard

TR/Agent 188416 im Minutentakt



Hier die MBAM:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3910
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

26.03.2010 07:20:03
mbam-log-2010-03-26 (07-19-53).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 194944
Laufzeit: 34 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{AC005C33-D336-40E5-8827-115A3A825D80}\RP36\A0003967.sys (Rootkit.Agent) -> No action taken.

Antwort

Themen zu TR/Agent 188416 im Minutentakt
adobe, antivir, antivir guard, avg, avira, bho, bonjour, desktop, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, nicht gefunden, nvidia, pdf, programme, senden, software, symantec, system, temp, tr/agent.188416, trojaner, windows, windows xp



Ähnliche Themen: TR/Agent 188416 im Minutentakt


  1. Windows 7: Bild und Ton frieren regelmäßig im Minutentakt ein
    Log-Analyse und Auswertung - 09.03.2015 (19)
  2. nichts geht mehr, stürze in Minutentakt ab
    Log-Analyse und Auswertung - 08.12.2014 (5)
  3. Ständige Spam Mails im Minutentakt "Mail Delivery System"
    Überwachung, Datenschutz und Spam - 16.02.2014 (17)
  4. TR/ATRAPS.Gen2 und TR/Sirefef.AG.9 - Warnungen im 5-Minutentakt
    Log-Analyse und Auswertung - 25.05.2013 (8)
  5. Avast zeigt in Minutentakt blockierung an.
    Plagegeister aller Art und deren Bekämpfung - 13.04.2012 (4)
  6. TR/Agent.379392.F, TR/Drop.Agent.dil, TR/Crypt.ZPACK.Gen2 bei AntiVir gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.12.2011 (43)
  7. BDS/Cycbot.188416.64 - TR/Dir.Nirava.1722, TRKazy25717.38 und andere
    Plagegeister aller Art und deren Bekämpfung - 10.06.2011 (1)
  8. pc friert ein- malware (TR/Spy.Zbot, TR/Agent.282624.k , BDS.Hupigon, JS/Agent.30510, )
    Plagegeister aller Art und deren Bekämpfung - 07.03.2011 (3)
  9. Trojanische Pferde (3) mit AVIRA gefunden: TR/Agent.ccg TR/Dropper.Gen TR/Agent.98816.14.B
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (21)
  10. offenes system? TR/Agent.bfpp HTML/Ydergda.B TR/Riner.ZK TR/Riern.H.7 JAVA/Agent.BH
    Plagegeister aller Art und deren Bekämpfung - 18.10.2010 (1)
  11. Avira fand TR/Spy.188416.127 -> was soll nun gemacht werden?
    Plagegeister aller Art und deren Bekämpfung - 25.09.2010 (4)
  12. Verseuchter Rechner mit TR/Click.Agent.AC, TR/Dlder.Mediket.A, ADSPY/Agent.L usw.
    Plagegeister aller Art und deren Bekämpfung - 08.07.2010 (23)
  13. Hacker belästigt mich im Minutentakt - was tun?
    Plagegeister aller Art und deren Bekämpfung - 02.02.2010 (14)
  14. HTML/Silly.Gen Virenmeldung im Minutentakt
    Plagegeister aller Art und deren Bekämpfung - 29.11.2009 (5)
  15. BDS/Agent.rfw ; BDS/Agent.rfv ; TR/Agent.wyn ; TR/Dldr.FraudLoad.vbxt
    Log-Analyse und Auswertung - 13.10.2009 (1)
  16. PC Absturz in Minutentakt - RUNDLLprob
    Log-Analyse und Auswertung - 07.08.2008 (9)
  17. Werbefenster für Virenprogramme im 2 Minutentakt,Antivir fund HTML/Dldr.Advance.A,
    Plagegeister aller Art und deren Bekämpfung - 13.03.2008 (1)

Zum Thema TR/Agent 188416 im Minutentakt - Hallo Ihr, hab schon gesucht obs das Thema schon mal gab. Habs leider nicht gefunden also seit mir bitte nicht böse wenn ichs nochmal poste. Bei meinem Arbeitskollegen kommt den - TR/Agent 188416 im Minutentakt...
Archiv
Du betrachtest: TR/Agent 188416 im Minutentakt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.