Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.05.2010, 15:41   #1
Tobiii
 
HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner - Standard

HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner



Hallo liebe Leute,

ich hoffe auf Eure Hilfe und zwar hatte sich letztens beim angucken eines animes ein fenster geöffnet und plötzlich bekam ich von AntiVir Guard zweimal hintereinander folgende Meldung:
C:\Users\Tobi\AppData\Local\Temp\m.29A7E.tmp.exe
Die Datei enthält ein ausführbares Programm.Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert( HIDDENTEXT/Crypted ).
Ich hab versucht mit MalewareBytes und AntiVir im abgesicherten Modus zu arbeiten, die konnten zwar immer was finden (Trojan.Agent, Trojan.Zlob, Trojan.Downloader) und auch löschen. Aber nach Neustart geht es mit den Meldungen schon wieder los und gestern wurde sogar "Defender 2010" irgendwie installiert, wo riesig Audio-Fehlermeldungen kamen usw, echt gruselig;p

Hoffe Ihr könnt mir helfen, das Ding nochma komplett durchzusäubern.

Schonma vielen Dank und liebe Grüße euer Tobi

HiJack Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:37:46, on 03.05.2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Program Files\Dell\MediaDirect\PCMService.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Razer\Copperhead\razerhid.exe
C:\Windows\OEM02Mon.exe
C:\Windows\System32\rundll32.exe
C:\Users\Tobi\AppData\Local\Temp\ocYB.exe
C:\Users\Tobi\AppData\Local\Temp\ocYB.exe
C:\Users\Tobi\AppData\Local\Temp\ocYB.exe
C:\Program Files\Windows Media Player\WMPSideShowGadgetMedia.exe
C:\Program Files\Adobe\Adobe Help Viewer\1.0\HelpHelp.exe
C:\Program Files\Adobe\Adobe Photoshop CS2\Scripting Guide\Utilities\AdobeScriptingSupport.exe
C:\Program Files\Common Files\Adobe\Plug-Ins\CS2\File Formats\PhotoshopCamera.exe
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Users\Tobi\AppData\Local\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Common Files\Adobe\Plug-Ins\CS2\File Formats\PhotoshopCamera.exe
C:\Program Files\Adobe\Adobe Help Viewer\1.0\HelpHelp.exe
C:\Program Files\Adobe\Adobe Photoshop CS2\Scripting Guide\Utilities\AdobeScriptingSupport.exe
C:\Program Files\Razer\Copperhead\razerofa.exe
C:\Users\Tobi\AppData\Local\Temp\ocYB.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Adobe\Adobe Help Viewer\1.0\HelpHelp.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
c:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.qq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [dellsupportcenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [dscactivate] "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [DELL Webcam Manager] "C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\sttray.exe
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [OEM02Mon.exe] C:\Windows\OEM02Mon.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Copperhead] C:\Program Files\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HSSESkype] C:\Users\Tobi\AppData\Local\Temp\ocYB.exe
O4 - HKLM\..\Run: [SkypeSkypeSetup] C:\Users\Tobi\AppData\Local\Temp\ocYB.exe
O4 - HKLM\..\Run: [ocYB] C:\Users\Tobi\AppData\Local\Temp\ocYB.exe
O4 - HKLM\..\Run: [NetworkSharing] c:\program files\windows media player\wmpsideshowgadgetmedia.exe
O4 - HKLM\..\Run: [HelpAdobe1.0.0.185] c:\program files\adobe\adobe help viewer\1.0\helphelp.exe
O4 - HKLM\..\Run: [ScriptListenerAdobe] c:\program files\adobe\adobe photoshop cs2\scripting guide\utilities\adobescriptingsupport.exe
O4 - HKLM\..\Run: [CameraPlugin] c:\program files\common files\adobe\plug-ins\cs2\file formats\photoshopcamera.exe
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunServices: [SkypeSetupSkypeSetup] C:\Users\Tobi\AppData\Local\Temp\ocYB.exe
O4 - HKLM\..\RunServices: [SkypeSkypeSetup] C:\Users\Tobi\AppData\Local\Temp\ocYB.exe
O4 - HKLM\..\RunServices: [ocYB] C:\Users\Tobi\AppData\Local\Temp\ocYB.exe
O4 - HKLM\..\RunServices: [setup2ksetup2k] c:\program files\installshield installation information\{a462213d-eed4-42c2-9a60-7bdd4d4b0b17}\setup2ksetup2k.exe
O4 - HKLM\..\RunServices: [PictureViewerQuickTime7.6.4] c:\program files\quicktime\pictureviewer.resources\es.lproj\quicktimequicktime7.6.4.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Users\Tobi\AppData\Local\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [PluginPhotoshop] C:\Program Files\Common Files\Adobe\Plug-Ins\CS2\File Formats\PhotoshopCamera.exe
O4 - HKCU\..\Run: [ViewerViewer1.0] c:\program files\adobe\adobe help viewer\1.0\helphelp.exe
O4 - HKCU\..\Run: [IncorporatedScriptingSupport1.0.3] c:\program files\adobe\adobe photoshop cs2\scripting guide\utilities\adobescriptingsupport.exe
O4 - HKCU\..\Run: [ocYB] C:\Users\Tobi\AppData\Local\Temp\ocYB.exe
O4 - HKCU\..\Run: [ViewerHelp] C:\Program Files\Adobe\Adobe Help Viewer\1.0\HelpHelp.exe
O4 - HKCU\..\RunServices: [PluginCamera] C:\Program Files\Common Files\Adobe\Plug-Ins\CS2\File Formats\PhotoshopCamera.exe
O4 - HKCU\..\RunServices: [ocyb] C:\Users\Tobi\AppData\Local\Temp\ocYB.exe
O4 - HKCU\..\RunServices: [wmpconfigWindows] c:\program files\windows media player\wmpsideshowgadgetmedia.exe
O4 - HKCU\..\RunServices: [ViewerViewer] C:\Program Files\Adobe\Adobe Help Viewer\1.0\HelpHelp.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: QuickSet.lnk = ?
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Ìí¼Óµ½QQ±íÇé - C:\Program Files\QQ\Africa2003\AddEmotion.htm
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Program Files\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Program Files\PPLive\PPLive.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O15 - Trusted Zone: hxxp://cache.tv.qq.com (HKLM)
O15 - Trusted Zone: hxxp://qqlivehabit.qq.com (HKLM)
O16 - DPF: {1DABF8D5-8430-4985-9B7F-A30E53D709B3} - hxxp://cache.tv.qq.com/qqlive_ocx/QQLiveInstaller.cab
O16 - DPF: {4E218431-2F07-40BD-A9D3-035324C1F13F} (DyynoX Class) - hxxp://webserver.dyyno.com/DyynoClient/DyynoCAB.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - hxxp://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab
O16 - DPF: {68253470-5D4F-4CDF-8D9C-353C14A2F013} (SVPorsche Control) - hxxp://update.seebox.com/kor/products/sm4355/kor/251/SVPorsche.cab
O16 - DPF: {688C15EE-9C38-471D-9E46-BB842E30246F} (ChatCommControl Control) - hxxp://playple.com/liveviewer/cab/NChat7.cab
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - hxxp://dl.uc.sina.com/cab/downloader.cab
O16 - DPF: {8EEB54D5-CC70-40E4-B015-AC478C02ECC8} (SLViewer Control) - hxxp://playple.com/liveviewer/cab/SLViewer.cab
O16 - DPF: {BDB407E3-7F70-4929-9E36-7E29B48BC485} (MainCtrl Class) - hxxp://gw.joongang.co.kr/eNovator/WM/Common/BigAttach/InnoFD.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe

--
End of file - 17168 bytes

Alt 03.05.2010, 16:25   #2
raman
 
HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner - Standard

HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner



Aktualisiere Mbam, mache einen neuen scan und lasse alle Funde loeschen, danach nutze bitte combofix und poste den erstellten Report:

http://www.trojaner-board.de/520579-post6.html

BTW: Combofix bitte mit Adminrechten starten!
__________________

__________________

Alt 04.05.2010, 04:40   #3
Tobiii
 
HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner - Standard

HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner



nach diesem combofix log waren auf jeden fall noch viren existent, denn antivir hat kurz danach wieder welche entdeckt! Hab mal die Berichte von den Funden + Maleware Bericht unten drunter drangehängt..grad auch wieder im inet, scheint bis jetzt alles zu laufen, also gibt keine neuen meldungen. aber man weiss ja nie ^^.. danke und lg !

PS: es hat sich zwischenzeitlich "Desktop Security 2010" installiert, was irgendwie damit zusammenhängen musste. Hab dann zusätzlich neben mbam nochmal rkill angewandt.




ComboFix 10-05-02.01 - Tobi 03.05.2010 19:56:36.2.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.3069.2069 [GMT 2:00]
ausgeführt von:: c:\users\Tobi\Desktop\cofi.exe
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Dealio Toolbar
c:\program files\pdfforge Toolbar\SearchSettings.dll
c:\program files\Search Settings
c:\windows\system32\%appdata%

.
((((((((((((((((((((((( Dateien erstellt von 2010-04-03 bis 2010-05-03 ))))))))))))))))))))))))))))))
.

2010-05-03 18:22 . 2010-05-03 18:27 -------- d-----w- c:\users\Tobi\AppData\Local\temp
2010-05-03 14:37 . 2010-05-03 14:37 -------- d-----w- c:\program files\Trend Micro
2010-04-21 13:18 . 2010-04-21 13:18 -------- d-----w- c:\program files\Daedalic Entertainment
2010-04-17 07:49 . 2010-04-17 07:49 -------- d-----w- c:\users\test\Roaming
2010-04-17 07:49 . 2010-04-17 07:49 -------- d-----w- c:\programdata\Roaming
2010-04-17 07:48 . 2010-04-17 07:48 -------- d-----w- c:\program files\Cisco
2010-04-17 07:44 . 2010-04-17 07:44 -------- d-----w- c:\programdata\Intel
2010-04-16 08:41 . 2010-04-16 08:41 -------- d-----w- C:\pfsvoddata
2010-04-16 05:07 . 2010-04-16 05:07 -------- d-----w- c:\windows\Sun
2010-04-15 05:29 . 2010-02-23 11:32 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-04-15 05:29 . 2010-02-23 11:32 78848 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2010-04-15 05:29 . 2010-02-23 11:32 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-04-15 05:29 . 2010-02-18 14:49 3598216 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-04-15 05:28 . 2010-02-18 14:49 3545992 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-04-15 05:28 . 2010-03-05 14:01 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-04-15 05:28 . 2010-02-18 14:49 898952 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-04-15 05:28 . 2010-02-18 14:11 190464 ----a-w- c:\windows\system32\iphlpsvc.dll
2010-04-15 05:28 . 2010-02-18 11:52 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys
2010-04-14 06:18 . 2009-12-23 12:43 171520 ----a-w- c:\windows\system32\wintrust.dll
2010-04-14 06:18 . 2010-01-15 00:04 98304 ----a-w- c:\windows\system32\cabview.dll
2010-04-10 05:52 . 2010-04-10 05:52 56 ---ha-w- c:\windows\system32\ezsidmv.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-03 18:27 . 2010-03-04 18:44 52592 ----a-w- c:\programdata\nvModes.dat
2010-05-03 18:25 . 2009-04-04 20:37 -------- d-----w- c:\program files\pdfforge Toolbar
2010-05-03 18:23 . 2010-03-25 06:43 -------- d-----w- c:\program files\Common Files\Akamai
2010-05-03 18:22 . 2008-02-12 23:01 12 ----a-w- c:\windows\bthservsdp.dat
2010-05-03 17:58 . 2006-11-02 15:33 621346 ----a-w- c:\windows\system32\perfh007.dat
2010-05-03 17:58 . 2006-11-02 15:33 123492 ----a-w- c:\windows\system32\perfc007.dat
2010-05-03 17:54 . 2008-12-03 02:19 1356 ----a-w- c:\users\Tobi\AppData\Local\d3d9caps.dat
2010-05-03 15:31 . 2008-04-05 07:08 -------- d-----w- c:\program files\CCleaner
2010-05-03 10:46 . 2008-05-11 23:42 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-05-03 10:01 . 2008-05-12 11:44 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-03 07:52 . 2008-07-21 19:02 -------- d-----w- c:\users\Tobi\AppData\Roaming\uTorrent
2010-05-02 20:41 . 2010-05-02 20:41 0 ----a-w- C:\ARKAE2B.tmp
2010-05-02 19:29 . 2008-05-11 23:42 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-05-02 11:07 . 2008-02-15 10:32 123728 ----a-w- c:\users\Tobi\AppData\Local\GDIPFONTCACHEV1.DAT
2010-05-02 08:44 . 2008-04-06 11:12 -------- d-----w- c:\users\Tobi\AppData\Roaming\FileZilla
2010-05-02 08:42 . 2008-04-06 11:12 -------- d-----w- c:\program files\FileZilla FTP Client
2010-05-02 01:55 . 2008-02-25 16:07 -------- d-----w- c:\users\Tobi\AppData\Roaming\Skype
2010-04-30 09:52 . 2009-11-04 16:03 -------- d-----w- c:\programdata\Microsoft Help
2010-04-29 13:39 . 2008-10-08 22:57 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2008-05-12 11:44 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-27 15:12 . 2008-02-15 18:13 -------- d-----w- c:\users\Tobi\AppData\Roaming\NoNameScript
2010-04-27 14:34 . 2008-02-15 18:02 -------- d-----w- c:\program files\mIRC
2010-04-25 17:33 . 2010-02-26 04:55 -------- d-----w- c:\program files\StarCraft II Beta
2010-04-16 09:01 . 2009-05-02 09:28 -------- d-----w- c:\program files\PPLive
2010-04-16 08:41 . 2009-01-01 11:00 -------- d-----w- c:\programdata\Jlcm
2010-04-16 01:24 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-04-11 11:13 . 2008-02-16 16:47 -------- d-----w- c:\program files\Warcraft III
2010-04-10 19:52 . 2008-03-05 19:46 -------- d-----w- c:\program files\SopCast
2010-04-10 05:52 . 2008-02-15 17:11 -------- d-----w- c:\users\Tobi\AppData\Roaming\ICQ
2010-03-28 00:09 . 2008-07-10 21:39 -------- d-----w- c:\program files\Diablo II
2010-03-27 14:31 . 2010-03-27 14:31 -------- d-----w- c:\users\Tobi\AppData\Roaming\StreamTorrent
2010-03-27 14:31 . 2010-03-27 14:31 -------- d-----w- c:\program files\StreamTorrent 1.0
2010-03-25 07:17 . 2008-03-24 01:59 -------- d-----w- c:\program files\Common Files\Adobe
2010-03-24 11:59 . 2010-03-24 11:59 -------- d-----w- c:\program files\Foxit Software
2010-03-24 11:45 . 2010-03-24 11:44 -------- d-----w- c:\program files\PDF Editor 3
2010-03-24 11:44 . 2010-03-24 11:44 80896 ----a-w- c:\windows\cadkasdeinst01.exe
2010-03-24 11:39 . 2010-03-24 11:39 -------- d-----w- c:\users\Tobi\AppData\Roaming\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
2010-03-22 09:30 . 2010-03-04 18:43 -------- d-----w- c:\programdata\NVIDIA
2010-03-20 03:33 . 2008-10-08 20:00 -------- d-----w- c:\users\Tobi\AppData\Roaming\DivX
2010-03-20 03:32 . 2010-03-20 03:31 -------- d-----w- c:\programdata\DivX
2010-03-20 03:32 . 2008-06-26 08:33 -------- d-----w- c:\program files\DivX
2010-03-20 03:32 . 2010-01-03 19:31 -------- d-----w- c:\program files\Common Files\DivX Shared
2010-03-12 10:26 . 2008-02-13 06:39 600680 ----a-w- c:\windows\system32\nvuninst.exe
2010-03-11 12:29 . 2008-03-20 22:30 -------- d-----w- c:\program files\Steam
2010-03-11 11:21 . 2010-03-11 11:21 -------- d-----w- c:\program files\Xampp
2010-03-10 17:48 . 2009-05-12 08:11 -------- d-----w- c:\program files\uTorrent
2010-03-10 14:42 . 2010-03-10 14:41 -------- d-----w- c:\program files\gs
2010-03-10 14:39 . 2010-03-10 13:44 -------- d-----w- c:\programdata\BewerbungsMaster
2010-03-10 13:43 . 2010-03-10 13:43 -------- d-----w- c:\program files\BEWERBUNGSMASTER
2010-03-10 13:43 . 2009-02-23 03:36 262144 ------w- c:\windows\Setup1.exe
2010-03-10 13:43 . 2009-02-23 03:36 74752 ----a-w- c:\windows\ST6UNST.EXE
2010-03-08 17:59 . 2010-03-08 17:59 94208 ----a-w- c:\windows\system32\dpl100.dll
2010-03-07 14:48 . 2010-03-07 14:48 -------- d-----w- c:\program files\PDF Blender
2010-03-07 09:17 . 2008-03-20 23:06 -------- d-----w- c:\program files\Common Files\Steam
2010-03-04 18:40 . 2010-03-04 18:37 -------- d-----w- c:\program files\NVIDIA Corporation
2010-03-04 18:39 . 2010-03-04 18:38 -------- d-----w- c:\program files\AGEIA Technologies
2010-03-04 18:38 . 2008-05-11 18:22 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-03-03 17:06 . 2008-02-16 01:42 41192 ----a-w- c:\users\Tobi\AppData\Roaming\nvModes.dat
2010-02-24 08:16 . 2009-10-03 06:52 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-23 06:39 . 2010-03-31 07:55 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-23 06:33 . 2010-03-31 07:55 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-02-23 06:33 . 2010-03-31 07:55 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-02-23 04:55 . 2010-03-31 07:55 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-02-20 23:39 . 2010-03-11 02:03 24064 ----a-w- c:\windows\system32\nshhttp.dll
2010-02-20 23:37 . 2010-03-11 02:02 31232 ----a-w- c:\windows\system32\httpapi.dll
2010-02-20 21:18 . 2010-03-11 02:02 411136 ----a-w- c:\windows\system32\drivers\http.sys
2010-02-19 19:27 . 2010-02-19 19:27 720384 ----a-w- c:\windows\system32\DivX.dll
2010-02-19 19:27 . 2010-02-19 19:27 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2010-02-19 19:27 . 2010-02-19 19:27 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2010-02-19 19:27 . 2010-02-19 19:27 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2010-02-19 19:27 . 2010-02-19 19:27 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2010-02-19 19:27 . 2010-02-19 19:27 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2010-02-19 12:34 . 2010-02-20 09:40 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-02-12 10:48 . 2010-03-19 02:00 293376 ----a-w- c:\windows\system32\browserchoice.exe
2008-02-12 23:16 . 2008-02-12 23:16 76 --sh--r- c:\windows\CT4CET.bin
2008-02-13 06:54 . 2008-02-13 06:44 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2009-01-30 13:12 650752 ----a-w- c:\program files\pdfforge Toolbar\WidgiToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\program files\pdfforge Toolbar\WidgiToolbarIE.dll" [2009-01-30 650752]

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\program files\Rainlendar2\Rainlendar2.exe" [2007-12-30 1365504]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883840]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"Octoshape Streaming Services"="c:\users\Tobi\AppData\Local\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2006-02-13 214648]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
"PluginPhotoshop"="c:\program files\Common Files\Adobe\Plug-Ins\CS2\File Formats\PhotoshopCamera.exe" [2010-05-02 153600]
"ViewerViewer1.0"="c:\program files\adobe\adobe help viewer\1.0\helphelp.exe" [2010-05-02 153600]
"IncorporatedScriptingSupport1.0.3"="c:\program files\adobe\adobe photoshop cs2\scripting guide\utilities\adobescriptingsupport.exe" [2010-05-02 153600]
"ViewerHelp"="c:\program files\Adobe\Adobe Help Viewer\1.0\HelpHelp.exe" [2010-05-02 153600]
"SystemsIncorporated"="c:\program files\Adobe\Adobe Photoshop CS2\Scripting Guide\Utilities\AdobeScriptingSupport.exe" [2010-05-02 153600]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"PluginCamera"="c:\program files\Common Files\Adobe\Plug-Ins\CS2\File Formats\PhotoshopCamera.exe" [2010-05-02 153600]
"wmpconfigWindows"="c:\program files\windows media player\wmpsideshowgadgetmedia.exe" [2010-05-02 153600]
"ViewerViewer"="c:\program files\Adobe\Adobe Help Viewer\1.0\HelpHelp.exe" [2010-05-02 153600]
"SystemsScriptListener"="c:\program files\Adobe\Adobe Photoshop CS2\Scripting Guide\Utilities\AdobeScriptingSupport.exe" [2010-05-02 153600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dellsupportcenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"NVHotkey"="c:\windows\system32\nvHotkey.dll" [2009-11-20 87144]
"PCMService"="c:\program files\Dell\MediaDirect\PCMService.exe" [2007-11-01 189736]
"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2007-11-15 16384]
"DELL Webcam Manager"="c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 118784]
"Adobe Acrobat Speed Launcher"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2008-06-12 37232]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2008-06-11 640376]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2007-09-24 159744]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2007-09-07 405504]
"RoxWatchTray"="c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-11-05 221184]
"razer"="c:\program files\Razer\Copperhead\razerhid.exe" [2005-11-25 155648]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-04 417792]
"OEM02Mon.exe"="c:\windows\OEM02Mon.exe" [2007-12-03 36864]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12685928]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2006-10-03 81920]
"Copperhead"="c:\program files\Razer\Copperhead\razerhid.exe" [2005-11-25 155648]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"NetworkSharing"="c:\program files\windows media player\wmpsideshowgadgetmedia.exe" [2010-05-02 153600]
"HelpAdobe1.0.0.185"="c:\program files\adobe\adobe help viewer\1.0\helphelp.exe" [2010-05-02 153600]
"ScriptListenerAdobe"="c:\program files\adobe\adobe photoshop cs2\scripting guide\utilities\adobescriptingsupport.exe" [2010-05-02 153600]
"CameraPlugin"="c:\program files\common files\adobe\plug-ins\cs2\file formats\photoshopcamera.exe" [2010-05-02 153600]
"PluginPhotoshop"="c:\program files\Common Files\Adobe\Plug-Ins\CS2\File Formats\PhotoshopCamera.exe" [2010-05-02 153600]
"ManagerDialog"="c:\program files\adobe\acrobat 9.0\acrobat\spplugins\managerdialog.exe" [2010-05-02 153600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"PluginCamera"="c:\program files\Common Files\Adobe\Plug-Ins\CS2\File Formats\PhotoshopCamera.exe" [2010-05-02 153600]
"PatternsImageReady"="c:\program files\adobe\adobe bridge cs3\required\photoshopadapterpatterns1288.exe" [2010-05-02 153600]
"AbstractStyles"="c:\program files\adobe\adobe photoshop cs2\presets\styles\abstractstyles.exe" [2010-05-02 153600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-3 703280]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-2-13 50688]
QuickSet.lnk - c:\windows\Installer\{7F0C4457-8E64-491B-8D7B-991504365D1E}\NewShortcut2_53A01CC614B04512A2E710D39BF83DC4.exe [2008-2-13 45056]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-03-05 15:32 1135912 ----a-w- c:\program files\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2009-11-16 15:36 172792 ----a-w- c:\program files\ICQ6.5\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-10-28 19:21 141600 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Octoshape Streaming Services]
2006-02-13 16:33 214648 ----a-w- c:\users\Tobi\AppData\Local\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-03-04 11:08 1217872 ----a-w- c:\program files\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-04-25 21:10 185896 ----a-w- c:\program files\Common Files\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-92760901-281803736-2678222489-1000]
"EnableNotificationsRef"=dword:00000002

R3 GarenaPEngine;GarenaPEngine;c:\users\Tobi\AppData\Local\Temp\QXJ388E.tmp [x]
R3 UsbFltr;Razer Copperhead Driver;c:\windows\system32\drivers\copperhd.sys [2005-11-02 11596]
R4 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-08-29 73728]
R4 Apache2.2;Apache2.2;c:\program files\Xampp\xampp\apache\bin\httpd.exe [2009-12-19 29416]
R4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-02-19 1181328]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-11-04 691696]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2009-12-02 64288]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2008-01-19 21504]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
Akamai REG_MULTI_SZ Akamai
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = www.qq.com
uInternet Settings,ProxyOverride = *.local
IE: An vorhandene PDF-Datei anfügen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: In Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Ìí¼Óµ½QQ±íÇé - c:\program files\QQ\Africa2003\AddEmotion.htm
Trusted Zone: qq.com\cache.tv
Trusted Zone: qq.com\qqlivehabit
DPF: {1DABF8D5-8430-4985-9B7F-A30E53D709B3} - hxxp://cache.tv.qq.com/qqlive_ocx/QQLiveInstaller.cab
DPF: {68253470-5D4F-4CDF-8D9C-353C14A2F013} - hxxp://update.seebox.com/kor/products/sm4355/kor/251/SVPorsche.cab
DPF: {688C15EE-9C38-471D-9E46-BB842E30246F} - hxxp://playple.com/liveviewer/cab/NChat7.cab
DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab
DPF: {8EEB54D5-CC70-40E4-B015-AC478C02ECC8} - hxxp://playple.com/liveviewer/cab/SLViewer.cab
DPF: {BDB407E3-7F70-4929-9E36-7E29B48BC485} - hxxp://gw.joongang.co.kr/eNovator/WM/Common/BigAttach/InnoFD.cab
FF - ProfilePath - c:\users\Tobi\AppData\Roaming\Mozilla\Firefox\Profiles\ay78slo7.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de
FF - prefs.js: network.proxy.type - 4
FF - component: c:\users\Tobi\AppData\Roaming\Mozilla\Firefox\Profiles\ay78slo7.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npoctoshape.dll
FF - plugin: c:\users\Tobi\AppData\Local\Octoshape\Octoshape Streaming Services\octoprogram-L03-NMS1002170_SUA_000\npoctoshape.dll
FF - plugin: c:\users\Tobi\AppData\Roaming\Mozilla\Firefox\Profiles\ay78slo7.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\users\Tobi\AppData\Roaming\Mozilla\plugins\npoctoshape.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "hxxp://www.firefox.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - c:\program files\Dealio Toolbar\DealioToolbarIE.dll
Toolbar-{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - c:\program files\Dealio Toolbar\DealioToolbarIE.dll
HKCU-RunServices-ocyb - c:\users\Tobi\AppData\Local\Temp\ocYB.exe
HKLM-Run-SearchSettings - c:\program files\Search Settings\SearchSettings.exe
AddRemove-Octoshape add-in for Adobe Flash Player - c:\users\Tobi\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-03 20:26
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GarenaPEngine]
"ImagePath"="\??\c:\users\Tobi\AppData\Local\Temp\QXJ388E.tmp"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mfpqxppubgrydkw]
"imagepath"="\??\c:\windows\TEMP\23E.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(4308)
c:\windows\ATL.DLL
c:\windows\system32\btncopy.dll
c:\program files\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 6\PCSCM.dll
c:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr
c:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\WLANExt.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
c:\windows\system32\STacSV.exe
c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
c:\windows\system32\conime.exe
c:\windows\System32\rundll32.exe
c:\program files\Dell\QuickSet\quickset.exe
c:\program files\Microsoft Office\Office12\ONENOTEM.EXE
c:\windows\ehome\ehmsas.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\program files\DellTPad\HidFind.exe
c:\program files\DellTPad\Apntex.exe
c:\program files\Razer\Copperhead\razerofa.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\WIDCOMM\Bluetooth Software\BtStackServer.exe
c:\program files\Windows Live\Contacts\wlcomm.exe
c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-05-03 20:41:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-05-03 18:41
ComboFix2.txt 2008-05-12 12:57

Vor Suchlauf: 3.209.027.584 Bytes frei
Nach Suchlauf: 1.384.894.464 Bytes frei

- - End Of File - - 4CF46FCE3E9E7613066B37C26719EC5F

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4061

Windows 6.0.6001 Service Pack 1 (Safe Mode)
Internet Explorer 8.0.6001.18904

03.05.2010 19:26:13
mbam-log-2010-05-03 (19-26-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 390243
Laufzeit: 1 Stunde(n), 38 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\u97ap8wwdmkt (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Tobi\AppData\Local\Temp\m.29A7E.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 3. Mai 2010 22:15

Es wird nach 2067653 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 1) [6.0.6001]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : TOBI-PC
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1911' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\Program Files\InstallShield Installation Information\{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}\setup2kSetup2k.exe
[FUND] Ist das Trojanische Pferd TR/PCK.Katusha.L.153
C:\Program Files\QuickTime\PictureViewer.Resources\es.lproj\QuickTimeQuickTime7.6.4.exe
[FUND] Ist das Trojanische Pferd TR/PCK.Katusha.L.153
C:\QooBox\32788R22FWJFW\compbatt.sys
[FUND] Ist das Trojanische Pferd TR/Patched.Gen
C:\Users\Tobi\Downloads\AntiCrash.zip
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
--> AntiCrash.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
Beginne mit der Suche in 'D:\' <RECOVERY>

Beginne mit der Desinfektion:
C:\Users\Tobi\Downloads\AntiCrash.zip
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48fc3619.qua' verschoben!
C:\QooBox\32788R22FWJFW\compbatt.sys
[FUND] Ist das Trojanische Pferd TR/Patched.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '507419bf.qua' verschoben!
C:\Program Files\QuickTime\PictureViewer.Resources\es.lproj\QuickTimeQuickTime7.6.4.exe
[FUND] Ist das Trojanische Pferd TR/PCK.Katusha.L.153
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '022f435d.qua' verschoben!
C:\Program Files\InstallShield Installation Information\{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}\setup2kSetup2k.exe
[FUND] Ist das Trojanische Pferd TR/PCK.Katusha.L.153
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '64030c8c.qua' verschoben!


Ende des Suchlaufs: Dienstag, 4. Mai 2010 05:19
Benötigte Zeit: 2:50:05 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

38126 Verzeichnisse wurden überprüft
824237 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
824233 Dateien ohne Befall
4294 Archive wurden durchsucht
0 Warnungen
4 Hinweise
1003838 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden
__________________

Alt 04.05.2010, 05:44   #4
raman
 
HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner - Standard

HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner



Mache bitte folgendes:

1. Starte Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.
Code:
ATTFilter
dirlook::
c:\users\Tobi\AppData\Local\Temp\
c:\windows\TEMP\
driver::
mfpqxppubgrydkw
GarenaPEngine
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________
MfG Ralf

Alt 04.05.2010, 08:46   #5
Tobiii
 
HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner - Standard

HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner



Okay danke alles wie beschrieben gemacht, der Log ist aber über 95000 Zeichen lang... habs Dir mal als Anhang drangehängt

Grüße und Dank Tobi


Alt 04.05.2010, 09:00   #6
raman
 
HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner - Standard

HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner



Hast du irgendwelche Nutzer neu angelegt, bzw irgendwann einmal(test, teest usw)?

Nutze die mit Windows gelieferte Datenträgerbereinigung(außer alte Dateien komprimieren), das Säubern der Systemwiederherstellung über "weitere Optionen" sollte man erst nach der erfolgreichen Bereinigung nutzen!
Löschen von Dateien mithilfe der Datenträgerbereinigung

Erstelle ein GMER Report:
Lade es von hier http://www.gmer.net/download.php starte die Datei, druecke im Reiter Rootkits auf scan. Nach ende des Scans bitte mit Hilfe von Copy den Report in den eigenen Thread einfuegen...

Um GMER unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten. Also rechte Maustaste auf die heruntergeladenen Exedatei und "Als Administrator ausfuehren" waehlen.

Dann schauen wir mal weiter...
__________________
--> HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner

Alt 04.05.2010, 09:02   #7
raman
 
HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner - Standard

HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner



Kleiner NAchtrag. Die seite .qq.com kennst und nutzt du?
__________________
MfG Ralf

Alt 04.05.2010, 10:37   #8
Tobiii
 
HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner - Standard

HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner



Also ich hab Datenträgerbereinigung gemacht, aber erstmal konnte ich bei dem Link von dir die File nicht wirklich downloaden. Also bei Firefox war das Downloadfenster einfach komplett weiß. Hab es dann von der Seite runtergeladen und auch entsprechend als Admin geöffnet. Aber nach kurzem Scan hat sich das Programm mehrere Male aufgehängt, ich musste dann immer neustarten und somit hab ich kein Ergebnis bekommen. Ich hab auch mal Firewall usw ausgestellt, aber ging trotzdem nicht. Immer mittendrin "Ein Fehler wurde entdeckt...Programm wird geschlossen usw" : /

Wegen QQ...ich wollte mir das mal runterladen, da ich selbst einige Monate in China war und QQ ein chinesisches Chatprogramm ist, wie du vllt weisst. Jedoch glaub ich, dass ich damals wahrscheinlich auf ne falsche Seite gekommen bin!? Also die Seite an sich kenn und nutze ich nicht, kann nur sein, dass ich über Google wegen des Downloads drauf gekommen bin. Liegt schon einige Zeit zurück. Kann mich nur erinnern, dass die Seite als Startseite für den IE plötzlich erschien.

Wegen den Nutzern: ja um Diablo2 für Vista zu installieren musste ich einen neuen Benutzer anlegen und über den das mal installieren. Hab jetzt beim Hochfahren halt die Möglichkeit teest oder Tobi..

Geändert von Tobiii (04.05.2010 um 10:43 Uhr)

Alt 04.05.2010, 10:42   #9
raman
 
HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner - Standard

HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner



Leider haengt GMER oeffters bei Win7/Vista...
Deinstalliere Combofix ueber start/Ausfuehren. Gebe dort
combofix /uninstall
ein und druecke enter.

Mache bitte einmal einen Kontrollscan mit Drweb CureIT und Kasperskys AVtool:

http://www.trojaner-board.de/59299-a...eb-cureit.html
Kaspersky 's AVP Tool - Virus Hilfe

Sollte etwas gefunden werden, poste die entsprechenden Berichte.
__________________
MfG Ralf

Alt 04.05.2010, 13:22   #10
kubilai
 
HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner - Standard

HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner



Hallo Leute,

Ich hab genau gleiche das Problem! Wie soll ich jetzt weiter vorgehen?
Also der AntiVir Guard bringt mir in schöner Regelmäßigkeit folgende Meldung:

C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\m.226.tmp.exe
Die Datei enthält ein ausführbares Programm.Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert( HIDDENTEXT/Crypted ).

Hab schon AntiVir und Anti-Malware drüber laufen lassen. Die haben auch irgendwas gefunden und gelöscht, aber nach einem Neustart ist alles wieder beim Alten.
Die Nummer bei dem tmp.exe file scheint aufsteigend zu sein und manchmal stehen da auch Buchstaben hinter den Zahlen.

Vielen Dank schonmal für eure Hilfe!

Log file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:43:24, on 04.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\nvsvc32.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\windows\Explorer.EXE
C:\Programme\VIAudioi\HDADeck\HDeck.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\windows\system32\RUNDLL32.EXE
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\windows\system32\rundll32.exe
C:\DOKUME~1\Steffen\LOKALE~1\Temp\fgOP.exe
C:\programme\reference assemblies\microsoft\framework\v3.0\de\resourcesreachframework.exe
C:\programme\reference assemblies\microsoft\framework\v3.0\de\resourcesreachframework.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\windows\eHome\ehRecvr.exe
C:\windows\eHome\ehSched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\windows\Installer\MSI246.tmp
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
c:\programme\quicktime\qtsystem\quicktimevr.resources\quicktimeresourcesquicktimeresources.exe
c:\dokume~1\steffen\lokale~1\temp\wpwr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Steffen\Desktop\RSIT.exe
C:\Programme\trend micro\Steffen.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.heute.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [InstallShieldSetup] C:\DOKUME~1\Steffen\LOKALE~1\Temp\fgOP.exe
O4 - HKLM\..\Run: [resourcesSystem] c:\programme\reference assemblies\microsoft\framework\v3.0\de\resourcesreachframework.exe
O4 - HKLM\..\Run: [UIAutomationProviderFramework3.0.6920.0] C:\programme\reference assemblies\microsoft\framework\v3.0\de\resourcesreachframework.exe
O4 - HKLM\..\RunServices: [InstallShieldSetup] C:\DOKUME~1\Steffen\LOKALE~1\Temp\fgOP.exe
O4 - HKLM\..\RunServices: [SetupInstallShield14.0] c:\dokume~1\steffen\lokale~1\temp\wpwr.exe
O4 - HKLM\..\RunServices: [QuickTimeQuickTime] c:\programme\quicktime\qtsystem\quicktime.resources\fi.lproj\quicktimequicktime.exe
O4 - HKLM\..\RunServices: [QuickTimeQuickTimeResources] c:\programme\quicktime\qtsystem\quicktimevr.resources\quicktimeresourcesquicktimeresources.exe
O4 - HKLM\..\RunServices: [Speechresources] C:\programme\reference assemblies\microsoft\framework\v3.0\de\resourcesreachframework.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: c:\progra~1\citrix\system32\mfaphook.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Citrix Diagnostic Facility COM Server (CdfSvc) - Citrix Systems, Inc. - C:\Programme\Gemeinsame Dateien\Citrix\System32\CdfSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: Citrix Streamingdienst (RadeSvc) - Citrix Systems, Inc. - C:\Programme\Citrix\Streaming Client\RadeSvc.exe
O23 - Service: SolidConverterPDFReadSpool (SCPDFReadSpool) - Solid Documents, LLC - C:\windows\Installer\MSI246.tmp

--
End of file - 7554 bytes

======Scheduled tasks folder======

C:\windows\tasks\08___1000_FRAGEN.job
C:\windows\tasks\1-Klick-Wartung.job
C:\windows\tasks\Windows Media Player.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-11 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"=C:\Programme\VIAudioi\HDADeck\HDeck.exe [2006-08-02 684032]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-10-11 149280]
"nwiz"=nwiz.exe /installquiet []
"NvCplDaemon"=C:\windows\system32\NvCpl.dll [2010-04-03 13670504]
"NvMediaCenter"=C:\windows\system32\NvMcTray.dll [2010-04-03 110696]
"IntelliPoint"=C:\Programme\Microsoft IntelliPoint\ipoint.exe [2009-11-11 1468256]
"BluetoothAuthenticationAgent"=bthprops.cpl,,BluetoothAuthenticationAgent []
"InstallShieldSetup"=C:\DOKUME~1\Steffen\LOKALE~1\Temp\fgOP.exe [2010-05-04 153088]
"resourcesSystem"=c:\programme\reference assemblies\microsoft\framework\v3.0\de\resourcesreachframework.exe [2010-05-04 153088]
"UIAutomationProviderFramework3.0.6920.0"=C:\programme\reference assemblies\microsoft\framework\v3.0\de\resourcesreachframework.exe [2010-05-04 153088]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"=C:\Programme\DAEMON Tools\daemon.exe [2007-08-29 171464]
"ctfmon.exe"=C:\windows\system32\ctfmon.exe [2008-04-14 15360]
"H/PC Connection Agent"=C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE [2004-02-09 401491]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]
C:\Programme\DAEMON Tools Pro\DTProAgent.exe [2007-06-22 133576]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE [2004-02-09 401491]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NCLaunch]
C:\WINDOWS\NCLAUNCH.EXe [2008-06-10 40960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="c:\progra~1\citrix\system32\mfaphook.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\windows\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\DC++\DCPlusPlus.exe"="C:\Programme\DC++\DCPlusPlus.exe:*:EnabledC++"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"D:\Spiele\Medal of Honor\mohpa.exe"="D:\Spiele\Medal of Honor\mohpa.exe:*isabled:Medal of Honor Pacific Assault(tm)"
"D:\Spiele\Die Siedler II - Die nächste Generation\bin\S2DNG.exe"="D:\Spiele\Die Siedler II - Die nächste Generation\bin\S2DNG.exe:*isabled:S2DNG"
"C:\Programme\Microsoft Games\Age of Empires III\age3.exe"="C:\Programme\Microsoft Games\Age of Empires III\age3.exe:*:Enabled:Age of Empires 3"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*isabled:Microsoft DirectPlay Voice Test"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen"
"C:\Programme\Sony Ericsson\Update Service\Update Service.exe"="C:\Programme\Sony Ericsson\Update Service\Update Service.exe:*:Enabled:Update Service"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"="C:\Programme\Microsoft ActiveSync\wcescomm.exe:*isabled:ActiveSync Connection Manager"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2010-05-04 13:17:52 ----D---- C:\rsit
2010-05-04 13:17:52 ----D---- C:\Programme\trend micro
2010-05-04 13:04:18 ----D---- C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\Malwarebytes
2010-05-04 13:02:52 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-05-04 13:02:52 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-04 13:02:28 ----D---- C:\Programme\CCleaner
2010-04-27 11:47:45 ----A---- C:\windows\system32\wshirda.dll
2010-04-27 11:47:45 ----A---- C:\windows\system32\irmon.dll
2010-04-27 11:47:45 ----A---- C:\windows\system32\irftp.exe
2010-04-27 11:46:58 ----D---- C:\Programme\Microsoft IntelliPoint
2010-04-27 11:19:45 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2010-04-27 11:19:33 ----D---- C:\Programme\NVIDIA Corporation
2010-04-27 11:17:07 ----A---- C:\windows\system32\OpenCL.dll
2010-04-27 11:17:03 ----A---- C:\windows\system32\nvcompiler.dll
2010-04-27 11:15:37 ----D---- C:\Programme\SystemRequirementsLab
2010-04-27 11:08:20 ----D---- C:\windows\pss
2010-04-14 14:22:33 ----HDC---- C:\windows\$NtUninstallKB979683$
2010-04-14 14:22:24 ----HDC---- C:\windows\$NtUninstallKB980232$
2010-04-14 14:20:26 ----HDC---- C:\windows\$NtUninstallKB981349$
2010-04-14 14:20:18 ----HDC---- C:\windows\$NtUninstallKB978338$
2010-04-14 14:20:11 ----HDC---- C:\windows\$NtUninstallKB977816$
2010-04-14 14:20:05 ----HDC---- C:\windows\$NtUninstallKB978601$
2010-04-14 14:19:56 ----HDC---- C:\windows\$NtUninstallKB979309$
2010-04-13 11:32:14 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2010-04-13 11:32:13 ----D---- C:\Programme\DVDVideoSoft
2010-04-13 10:57:39 ----N---- C:\windows\system32\browserchoice.exe

======List of files/folders modified in the last 1 months======

2010-05-04 13:20:49 ----D---- C:\windows\Debug
2010-05-04 13:20:48 ----D---- C:\windows\Minidump
2010-05-04 13:20:48 ----D---- C:\WINDOWS
2010-05-04 13:20:47 ----D---- C:\windows\Temp
2010-05-04 13:20:47 ----D---- C:\windows\Prefetch
2010-05-04 13:17:52 ----RD---- C:\Programme
2010-05-04 13:16:30 ----D---- C:\windows\system32\CatRoot2
2010-05-04 13:16:28 ----D---- C:\windows\Registration
2010-05-04 13:15:34 ----HDC---- C:\windows\$NtUninstallKB974318$
2010-05-04 13:15:34 ----D---- C:\windows\system32\drivers
2010-05-04 13:14:55 ----N---- C:\windows\SchedLgU.Txt
2010-05-04 11:06:35 ----D---- C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\ICQ
2010-05-04 11:06:24 ----D---- C:\Programme\DC++
2010-05-03 22:17:57 ----RSHDC---- C:\windows\system32\dllcache
2010-05-03 14:56:58 ----A---- C:\windows\NeroDigital.ini
2010-04-29 13:43:54 ----D---- C:\windows\system32
2010-04-27 11:48:52 ----SD---- C:\windows\Tasks
2010-04-27 11:48:52 ----SD---- C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\Microsoft
2010-04-27 11:47:41 ----D---- C:\windows\security
2010-04-27 11:47:37 ----HD---- C:\windows\inf
2010-04-27 11:47:14 ----SHD---- C:\windows\Installer
2010-04-27 11:47:13 ----SHD---- C:\Config.Msi
2010-04-27 11:47:12 ----DC---- C:\windows\system32\DRVSTORE
2010-04-27 11:47:11 ----D---- C:\windows\system32\ReinstallBackups
2010-04-27 11:47:01 ----RSD---- C:\windows\Fonts
2010-04-27 11:20:47 ----D---- C:\windows\Help
2010-04-27 11:17:36 ----D---- C:\windows\SoftwareDistribution
2010-04-27 11:16:53 ----D---- C:\NVIDIA
2010-04-27 11:11:24 ----A---- C:\windows\win.ini
2010-04-27 11:11:24 ----A---- C:\windows\system.ini
2010-04-20 19:46:39 ----D---- C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\dvdcss
2010-04-20 18:16:01 ----D---- C:\windows\WinSxS
2010-04-20 17:59:22 ----D---- C:\Programme\Zylom Games
2010-04-20 17:56:26 ----HD---- C:\Programme\InstallShield Installation Information
2010-04-14 14:22:29 ----HD---- C:\windows\$hf_mig$
2010-04-13 11:32:14 ----D---- C:\Programme\Gemeinsame Dateien
2010-04-09 19:21:18 ----D---- C:\Programme\Mozilla Firefox
2010-04-06 19:52:54 ----A---- C:\windows\system32\MRT.exe
2010-04-06 13:48:12 ----D---- C:\windows\system32\de-de
2010-04-06 13:48:12 ----D---- C:\Programme\Internet Explorer
2010-04-06 13:48:02 ----D---- C:\windows\ie7updates
2010-04-06 10:10:13 ----A---- C:\windows\system32\PerfStringBackup.INI

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 cdfdrv;Cdfdrv; C:\windows\system32\DRIVERS\cdfdrv.sys [2007-05-24 22968]
R1 intelppm;Intel-Prozessortreiber; C:\windows\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 ssmdrv;ssmdrv; C:\windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 atksgt;atksgt; C:\windows\system32\DRIVERS\atksgt.sys [2009-04-29 278984]
R2 avgntflt;avgntflt; C:\windows\system32\DRIVERS\avgntflt.sys [2009-12-08 56816]
R2 ctxpidmn;ctxpidmn; C:\windows\system32\DRIVERS\ctxpidmn.sys [2007-07-05 20424]
R2 CtxSbx;CtxSbx; C:\windows\system32\DRIVERS\CtxSbx.sys [2007-07-05 161352]
R2 lirsgt;lirsgt; C:\windows\system32\DRIVERS\lirsgt.sys [2009-04-29 25416]
R3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\windows\system32\DRIVERS\BthEnum.sys [2008-04-13 17024]
R3 BthPan;Bluetooth-Gerät (PAN); C:\windows\system32\DRIVERS\bthpan.sys [2008-04-13 101120]
R3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\windows\System32\Drivers\BTHUSB.sys [2008-04-13 18944]
R3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\windows\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
R3 HdAudAddService;VIA High Definition Audio Service; C:\windows\system32\drivers\viahduaa.sys [2006-08-02 137216]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\windows\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidBth;Microsoft Bluetooth-HID-Miniport; C:\windows\system32\DRIVERS\hidbth.sys [2008-04-14 25856]
R3 HidUsb;Microsoft HID Class-Treiber; C:\windows\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Maus-HID-Treiber; C:\windows\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 nv;nv; C:\windows\system32\DRIVERS\nv4_mini.sys [2010-04-04 10232128]
R3 Point32;Microsoft IntelliPoint Filter Driver; C:\windows\system32\DRIVERS\point32.sys [2009-11-11 27744]
R3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\windows\system32\DRIVERS\rfcomm.sys [2008-04-13 59136]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\windows\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\windows\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbstor;USB-Massenspeichertreiber; C:\windows\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\windows\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 a0snr0h6;a0snr0h6; C:\windows\system32\drivers\a0snr0h6.sys []
S3 a8h4wo19;a8h4wo19; C:\windows\system32\drivers\a8h4wo19.sys []
S3 BTHPORT;Bluetooth-Porttreiber; C:\windows\System32\Drivers\BTHport.sys [2008-06-14 273024]
S3 ggflt;SEMC USB Flash Driver Filter; C:\windows\system32\DRIVERS\ggflt.sys [2009-03-04 13224]
S3 ggsemc;SEMC USB Flash Driver; C:\windows\system32\DRIVERS\ggsemc.sys [2009-03-04 24616]
S3 k750bus;Sony Ericsson 750 driver (WDM); C:\windows\system32\DRIVERS\k750bus.sys [2005-07-07 55216]
S3 k750mgmt;Sony Ericsson 750 USB WMC Device Management Drivers; C:\windows\system32\DRIVERS\k750mgmt.sys [2005-07-07 81728]
S3 k750obex;Sony Ericsson 750 USB WMC OBEX Interface Drivers; C:\windows\system32\DRIVERS\k750obex.sys [2005-07-07 79488]
S3 MHNDRV;MHN-Treiber; C:\windows\system32\DRIVERS\mhndrv.sys [2004-08-10 11008]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\windows\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\windows\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 wceusbsh;Windows CE USB Serial Host Driver; C:\windows\system32\DRIVERS\wceusbsh.sys [2003-12-22 104064]
S3 Wdf01000;Kernel Mode Driver Frameworks service; C:\windows\System32\Drivers\wdf01000.sys [2008-03-27 503008]
S3 WpdUsb;WpdUsb; C:\windows\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\windows\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\windows\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-08-29 238888]
R2 BthServ;Bluetooth Support Service; C:\windows\system32\svchost.exe [2008-04-14 14336]
R2 CdfSvc;Citrix Diagnostic Facility COM Server; C:\Programme\Gemeinsame Dateien\Citrix\System32\CdfSvc.exe [2007-05-24 180224]
R2 ehRecvr;Media Center Receiver Service; C:\windows\eHome\ehRecvr.exe [2006-10-09 237568]
R2 ehSched;Media Center-Planerdienst; C:\windows\eHome\ehSched.exe [2005-08-05 102912]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-10-11 153376]
R2 MSSQL$SQLEXPRESS;SQL Server (SQLEXPRESS); c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2005-10-14 28768528]
R2 NVSvc;NVIDIA Display Driver Service; C:\windows\system32\nvsvc32.exe [2010-04-03 154216]
R2 SCPDFReadSpool;SolidConverterPDFReadSpool; C:\windows\Installer\MSI246.tmp [2009-08-24 189696]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\windows\system32\svchost.exe [2008-04-14 14336]
S2 McrdSvc;Media Center Extender Service; C:\windows\ehome\mcrdsvc.exe [2005-08-05 99328]
S2 RadeSvc;Citrix Streamingdienst; C:\Programme\Citrix\Streaming Client\RadeSvc.exe [2007-07-05 237568]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 idsvc;Windows CardSpace; C:\windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 MHN;MHN; C:\windows\System32\svchost.exe [2008-04-14 14336]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 SQLWriter;SQL Server VSS Writer; c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe [2005-10-14 87768]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 MSSQLServerADHelper;SQL Server Active Directory Helper; c:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe [2005-10-14 45272]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
S4 SQLBrowser;SQL Server Browser; c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe [2005-10-14 239320]

-----------------EOF-----------------

Alt 04.05.2010, 13:53   #11
raman
 
HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner - Standard

HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner



Eroeffne dafuer bitte hier ein eigenes Thema:
http://www.trojaner-board.de/newthre...=newthread&f=8
Beachte die Infos im rot unterlegtem Text.
__________________
MfG Ralf

Antwort

Themen zu HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner
ad-aware, antivir, antivir guard, antivirus, avg, avira, bho, browser, excel, firefox, help, hijackthis, hkus\s-1-5-18, hängen, installation, internet, internet explorer, local\temp, malwarebytes' anti-malware, mozilla, pdf-datei, pdfforge toolbar, plug-ins, pop-up-blocker, registry, rundll, software, system, trojan.downloader, trojane, trojaner, vista, windows



Ähnliche Themen: HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner


  1. Hartnäckige Tasks (Trojan.FraudPack & Trojan.Downloader lt. Malwarebytes Anti-Malware)
    Log-Analyse und Auswertung - 23.09.2013 (16)
  2. Diverse hartnäckige Trojaner TR/Ransom.Blocker
    Log-Analyse und Auswertung - 09.06.2013 (17)
  3. Hartnäckige Trojaner Win32:Atraps-PF und Win64:Sirefef-A
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (1)
  4. TR/Agent.AR,TR/Click.Klik,HEUR/HTML.Malware,HTML/Crypted.Gen, dwwin.exe, drwtsu32.exe
    Plagegeister aller Art und deren Bekämpfung - 25.05.2010 (1)
  5. HTML/Crypted.Gen Trojaner
    Plagegeister aller Art und deren Bekämpfung - 11.08.2009 (1)
  6. hartnäckige trojaner gefunden
    Log-Analyse und Auswertung - 10.02.2009 (0)
  7. verschiedene hartnäckige Trojaner, PC langsam
    Plagegeister aller Art und deren Bekämpfung - 18.05.2008 (18)
  8. HEUR-DBLEXT/Crypted und HTML/Crypted.Gen
    Plagegeister aller Art und deren Bekämpfung - 27.09.2007 (5)
  9. Hartnäckige Malware
    Log-Analyse und Auswertung - 02.08.2007 (23)
  10. hartnäckige Trojaner :-(
    Plagegeister aller Art und deren Bekämpfung - 11.06.2007 (3)
  11. Hartnäckige Viren/Trojaner
    Plagegeister aller Art und deren Bekämpfung - 24.01.2007 (6)
  12. 5 hartnäckige Trojaner(Telekombill.Fake,Cimuz,Zedo,Smitfraud-C,Win32.Qoologic)-HILFE!
    Plagegeister aller Art und deren Bekämpfung - 07.01.2007 (4)
  13. Hartnäckige(r) TROJANER
    Plagegeister aller Art und deren Bekämpfung - 01.01.2007 (14)
  14. Hartnäckige Trojaner
    Log-Analyse und Auswertung - 20.07.2006 (19)
  15. Hartnäckige Trojaner am Werk - bitte um Hilfe!
    Log-Analyse und Auswertung - 01.03.2006 (3)
  16. hartnäckige trojaner kommen auch nach neu aufsetzen wieder
    Plagegeister aller Art und deren Bekämpfung - 27.06.2005 (5)
  17. Hartnäckige Dialer Startseite + Trojaner etc.
    Plagegeister aller Art und deren Bekämpfung - 07.05.2005 (1)

Zum Thema HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner - Hallo liebe Leute, ich hoffe auf Eure Hilfe und zwar hatte sich letztens beim angucken eines animes ein fenster geöffnet und plötzlich bekam ich von AntiVir Guard zweimal hintereinander folgende - HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner...
Archiv
Du betrachtest: HIDDENTEXT/Crypted, hartnäckige Malware/ Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.