TR/Monder.deug - Trojaner

Sirisina · 25.04.2010, 21:25

Hi Cosinus,

die Malwarebytes software hatte ich gestern auch schon drüber laufen lassen und heute nochmal...aber da ist nix:

Hier die logfile:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4033

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.04.2010 22:19:31
mbam-log-2010-04-25 (22-19-31).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 105325
Laufzeit: 15 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Antivir prof. sagt auch nix mehr...bisher....keine Meldungen mehr. Hatte meinen kompletten PC inkl. Bootpartition etc. heute nochmal gescannt.
Ich denke, es war ein Fehlalarm.....
Hatte das letztes Jahr auch 1x. Aber mit irgend einer anderen Datei.

Soll ich das anderen Programm trotzdem nochmal downloaden und einen Scan machen??? Ich kenne das Programm nicht...

Danke für's schnelle Antworten!!!

Sirisina

Sirisina · 25.04.2010, 21:37

Hi Cosinus,
ich lasse jetzt noch OTL scannen...poste die Logfile später.
VG
Sirisina

Sirisina · 25.04.2010, 22:13

So,
hier ist der OTL Report....(das Wichtigste davon).
Habe in den Logfile-editor mal den Namen des Trojaner eingegeben, aber da kam nix...
VG
Sirisina

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - H:\FTP\OTL.exe (OldTimer Tools)
PRC - H:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira GmbH)
PRC - H:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH)
PRC - H:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - H:\Programme\Avira\AntiVir Desktop\avfwsvc.exe (Avira GmbH)
PRC - H:\Programme\Spamihilator\spamihilator.exe (Michel Krämer)
PRC - H:\Programme\Adobe\Reader 9.0\Reader\AcroRd32.exe (Adobe Systems Incorporated)
PRC - H:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - H:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - H:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - H:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - H:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - H:\WINDOWS\system32\TUProgSt.exe (TuneUp Software)
PRC - H:\Programme\Klebezettel NG\klebez.exe (Hollie-Soft)
PRC - H:\WINDOWS\system32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)
PRC - H:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
PRC - H:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe (Kaspersky Lab.)
PRC - H:\WINDOWS\system32\oodag.exe (O&O Software GmbH)
PRC - H:\Programme\Outlook Express\msimn.exe (Microsoft Corporation)
PRC - H:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40ST7.EXE (SEIKO EPSON CORPORATION)
PRC - H:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.)
PRC - H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE (SEIKO EPSON CORPORATION)
PRC - H:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
PRC - H:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe (Acronis)
PRC - H:\Programme\ACD Systems\ACDSee\8.0.Pro\ACDSee8Pro.exe (ACD Systems Ltd.)
PRC - H:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis)
PRC - H:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0F2.EXE (SEIKO EPSON CORPORATION)
PRC - H:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.)

========== Modules (SafeList) ==========

MOD - H:\FTP\OTL.exe (OldTimer Tools)

========== Win32 Services (SafeList) ==========

SRV - (IDriverT) -- File not found
SRV - (AntiVirWebService) -- H:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE (Avira GmbH)
SRV - (AntiVirMailService) -- H:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH)
SRV - (AntiVirService) -- H:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirFirewallService) -- H:\Programme\Avira\AntiVir Desktop\avfwsvc.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- H:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (TomTomHOMEService) -- H:\Programme\TomTom HOME 2\TomTomHOMEService.exe (TomTom)
SRV - (getPlusHelper) getPlus(R) -- H:\Programme\NOS\bin\getPlus_Helper.dll (NOS Microsystems Ltd.)
SRV - (TuneUp.ProgramStatisticsSvc) -- H:\WINDOWS\system32\TUProgSt.exe (TuneUp Software)
SRV - (TuneUp.Defrag) -- H:\WINDOWS\system32\TuneUpDefragService.exe (TuneUp Software)
SRV - (FLEXnet Licensing Service) -- H:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (UxTuneUp) -- H:\WINDOWS\system32\uxtuneup.dll (TuneUp Software)
SRV - (vsmon) -- H:\WINDOWS\System32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)
SRV - (ACDaemon) -- H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe (ArcSoft Inc.)
SRV - (O&O Defrag) -- H:\WINDOWS\system32\oodag.exe (O&O Software GmbH)
SRV - (EPSON_EB_RPCV4_01) EPSON V5 Service4(01) -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40ST7.EXE (SEIKO EPSON CORPORATION)
SRV - (bgsvcgen) -- H:\WINDOWS\System32\bgsvcgen.exe (B.H.A Corporation)
SRV - (CCALib8) -- H:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.)
SRV - (EPSON_PM_RPCV4_01) EPSON V3 Service4(01) -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE (SEIKO EPSON CORPORATION)
SRV - (AcrSch2Svc) -- H:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis)
SRV - (SoundMAX Agent Service (default)) -- H:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.)
SRV - (Pml Driver HPZ12) -- H:\WINDOWS\system32\HPZipm12.exe (HP)

========== Driver Services (SafeList) ==========

DRV - (AnyDVD) -- H:\WINDOWS\system32\drivers\AnyDVD.sys (SlySoft, Inc.)
DRV - (avipbb) -- H:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- H:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avfwot) -- H:\WINDOWS\system32\drivers\avfwot.sys (Avira GmbH)
DRV - (avfwim) -- H:\WINDOWS\system32\drivers\avfwim.sys (Avira GmbH)
DRV - (ElbyCDIO) -- H:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (ssmdrv) -- H:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- H:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (pfc) -- H:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.)
DRV - (timounter) -- H:\WINDOWS\system32\DRIVERS\timntr.sys (Acronis)
DRV - (tifsfilter) -- H:\WINDOWS\system32\drivers\tifsfilt.sys (Acronis)
DRV - (snapman) -- H:\WINDOWS\system32\DRIVERS\snapman.sys (Acronis)
DRV - (vsdatant) -- H:\WINDOWS\system32\vsdatant.sys (Check Point Software Technologies LTD)
DRV - (KLIF) -- H:\WINDOWS\system32\drivers\klif.sys (Kaspersky Lab)
DRV - (srescan) -- H:\WINDOWS\system32\ZoneLabs\srescan.sys (Check Point Software Technologies LTD)
DRV - (nv) -- H:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (ElbyCDFL) -- H:\WINDOWS\system32\drivers\ElbyCDFL.sys (SlySoft, Inc.)
DRV - (Afc) -- H:\WINDOWS\system32\drivers\afc.sys (Arcsoft, Inc.)
DRV - (cdrbsdrv) -- H:\WINDOWS\system32\drivers\cdrbsdrv.sys (B.H.A Corporation)
DRV - (yukonwxp) -- H:\WINDOWS\system32\drivers\yukonwxp.sys (Marvell Semiconductor Inc.)
DRV - (viasraid) -- H:\WINDOWS\System32\DRIVERS\viasraid.sys (VIA Technologies inc,.ltd)
DRV - (viaagp1) -- H:\WINDOWS\System32\DRIVERS\viaagp1.sys (VIA Technologies, Inc.)
DRV - (PQNTDrv) -- H:\WINDOWS\system32\drivers\PQNTDRV.sys (PowerQuest Corporation)
DRV - (Asapi) -- H:\WINDOWS\system32\drivers\asapi.sys (VOB Computersysteme GmbH)
DRV - (MODEMCSA) -- H:\WINDOWS\system32\drivers\MODEMCSA.sys (Microsoft Corporation)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.selectedEngine: "Ixquick.de (https)"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "about:blank"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: H:\Programme\Mozilla Firefox\components [2010.01.16 13:22:47 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: H:\Programme\Mozilla Firefox\plugins [2010.04.17 14:44:19 | 000,000,000 | ---D | M]

[2010.01.16 13:23:19 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2009.11.03 13:38:46 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com
[2010.01.16 13:23:19 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\n4blriep.default\extensions
[2010.01.16 15:01:07 | 000,002,408 | ---- | M] () -- H:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\n4blriep.default\searchplugins\ixquickde-https.xml
[2010.04.03 03:33:45 | 000,000,000 | ---D | M] -- H:\Programme\Mozilla Firefox\extensions
[2009.12.22 05:57:54 | 000,001,392 | ---- | M] () -- H:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.12.22 05:57:54 | 000,002,344 | ---- | M] () -- H:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.12.22 05:57:54 | 000,006,805 | ---- | M] () -- H:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.12.22 05:57:54 | 000,001,178 | ---- | M] () -- H:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.12.22 05:57:54 | 000,000,801 | ---- | M] () -- H:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2001.08.18 21:00:00 | 000,000,820 | ---- | M]) - H:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - H:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - H:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - H:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - H:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKCU\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - H:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [AcronisTimounterMonitor] H:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe (Acronis)
O4 - HKLM..\Run: [Adobe ARM] H:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] H:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [EPSON Stylus Photo R300 Series] H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [NvCplDaemon] H:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] H:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] H:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [OODefragTray] H:\WINDOWS\system32\oodtray.exe (O&O Software GmbH)
O4 - HKLM..\Run: [SunJavaUpdateSched] H:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TrueImageMonitor.exe] H:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
O4 - HKLM..\Run: [ZoneAlarm Client] H:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O4 - HKCU..\Run: [EPSON SX410 Series] H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFCE.EXE (SEIKO EPSON CORPORATION)
O4 - HKCU..\Run: [Klebezettel NG] H:\Programme\Klebezettel NG\klebez.exe (Hollie-Soft)
O4 - Startup: H:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\Spamihilator.lnk = H:\Programme\Spamihilator\spamihilator.exe (Michel Krämer)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: StartMenuLogOff = 1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - H:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - H:\Programme\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - H:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - H:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - H:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O12 - Plugin for: .UVR - H:\Programme\Internet Explorer\PLUGINS\NPUPano.dll (Ulead Systems, Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O16 - DPF: DirectAnimation Java Classes file://H:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://H:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - H:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - H:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - H:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UIHost - (H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe) - H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: H:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: H:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O30 - LSA: Authentication Packages - (relog_ap) - H:\WINDOWS\System32\relog_ap.dll (Acronis)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.10.21 12:12:38 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O33 - MountPoints2\{13b80082-d15a-11de-8694-00112f29c0af}\Shell\AutoRun\command - "" = I:\Toshiba\more4you.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O34 - HKLM BootExecute: (OODBS) - H:\WINDOWS\System32\OODBS.exe (O&O Software GmbH)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.04.25 04:36:31 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
[2010.04.25 04:36:05 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- H:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.25 04:35:56 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.04.25 04:35:55 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- H:\WINDOWS\System32\drivers\mbam.sys
[2010.04.25 04:35:53 | 000,000,000 | ---D | C] -- H:\Programme\Malwarebytes' Anti-Malware
[2010.04.25 04:01:08 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\clp
[2010.04.25 04:00:43 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Toolkit Suite
[2010.04.25 03:58:17 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\PackageAware
[2010.04.24 21:22:40 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2010.04.23 23:10:26 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ISL
[2010.04.23 10:59:59 | 000,033,408 | ---- | C] (B.H.A Corporation) -- H:\WINDOWS\System32\drivers\cdrbsdrv.sys
[2010.04.23 10:59:48 | 000,145,504 | ---- | C] (B.H.A Corporation) -- H:\WINDOWS\System32\bgsvcgen.exe
[2010.04.23 10:59:47 | 000,059,488 | ---- | C] (B.H.A Corporation) -- H:\WINDOWS\System32\GenSvcInst.exe
[2010.04.23 10:58:21 | 000,000,000 | ---D | C] -- H:\Programme\Panasonic
[2010.04.23 10:58:12 | 000,000,000 | ---D | C] -- H:\Programme\Microsoft Synchronization Services
[2010.04.23 10:58:09 | 000,000,000 | ---D | C] -- H:\Programme\Microsoft SQL Server Compact Edition
[2010.04.23 10:54:35 | 000,000,000 | ---D | C] -- H:\Programme\ISL
[2010.04.14 12:16:50 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spamihilator
[2010.04.11 15:40:37 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Rezepte
[2010.04.07 16:28:12 | 000,104,768 | ---- | C] (SlySoft, Inc.) -- H:\WINDOWS\System32\drivers\AnyDVD.sys
[2010.04.05 02:37:32 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Taizé
[2010.04.03 03:28:43 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.04.03 03:28:31 | 000,000,000 | ---D | C] -- H:\Programme\Gemeinsame Dateien\Java
[2010.04.03 03:28:05 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- H:\WINDOWS\System32\javaws.exe
[2010.04.03 03:28:05 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- H:\WINDOWS\System32\javaw.exe
[2010.04.03 03:28:05 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- H:\WINDOWS\System32\java.exe
[3 H:\WINDOWS\*.tmp files -> H:\WINDOWS\*.tmp -> ]
[1 H:\WINDOWS\System32\*.tmp files -> H:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.04.25 22:37:15 | 296,070,688 | -HS- | M] () -- H:\WINDOWS\System32\drivers\fidbox.dat
[2010.04.25 22:31:44 | 004,456,448 | -H-- | M] () -- H:\Dokumente und Einstellungen\Administrator\NTUSER.DAT
[2010.04.25 06:17:18 | 000,356,779 | ---- | M] () -- H:\WINDOWS\System32\vsconfig.xml
[2010.04.25 06:15:17 | 000,000,006 | -H-- | M] () -- H:\WINDOWS\tasks\SA.DAT
[2010.04.25 06:15:06 | 000,002,048 | --S- | M] () -- H:\WINDOWS\bootstat.dat
[2010.04.25 06:15:03 | 1072,549,888 | -HS- | M] () -- H:\hiberfil.sys
[2010.04.25 06:15:01 | 000,151,963 | ---- | M] () -- H:\WINDOWS\System32\oodbs.lor
[2010.04.25 05:16:00 | 003,934,436 | -HS- | M] () -- H:\WINDOWS\System32\drivers\fidbox.idx
[2010.04.25 05:15:50 | 000,000,190 | -HS- | M] () -- H:\Dokumente und Einstellungen\Administrator\ntuser.ini
[2010.04.25 03:22:54 | 000,000,891 | ---- | M] () -- H:\WINDOWS\win.ini
[2010.04.25 03:22:54 | 000,000,260 | ---- | M] () -- H:\WINDOWS\system.ini
[2010.04.25 00:21:18 | 000,004,346 | ---- | M] () -- H:\rollback.ini
[2010.04.24 21:03:21 | 001,457,824 | ---- | M] () -- H:\WINDOWS\System32\FNTCACHE.DAT
[2010.04.24 21:03:16 | 000,002,206 | ---- | M] () -- H:\WINDOWS\System32\wpa.dbl
[2010.04.24 12:24:23 | 000,004,212 | -H-- | M] () -- H:\WINDOWS\System32\zllictbl.dat
[2010.04.23 11:15:39 | 000,037,896 | ---- | M] () -- H:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.04.22 23:40:48 | 000,000,026 | ---- | M] () -- H:\WINDOWS\Zone.Identifier
[2010.04.17 14:44:20 | 000,001,719 | ---- | M] () -- H:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.04.14 12:16:50 | 000,000,724 | ---- | M] () -- H:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\Spamihilator.lnk
[2010.04.05 23:59:19 | 000,000,155 | ---- | M] () -- H:\WINDOWS\winamp.ini
[2010.04.05 15:05:58 | 000,000,384 | ---- | M] () -- H:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\burnaware.ini
[2010.04.03 13:14:31 | 000,392,296 | ---- | M] () -- H:\WINDOWS\System32\perfh009.dat
[2010.04.03 13:14:31 | 000,058,596 | ---- | M] () -- H:\WINDOWS\System32\perfc009.dat
[2010.04.03 13:14:30 | 000,938,224 | ---- | M] () -- H:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.03 13:14:30 | 000,405,118 | ---- | M] () -- H:\WINDOWS\System32\perfh007.dat
[2010.04.03 13:14:30 | 000,070,580 | ---- | M] () -- H:\WINDOWS\System32\perfc007.dat
[2010.03.31 09:48:43 | 000,000,083 | -HS- | M] () -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2010.03.30 14:12:01 | 000,020,480 | ---- | M] () -- H:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.03.30 00:46:30 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- H:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.03.30 00:45:52 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- H:\WINDOWS\System32\drivers\mbam.sys
[3 H:\WINDOWS\*.tmp files -> H:\WINDOWS\*.tmp -> ]
[1 H:\WINDOWS\System32\*.tmp files -> H:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.03.02 01:37:52 | 000,000,037 | ---- | C] () -- H:\WINDOWS\SWFConverter.INI
[2010.03.02 01:37:28 | 000,761,856 | ---- | C] () -- H:\WINDOWS\System32\xvidcore.dll
[2010.03.02 01:37:28 | 000,135,168 | ---- | C] () -- H:\WINDOWS\System32\xvidvfw.dll
[2010.01.29 01:21:32 | 000,442,437 | ---- | C] () -- H:\WINDOWS\System32\Pajant.dll
[2010.01.18 15:47:28 | 000,000,325 | ---- | C] () -- H:\WINDOWS\ulead32.ini
[2009.12.03 14:47:38 | 000,001,039 | ---- | C] () -- H:\WINDOWS\seRapid.INI
[2009.11.28 04:58:41 | 000,000,050 | ---- | C] () -- H:\WINDOWS\System32\MCSCR.INI
[2009.11.28 00:40:00 | 000,000,108 | ---- | C] () -- H:\WINDOWS\WFT-E3Utility.INI
[2009.11.10 13:25:34 | 000,036,864 | R--- | C] () -- H:\WINDOWS\System32\ctrldll.dll
[2009.11.04 18:05:31 | 000,000,097 | ---- | C] () -- H:\WINDOWS\System32\PICSDK.ini
[2009.10.31 14:24:35 | 000,116,224 | ---- | C] () -- H:\WINDOWS\System32\pdfcmnnt.dll
[2009.10.23 15:39:42 | 000,007,048 | ---- | C] () -- H:\WINDOWS\System32\imslsp_install_loc0407.dll
[2009.10.23 15:39:41 | 000,011,144 | ---- | C] () -- H:\WINDOWS\System32\imsinstall_loc0407.dll
[2009.10.22 12:18:48 | 000,000,000 | ---- | C] () -- H:\WINDOWS\oodcnt.INI
[2009.10.22 02:17:42 | 000,000,155 | ---- | C] () -- H:\WINDOWS\winamp.ini
[2009.10.22 01:20:11 | 000,000,150 | ---- | C] () -- H:\WINDOWS\pagesuit.ini
[2009.10.22 01:20:08 | 000,023,040 | ---- | C] () -- H:\WINDOWS\System32\irisco32.dll
[2009.10.22 00:52:02 | 000,000,025 | ---- | C] () -- H:\WINDOWS\CDER300Euro.ini
[2009.10.22 00:18:27 | 000,031,744 | ---- | C] () -- H:\WINDOWS\System32\ggpfomon.dll
[2009.10.22 00:14:50 | 000,000,400 | ---- | C] () -- H:\WINDOWS\ODBC.INI
[2009.10.21 12:51:45 | 000,000,044 | ---- | C] () -- H:\WINDOWS\System32\msssc.dll
[2007.12.05 01:41:00 | 001,703,936 | ---- | C] () -- H:\WINDOWS\System32\nvwdmcpl.dll
[2007.12.05 01:41:00 | 001,474,560 | ---- | C] () -- H:\WINDOWS\System32\nview.dll
[2007.12.05 01:41:00 | 001,019,904 | ---- | C] () -- H:\WINDOWS\System32\nvwimg.dll
[2007.12.05 01:41:00 | 000,466,944 | ---- | C] () -- H:\WINDOWS\System32\nvshell.dll
[2007.12.05 01:41:00 | 000,286,720 | ---- | C] () -- H:\WINDOWS\System32\nvnt4cpl.dll
[2006.07.12 10:27:54 | 000,240,640 | ---- | C] () -- H:\WINDOWS\System32\PhotomatixLib.dll
[2006.07.12 10:03:56 | 000,107,520 | ---- | C] () -- H:\WINDOWS\System32\PhotomatixLib3.dll
[2006.05.08 12:20:08 | 000,212,992 | ---- | C] () -- H:\WINDOWS\System32\PhotomatixLib2.dll
[2006.02.05 18:23:50 | 000,205,824 | ---- | C] () -- H:\WINDOWS\System32\pmtf1.dll
[2006.02.05 16:27:16 | 000,353,280 | ---- | C] () -- H:\WINDOWS\System32\pmtf2.dll
[2005.07.13 14:09:00 | 000,216,064 | ---- | C] () -- H:\WINDOWS\System32\pmjp.dll
[2004.12.14 14:19:34 | 000,053,248 | ---- | C] () -- H:\WINDOWS\System32\pmexr.dll
[2004.06.04 23:22:14 | 000,782,336 | ---- | C] () -- H:\WINDOWS\System32\IlmImf.dll
[2003.11.26 12:47:24 | 000,011,776 | ---- | C] () -- H:\WINDOWS\System32\pmbm.dll
[2002.05.29 15:50:02 | 000,552,960 | ---- | C] () -- H:\WINDOWS\System32\hpotscl.dll
[2002.03.21 15:39:02 | 000,073,728 | ---- | C] () -- H:\WINDOWS\System32\UNACEV2.DLL
< End of report >

cosinus · 26.04.2010, 08:50

Zitat:

Zitat von Sirisina

die Malwarebytes software hatte ich gestern auch schon drüber laufen lassen und heute nochmal...aber da ist nix:
Art des Suchlaufs: Quick-Scan

Du solltest einen Vollscan machen. In der Anleitung steht zwar Quickscan reicht, aber ich wollte einen Vollscan sehen

Sirisina · 26.04.2010, 10:04

Hi Arne,
alles klar,
dann mache ich heute noch mal einen Vollscan....
Bisher ist aber alles ruhig......
Ich hatte auch den Regcleaner drüberlaufen lassen und habe alte Einträge etc. gelöscht usw.
VG
Sirisina

PS...habe nur bisher nicht verstanden, welchen Sinn dann dieses HijackThis macht....was kann man denn aus den Logfiles dann erkennnen bei dem Programm?
Und die gleiche Frage hätte ich zum OTL. Ich lerne gerne dazu.....!

Sirisina · 26.04.2010, 12:49

Hi Arne,
also ich weiß nicht.... malwarebytes zeigt mir nun 2 Dateien von alten Daten aus 11-2009.... und wenn ich die mit Antivir prof. solo scanne, kommt nix....

Hätte dann eigentlich schon damals Meldungen bekommen müssen..

Die Datei keygen. exe ist eh nicht installiert, sonder der Ordner FTP ist lediglich ein Downloadordner.

Das Wavelab Programm fahre ich auch schon seit 11-2009 und bisher kam nie 'ne Meldung damit verbunden.

Ggf.kann ich die unwise.exe aus dem Programmverzeichnis einfach rauslöschen???

Diesen Monder-deug Trojaner finde ich nicht.....und wie gesagt, es kommt auch keine Meldung mehr v. System.

Habe zusätzlich noch Zonealarm drauf.....prof. Das Programm sagt auch nix....;-)

Hier die Logfiles (habe erstmal auf Ignorieren geklickt):

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4033

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2010 13:30:07
mbam-log-2010-04-26 (13-30-07).txt

Art des Suchlaufs: Vollständiger Suchlauf (H:\|)
Durchsuchte Objekte: 201251
Laufzeit: 1 Stunde(n), 51 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
H:\Programme\Steinberg\WaveLab\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
H:\FTP\Fotografie\Photomatix\keygen.exe (Trojan.Downloader) -> No action taken.

Und hier die Reports v. Antivir:

Beginne mit der Suche in 'H:\Programme\Steinberg\WaveLab\UNWISE.EXE'

Ende des Suchlaufs: Montag, 26. April 2010 13:34
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
1 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise

Beginne mit der Suche in 'H:\FTP\Fotografie\Photomatix\keygen.exe'

Ende des Suchlaufs: Montag, 26. April 2010 13:38
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
1 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise

Viele Grüße

Sirisina

TR/Monder.deug - Trojaner

Plagegeister aller Art und deren Bekämpfung: TR/Monder.deug - Trojaner