Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc.

cosinus · 15.06.2010, 15:06

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Pauline · 15.06.2010, 17:42

Hier nun die Logs mit GMER:

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-06-15 18:35:25
Windows 5.1.2600 Service Pack 3
Running: GMER - Rootkit Scanner.exe; Driver: C:\DOKUME~1\MP\LOKALE~1\Temp\kwlorfow.sys


---- System - GMER 1.0.15 ----

SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                                                ZwCreateKey [0xF750C87E]
SSDT            F7A6DBAC                                                                                                         ZwCreateThread
SSDT            F7A6DB98                                                                                                         ZwOpenProcess
SSDT            F7A6DB9D                                                                                                         ZwOpenThread
SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                                                ZwSetValueKey [0xF750CC10]
SSDT            F7A6DBA7                                                                                                         ZwTerminateProcess
SSDT            F7A6DBA2                                                                                                         ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                         section is writeable [0xF6DC6360, 0x20469D, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\Dokumente und Einstellungen\MP\Desktop\GMER - Rootkit Scanner.exe[596] ntdll.dll!NtProtectVirtualMemory       7C91D6EE 5 Bytes  JMP 00B60000 
.text           C:\Dokumente und Einstellungen\MP\Desktop\GMER - Rootkit Scanner.exe[596] kernel32.dll!ExitProcess               7C81CB12 5 Bytes  JMP 00B80000 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] ntdll.dll!NtProtectVirtualMemory                               7C91D6EE 5 Bytes  JMP 00A00000 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] kernel32.dll!ExitProcess                                       7C81CB12 5 Bytes  JMP 00A20000 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] ADVAPI32.dll!CryptDeriveKey                                    77DB9FFD 5 Bytes  JMP 00DF0000 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] ADVAPI32.dll!CryptImportKey                                    77DBA1F1 5 Bytes  JMP 00DB0000 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] ADVAPI32.dll!CryptGenKey                                       77DE1849 5 Bytes  JMP 00DD0000 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] USER32.dll!PeekMessageW                                        7E36929B 5 Bytes  JMP 00D50000 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] ws2_32.dll!send                                                71A14C27 5 Bytes  JMP 00D70000 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] wininet.dll!CommitUrlCacheEntryA                               408C0F78 5 Bytes  JMP 00CD0000 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] wininet.dll!InternetReadFile                                   408C654B 5 Bytes  JMP 00C50000 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] wininet.dll!HttpAddRequestHeadersA                             408CCF46 5 Bytes  JMP 00D10000 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] wininet.dll!InternetConnectA                                   408CDEAE 5 Bytes  JMP 00C70000 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] wininet.dll!HttpSendRequestW                                   408CFABE 5 Bytes  JMP 00CB0000 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] wininet.dll!HttpAddRequestHeadersW                             408CFE49 5 Bytes  JMP 00D30000 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] wininet.dll!HttpSendRequestA                                   408DEE89 5 Bytes  JMP 00C90000 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] wininet.dll!CommitUrlCacheEntryW                               408E3085 5 Bytes  JMP 00CF0000 
.text           C:\WINDOWS\Explorer.EXE[1724] ntdll.dll!NtProtectVirtualMemory                                                   7C91D6EE 5 Bytes  JMP 00D00000 
.text           C:\WINDOWS\Explorer.EXE[1724] kernel32.dll!ExitProcess                                                           7C81CB12 5 Bytes  JMP 02E70000 
.text           C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe[3140] ntdll.dll!NtProtectVirtualMemory                   7C91D6EE 5 Bytes  JMP 00A40000 
.text           C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe[3140] kernel32.dll!ExitProcess                           7C81CB12 5 Bytes  JMP 00A60000 
.text           D:\Programme\Browser MOUSE\mouse32a.exe[3148] ntdll.dll!NtProtectVirtualMemory                                   7C91D6EE 5 Bytes  JMP 00C20000 
.text           D:\Programme\Browser MOUSE\mouse32a.exe[3148] kernel32.dll!ExitProcess                                           7C81CB12 5 Bytes  JMP 00C40000 
.text           D:\Programme\Avira\AntiVir Workstation\avgnt.exe[3156] ntdll.dll!NtProtectVirtualMemory                          7C91D6EE 5 Bytes  JMP 01140000 
.text           D:\Programme\Avira\AntiVir Workstation\avgnt.exe[3156] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 01160000 
.text           D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe[3172] ntdll.dll!NtProtectVirtualMemory  7C91D6EE 5 Bytes  JMP 00A20000 
.text           D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe[3172] kernel32.dll!ExitProcess          7C81CB12 5 Bytes  JMP 00A40000 
.text           C:\Programme\QuickTime\qttask.exe[3304] ntdll.dll!NtProtectVirtualMemory                                         7C91D6EE 5 Bytes  JMP 003F0000 
.text           C:\Programme\QuickTime\qttask.exe[3304] kernel32.dll!ExitProcess                                                 7C81CB12 5 Bytes  JMP 00B00000 
.text           D:\Programme\Lavasoft\Ad-Aware\AAWTray.exe[3376] ntdll.dll!NtProtectVirtualMemory                                7C91D6EE 5 Bytes  JMP 00D40000 
.text           D:\Programme\Lavasoft\Ad-Aware\AAWTray.exe[3376] kernel32.dll!ExitProcess                                        7C81CB12 5 Bytes  JMP 00D60000 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                        Lbd.sys (Boot Driver/Lavasoft AB)

Device                                                                                                                           ACPI.sys (ACPI-Treiber für NT/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

--- --- ---

Pauline · 15.06.2010, 17:53

Und hier nun der Logfile von OSAM. Ich hoffe, du kannst daraus nun eine Lösung für meine Probleme finden... nochmals ganz, ganz lieben DANK für die Mühe, die ich dir mache...

Ich kann jetzt den Virenscanner und die Firewall wieder aktivieren, richtig?

LG

Pauline

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 18:50:02 on 15.06.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.3

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - ? - C:\WINDOWS\system32\lsdelete.exe  (File found, but it contains no detailed information)

[Common]
-----( %SystemRoot%\Tasks )-----
"1-Click Maintenance.job" - "TuneUp Software GmbH" - D:\Programme\TuneUp Utilities 2008\OneClick.exe
"1-Klick-Wartung.job" - ? - D:\Programme\TuneUp Utilities 2008\OneClickStarter.exe  (File found, but it contains no detailed information)

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"alsndmgr.cpl" - ? - C:\WINDOWS\system32\alsndmgr.cpl  (File signed by Microsoft | File found, but it contains no detailed information)
"CMDVDPak.cpl" - "Sonic Solutions" - C:\WINDOWS\system32\CMDVDPak.cpl
"ImageDrive.cpl" - "Nero AG" - C:\WINDOWS\system32\ImageDrive.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"ISUSPM.cpl" - "InstallShield Software Corporation" - C:\WINDOWS\system32\ISUSPM.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"mbllnk.cpl" - "AvantGo, Inc." - C:\WINDOWS\system32\mbllnk.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Adobe Version Cue CS3" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.cpl
"AntiVir PersonalEdition Classic Konfiguration" - ? - D:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"Avira AntiVir Professional " - "Avira GmbH" - D:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl
"NokiaConnectionManager" - "Nokia" - C:\PROGRA~1\Nokia\NOKIAP~1\CONNEC~1.CPL
"QuickTime" - "Apple Computer, Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - D:\Programme\Avira\AntiVir Workstation\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - D:\Programme\Avira\AntiVir Workstation\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"AVM FRITZ!web PPP over ISDN" (NETFRITZ) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS
"catchme" (catchme) - ? - C:\DOKUME~1\MP\LOKALE~1\Temp\catchme.sys  (File not found)
"cdudf_xp" (cdudf_xp) - "Sonic Solutions" - C:\WINDOWS\system32\drivers\cdudf_xp.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"drvmcdb" (drvmcdb) - "Sonic Solutions" - C:\WINDOWS\System32\drivers\drvmcdb.sys
"DSL-Manager Service" (TSMPacket) - ? - C:\WINDOWS\System32\DRIVERS\tsmpkt.sys  (File not found)
"dsltestSp5 NDIS Protocol Driver" (dsltestSp5) - ? - C:\WINDOWS\System32\Drivers\dsltestSp5.sys  (File not found)
"dvd_2K" (dvd_2K) - "Sonic Solutions" - C:\WINDOWS\system32\drivers\dvd_2K.sys
"ElbyCDFL" (ElbyCDFL) - "SlySoft, Inc." - C:\WINDOWS\System32\Drivers\ElbyCDFL.sys
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"GearAspiWDM" (GEARAspiWDM) - "GEAR Software Inc." - C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"imagedrv" (imagedrv) - "Ahead Software AG" - C:\WINDOWS\System32\Drivers\imagedrv.sys
"imagesrv" (imagesrv) - "Ahead Software AG" - C:\WINDOWS\System32\DRIVERS\imagesrv.sys
"kwlorfow" (kwlorfow) - ? - C:\DOKUME~1\MP\LOKALE~1\Temp\kwlorfow.sys  (Hidden registry entry, rootkit activity | File not found)
"Lbd" (Lbd) - "Lavasoft AB" - C:\WINDOWS\System32\DRIVERS\Lbd.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MIINPazX NDIS Protocol Driver" (MIINPazX) - "Deutsche Telekom AG, Marmiko IT-Solutions GmbH" - C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS
"mmc_2K" (mmc_2K) - "Sonic Solutions" - C:\WINDOWS\system32\drivers\mmc_2K.sys
"MTOnlPktAlyX NDIS Protocol Driver" (MTOnlPktAlyX) - "Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH" - D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS
"PCANDIS5" (PCANDIS5) - ? - C:\PROGRA~1\T-Online\DSL-MA~1\PCANDIS5.SYS  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PPDevice" (ppsio2) - ? - C:\WINDOWS\system32\drivers\ppsio2.sys
"PQNTDrv" (PQNTDrv) - ? - C:\WINDOWS\system32\drivers\PQNTDrv.sys  (File found, but it contains no detailed information)
"pwd_2k" (pwd_2k) - "Sonic Solutions" - C:\WINDOWS\system32\drivers\pwd_2k.sys
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"RxFilter" (RxFilter) - "Sonic Solutions" - C:\WINDOWS\System32\DRIVERS\RxFilter.sys
"ssmdrv" (ssmdrv) - "AVIRA GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - ? - d:\Programme\7-Zip\7-zip.dll
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - D:\Programme\Acrobat 8.0\Acrobat Elements\ContextMenu.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{92A94EB1-16E9-44D8-A98A-9C3CCE9B25E8} "FILEminimizer Shell Extension" - ? - d:\Programme\FILEminimizer Suite\FILEMShell.dll  (File found, but it contains no detailed information)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Computer, Inc." - D:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - D:\Programme\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} "Nokia Phone Browser" - "Nokia" - C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\OFFICE11\OLKFSTUB.DLL
{5E44E225-A408-11CF-B581-008029601108} "Roxio DragToDisc Shell Extension" - "Sonic Solutions" - D:\Programme\Roxio\WinOnCD 8\Drag to Disc\Shellex.dll
{0FB82570-BB2D-23D3-8D3B-AC2F34F1FA3C} "RXDCExtShlExt extension" - ? - D:\Programme\Roxio\WinOnCD 8\Virtual Drive\DC_ShellExt.dll  (File found, but it contains no detailed information)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - D:\Programme\Avira\AntiVir Workstation\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software GmbH" - D:\PROGRA~1\TUNEUP~3\SDShelEx-win32.dll
{44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software GmbH" - C:\WINDOWS\System32\uxtuneup.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - D:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)
{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - D:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - D:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - D:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - D:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
<binary data> "Yahoo! Toolbar mit Pop-Up-Blocker" - "Yahoo! Inc." - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab
{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab
{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab
{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{E601996F-E400-41CA-804B-CD6373A7EEE2} "ClsidExtension" - "kikin" - C:\Programme\kikin\ie_kikin.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
{517BDDE4-E3A7-4570-B21E-2B52B6139FC7} "Contribute Toolbar" - "Adobe Systems Incorporated." - D:\Programme\Adobe Contribute CS3\contributeieplugin.dll
<binary data> "Yahoo! Toolbar mit Pop-Up-Blocker" - "Yahoo! Inc." - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{AE7CD045-E861-484f-8273-0445EE161910} "Adobe PDF Conversion Toolbar Helper" - "Adobe Systems Incorporated" - D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{074C1DC5-9320-4A9A-947D-C042949C6216} "ContributeBHO Class" - "Adobe Systems Incorporated." - D:\Programme\Adobe Contribute CS3\contributeieplugin.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{E601996F-E400-41CA-804B-CD6373A7EEE2} "kikin Plugin" - "kikin" - C:\Programme\kikin\ie_kikin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\MP\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Getdo" - ? - rundll32.exe "C:\Dokumente und Einstellungen\MP\Anwendungsdaten\Adobe\Update\flacor.dat""  (File found, but it contains no detailed information)
"TomTomHOME.exe" - "TomTom" - "d:\Programme\TomTom HOME 2\TomTomHOMERunner.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Photo Downloader" - "Adobe Systems Incorporated" - "D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
"avgnt" - "Avira GmbH" - "D:\Programme\Avira\AntiVir Workstation\avgnt.exe" /min
"FinePrint Dispatcher v5" - "FinePrint Software, LLC" - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
"FLMOFFICE4DMOUSE" - ? - D:\Programme\Browser MOUSE\mouse32a.exe
"QuickTime Task" - "Apple Computer, Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll
"Canon BJNP Port" - "CANON INC." - C:\WINDOWS\system32\CNMNPPM.DLL
"FPR5:" - "FinePrint Software, LLC" - C:\WINDOWS\system32\fpmon5.dll
"FRITZ!fax Color Port Monitor" - "AVM Berlin GmbH" - C:\WINDOWS\system32\FritzColorPort.dll
"FRITZ!fax Port Monitor" - "AVM Berlin GmbH" - C:\WINDOWS\system32\FritzPort.dll
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##" (Bonjour Service) - "Apple Computer, Inc." - C:\Programme\Bonjour\mDNSResponder.exe
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"AAV UpdateService" (AAV UpdateService) - ? - D:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
"Adobe LM Service" (Adobe LM Service) - "Adobe Systems" - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
"Adobe Version Cue CS3 {de_DE} " (Adobe Version Cue CS3) - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Professional Guard" (AntiVirService) - "Avira GmbH" - D:\Programme\Avira\AntiVir Workstation\avguard.exe
"Avira AntiVir Professional MailGuard" (AntiVirMailService) - "Avira GmbH" - D:\Programme\Avira\AntiVir Workstation\avmailc.exe
"Avira AntiVir Professional MailGuard Hilfsdienst" (AVEService) - "Avira GmbH" - D:\Programme\Avira\AntiVir Workstation\avesvc.exe
"Avira AntiVir Professional Planer" (AntiVirScheduler) - "Avira GmbH" - D:\Programme\Avira\AntiVir Workstation\sched.exe
"Avira AntiVir Professional WebGuard" (antivirwebservice) - "Avira GmbH" - D:\Programme\Avira\AntiVir Workstation\AVWEBGRD.EXE
"AVM FRITZ!web Routing Service" (de_serv) - "AVM Berlin" - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
"iPodService" (iPodService) - "Apple Computer, Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Lavasoft Ad-Aware Service" (Lavasoft Ad-Aware Service) - "Lavasoft" - D:\Programme\Lavasoft\Ad-Aware\AAWService.exe
"LiveShare P2P Server" (RoxLiveShare) - "Sonic Solutions" - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
"NBService" (NBService) - "Nero AG" - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"PLFlash DeviceIoControl Service" (PLFlash DeviceIoControl Service) - "Prolific Technology Inc." - C:\WINDOWS\system32\IoctlSvc.exe
"Roxio Hard Drive Watcher" (RoxWatch) - "Sonic Solutions" - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
"RoxMediaDB" (RoxMediaDB) - "Sonic Solutions" - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
"RoxUpnpRenderer" (RoxUPnPRenderer) - "Sonic Solutions" - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
"RoxUpnpServer" (RoxUpnpServer) - "Sonic Solutions" - D:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe
"ServiceLayer" (ServiceLayer) - "Nokia" - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
"TomTomHOMEService" (TomTomHOMEService) - "TomTom" - d:\Programme\TomTom HOME 2\TomTomHOMEService.exe
"TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software GmbH" - C:\WINDOWS\System32\uxtuneup.dll
"TuneUp Drive Defrag-Dienst" (TuneUp.Defrag) - "TuneUp Software GmbH" - C:\WINDOWS\System32\TuneUpDefragService.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - ? - WgaLogon.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Computer, Inc." - C:\Programme\Bonjour\mdnsNSP.dll
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"AVSDA" - "Avira GmbH" - C:\WINDOWS\system32\avsda.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

cosinus · 16.06.2010, 13:51

Zitat:

"Getdo" - ? - rundll32.exe "C:\Dokumente und Einstellungen\MP\Anwendungsdaten\Adobe\Update\flacor.dat"" (File found, but it contains no detailed information)

Bitte mit OSAM deaktivieren und löschen (delete from storage)
Virenscanner und Windows-Firewall kannst wieder aktivieren.

Pauline · 17.06.2010, 06:03

Herzlichen Dank für die Anweisung:

File "flacor.dat" im Fenster von OSAM gefunden, "Turn on" / "Turn off" möglich aber "delete from storage" ist hellgrau und kann nicht ausgewählt werden....

Wo liegt das Problem, wie kann ichs lösen???

cosinus · 17.06.2010, 08:54

Dann lösch es so:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

files to delete:
C:\Dokumente und Einstellungen\MP\Anwendungsdaten\Adobe\Update\flacor.dat

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

Pauline · 20.06.2010, 06:49

Guten Morgen lieber Arne,

war drei Tage weg, bin nun wieder zurück und habe deine Anweisung ausgeführt!
Hier der LogFile von Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\MP\Anwendungsdaten\Adobe\Update\flacor.dat" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

und hier der Link dazu: hxxp://www.file-upload.net/download-2611462/backup.zip.html

Bei jedem Neustart kommt die Fehlermedlung: RUNDLL "Fehler beim Laden von C:\Dokumente und Einstellungen\MP\Anwendungsdaten\Adobe\Update\flacor.dat Das angegebene Modul wurde nicht gefunden."

Außerdem war beim ersten Neustart das Symbol von AntiVir in der Taskleiste nicht zu sehen, jetzt ist es wieder da...

Ganz, ganz lieben Dank für deine Hilfe. Sag mir bitte Bescheid, wenn ich die Datei auf www.file-upload.net/ wieder löschen kann.

Viele Grüße und einen schönen Sonntag

Pauline

P.S. Das Notebook meiner Tochter ist ab und zu mit meinem PC über Netzwerk verbunden (gewesen), was muss / kann ich tun um feststellen, dass dort nich auch was Böses drauf geraden ist???

cosinus · 20.06.2010, 15:15

Die Fehlermeldung erscheint, weil die Schädlingsdatei entfernt wurde, den zugehörigen Autostarteintrag dazu aber nicht. Kümmern wir uns später drum.
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Pauline · 20.06.2010, 21:58

Hier das Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4218

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.06.2010 22:57:28
mbam-log-2010-06-20 (22-57-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 734645
Laufzeit: 3 Stunde(n), 53 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\getdo (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
F:\System Volume Information\_restore{BE27EB5A-ED57-48C1-A4FB-AE5A45D73CAE}\RP772\A0482655.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{BE27EB5A-ED57-48C1-A4FB-AE5A45D73CAE}\RP772\A0482656.exe (Backdoor.IRCbot) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{BE27EB5A-ED57-48C1-A4FB-AE5A45D73CAE}\RP772\A0482658.exe (Trojan.Bancos) -> Quarantined and deleted successfully.

Pauline · 21.06.2010, 16:16

Nachstehend nun auch das Logfile von SuperAntiSpyware. Die Fehlermeldung: RUNDLL "Fehler beim Laden von C:\Dokumente und Einstellungen\MP\Anwendungsdaten\Adobe\Update\flacor.dat Das angegebene Modul wurde nicht gefunden." kommt jetzt übrigens beim Neustart nicht mehr!

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/21/2010 at 06:44 AM

Application Version : 4.39.1002

Core Rules Database Version : 5093
Trace Rules Database Version: 2905

Scan type : Complete Scan
Total Scan Time : 07:30:57

Memory items scanned : 501
Memory threats detected : 0
Registry items scanned : 9273
Registry threats detected : 0
File items scanned : 615756
File threats detected : 130

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\MP\Cookies\mp@ad2.clickhype[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ad.zanox[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@track.adform[3].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.glispa[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@collective-media[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@xiti[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.watchmygf[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@static.ads.crakmedia[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@apmebf[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@webmasterplan[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@track.adform[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@de.sitestat[3].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@advertiser.contextmatters[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.crakmedia[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.medienhaus[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@content.yieldmanager[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@statcounter[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.creative-serving[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@paypal.112.2o7[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@e-2dj6wmlokmajcco.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@adxpansion[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@fpsexgals[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@mediaplex[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.zeusclicks[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ad.adnet[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@eas.apm.emediate[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ad.adserver01[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@zanox[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@trafficholder[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@im.banner.t-online[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@atdmt[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@de.sitestat[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@adinterax[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@2o7[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@counter.live4members[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ww251.smartadserver[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@adtech[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@serving-sys[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.whaleads[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@rotator.adjuggler[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@tracking.mlsat02[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ihg.db.advertising[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@e-2dj6wnmikjdzkkq.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@rts.pgmediaserve[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@traffictrack[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@adbrite[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@de.sitestat[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ad.adition[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@stats.paypal[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@tradedoubler[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@doubleclick[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@revsci[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@fastclick[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@euros4click[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ad2.doublepimp[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@www.etracker[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@advertising[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@www.active-tracking[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@smartadserver[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@unitymedia[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.allvatar[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@content.yieldmanager[3].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@partypoker[1].txt
naiadsystems.com [ D:\060326PIII500\060326_C\WIN98\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\S526WG59 ]

Trojan.Agent/Gen-Krpytik
D:\060326PIII500\031211PIII500_D\EIGENE DATEIEN\_NNN_\2002_NNN_-PRäSENTATION\BILDER\_NNN_-INTERN\_NNN_BILDER_INTERN.EXE
D:\060326PIII500\031211PIII500_D\EIGENE DATEIEN\_NNN_\2002_NNN_-PRäSENTATION\BILDER\_GRUPPE 02-ALPENEXPRESS\_NNN_BILDER.EXE
D:\060326PIII500\031211PIII500_D\EIGENE DATEIEN\_NNN_\_NNN_ BEI RVS\2002GEWINNSPIEL-NEC\BIKER.EXE
D:\060326PIII500\060326_C\PROGRAMME\AGFEO\TKSOFT\CO32.DLL
D:\060326PIII500\060326_C\PROGRAMME\TELEKOM\TKSOFT\CO32.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\C4808XA2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\C4811XA2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\C7208XC2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\C8811XA2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\C9608XC2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\C9611XA2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\D4808XA2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\D4811XA2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\D7208XC2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\D8811XA2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\D9608XC2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\D9611XA2.DLL
D:\060326PIII500\060326_D\EIGENE DATEIEN\_NNN_\2002_NNN_-PRäSENTATION\BILDER\_NNN_-INTERN\_NNN_BILDER_INTERN.EXE
D:\060326PIII500\060326_D\EIGENE DATEIEN\_NNN_\2002_NNN_-PRäSENTATION\BILDER\_GRUPPE 02-ALPENEXPRESS\_NNN_BILDER.EXE
D:\PROGRAMME\AGFEO\TKREM\CO32.DLL
D:\PROGRAMME\AGFEO\TKSOFT\CO32.DLL
F:\SICHERUNGEN2\PIII500\060326_D\EIGENE DATEIEN\NNN\_NNN_ BEI RVS\2002GEWINNSPIEL-NEC\BIKER.EXE

Adware.Vundo/Variant-X32[Header]
D:\060326PIII500\060326_C\PROGRAMME\AGFEO\TKSOFT\TKMOD32.DLL
D:\060326PIII500\060326_C\PROGRAMME\AKADEMISCHE ARBEITSGEMEINSCHAFT\STEUERTIPPS PC 2000\DMQV32.DLL
D:\060326PIII500\060326_C\PROGRAMME\TELEKOM\TKSOFT\TKMOD32.DLL
D:\PROGRAMME\AGFEO\TKREM\TKMOD32.DLL
D:\PROGRAMME\AGFEO\TKSOFT\TKMOD32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\BCARDC32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\BCARDR32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\EVE32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FINGER32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\BCARD.DE\BCARDC32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\BCARD.DE\BCARDR32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\EVE.DE\EVE32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\FINGER.DE\FINGER32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\MAILMRGE.DE\MLMRGE32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\MULTIPOP.DE\MLTPOP32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\PH.DE\PH32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\TPHONE.DE\TPHONE32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\MLMRGE32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\MLTPOP32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\ORDER32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\PH32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\TPHONE32.DLL
F:\SICHERUNGEN2\050309NOTEBOOK-NNN-KPLT\PROGRAMME\AKADEMISCHE ARBEITSGEMEINSCHAFT\STEUERTIPPS PC 2001\DMQV32.DLL

Trojan.Unclassified-Packed/Suspicious
D:\060326PIII500\060326_C\PROGRAMME\FWIN32\FW32O2K.DLL

Adware.NetPumper
D:\060326PIII500\060326_C\PROGRAMME\NETPUMPER\NPNETPUMPER_APPLICATION.DLL

Trojan.Dropper/Gen
D:\060326PIII500\060326_C\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE
D:\060326PIII500\060326_D\ARB-DISK\KOPIE VON T-ONLINE40\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE
D:\060326PIII500\060326_D\ARB-DISK\KOPIE VON TONLINE40\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE
D:\060326PIII500\060326_D\ARB-DISK\T-ONLINE40\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE
D:\060326PIII500\060326_D\ARB-DISK\TONLINE40\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMM\T_ONLINE\DRELREST.EXE
F:\SICHERUNGEN2\ATHLON2400+\060325_F_HD200_PROGRAMME\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE

Trojan.Downloader-Gen/Loader
D:\060326PIII500\060326_C\TEMP\GTECH\ALLG\LOADER.EXE

Trojan.Agent/Gen-ImageDocFake
D:\060326PIII500\060326_D\2004-NEU\NNN.DOC
D:\080819NOTEBOOK_C2\LOSTFILE\DIR76\14365692,TID=I,WXH=600-450-I7VR23[1].JPG
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_D\EIGENE DATEIEN\NNN\99SCHULANFäNGER.DOC

Trojan.Agent/Gen-Koobface[Bonkers]
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\991226SICHERUNG G\PROGRAMME\ICONEDIT6\REGISTER.EXE

cosinus · 21.06.2010, 18:36

Also SUPERAntiSpyware hat da aber noch einiges gefunden!
Kannst Du die Dateien, die SUPERAntiSpyware anzeigt, zuordnen? zB diese hier:

D:\060326PIII500\060326_C\PROGRAMME\AGFEO\TKSOFT\TKMOD32.DLL
D:\060326PIII500\060326_C\PROGRAMME\AKADEMISCHE ARBEITSGEMEINSCHAFT\STEUERTIPPS PC 2000\DMQV32.DLL
D:\060326PIII500\060326_C\PROGRAMME\TELEKOM\TKSOFT\TKMOD32.DLL
D:\PROGRAMME\AGFEO\TKREM\TKMOD32.DLL
D:\PROGRAMME\AGFEO\TKSOFT\TKMOD32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\BCARDC32.DLL

Pauline · 21.06.2010, 21:48

Ja, sind teils Sicherungskopien / Backups von nem alten PC aus 2006, das Letzte mit ner Sicherung aus 1999...;-).

Von den Verzeichnissen her gehören die Dateien zur (Konfigurations-)Software der Telefonanlage, zum Progi für die Steuererklärung und nem alten Mailprogramm. Glaube nicht, dass das Schädlinge sind...

Bei den Dateien, die "Bilder" im Verzeichnisbaum haben, handelt es sich um selbstentpackende Archive mit Bildern... müssten aus 2002 sein...

Was soll ich nun als nächstes tun?

cosinus · 21.06.2010, 21:58

Dann entfern nur die Funde, die nicht in den Sicherungsordnern sind. Es sei denn Du brauchst garnix mehr davon, dann kann alles weg.

Zitat:

handelt es sich um selbstentpackende Archive mit Bildern... müssten aus 2002 sein.

*brr* wenn ich was von selbstentpackenden Bilderarchiven lese, klappen sich meine Fußnägel hoch

Bilder sind eine rel. ungefährliche Sache. Es macht keinen Sinn, diese in ein generell bedenkliches Format (exe) zu gießen, v.a. weil Bilder idR schon komprimiert sind (jpg, png) und man keinen Platzvorteil dadurch hat!!

Pauline · 22.06.2010, 08:56

Einen wunder schönen guten Morgen lieber Arne.

Vor 10 Jahren war es ja noch nicht selbstverständlich, dass jeder Archive entpacken konnte, da war das mit selbstentpackenden schon ne feine Sache... ausführen fertig...

Außerdem dienen Archive ja nicht nur der Kompression sondern auch um viele kleine Dateien in einer zur verpacken und bei Modemübertragung oder auf Disketten war frau ja froh für jedes verkleinerte Byte... heute würde man das natürlich keinesfalls mehr machen

SUPERAntiSpyware hat alle Funde in Quarantäne gepackt. Die Dateien, die ich für ungefährlich halte also wieder herstellen und den Rest Entfernen, richtig?

Dann versucht der Adobe Updater gerade den Acrobat 8 Professional auf Acrobat 8.1.4 (KB408682) zu aktualisieren und Adobe Flash Player ein Update auf 10.1 zu erstellen. Kann ich das bedenkenlos zulassen?

Wie gehts dann weiter?

Liebe Grüße

Pauline

cosinus · 22.06.2010, 09:27

Zitat:

Vor 10 Jahren war es ja noch nicht selbstverständlich, dass jeder Archive entpacken konnte, da war das mit selbstentpackenden schon ne feine Sache... ausführen fertig...

Naja, ausführen fertig und schwuppdiwupp kann die Kiste infiziert sein.

Packer waren schon immer recht verbreitet. WinZip hab ich damals als erstes benutzt (unter Windows um 1997 herum). Davor zu DOS-Zeiten schon hin und wieder das Kommandozeilentool ARJ benutzt.

Zitat:

Archive ja nicht nur der Kompression sondern auch um viele kleine Dateien in einer zur verpacken und bei Modemübertragung oder auf Disketten war frau ja froh für jedes verkleinerte Byte

Dann müssen das aber wirklich kleine Bilder gewesen sein, denn erst bei vielen vielen winzigen Dateien lohnt sich ein Zusammenfassen in eine ZIP-Containerdatei. Und Grafikkformate lassen sich üblicherweise schlecht zippen, d.h. die Platzersparnis durch das verlustfreie Komprimieren mit zip geht gegen Null.

Zitat:

die ich für ungefährlich halte also wieder herstellen und den Rest Entfernen, richtig?

Ja, wenn das Deine Sicherungen sind? Es sei denn Du brauchst sie nicht mehr.

Zitat:

Kann ich das bedenkenlos zulassen?

Ja, Updates sollte man immer regelmäßig einspielen. Hier nochmal mein Leitfaden/Standardtext dazu, Rechner ist doch wieder normal unauffällig?

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

15.06.2010, 15:06	#16
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc. Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus __________________ Logfiles bitte immer in CODE-Tags posten

Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc.

Log-Analyse und Auswertung: Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc.