Nach Trojanerbefall: Flicken oder neu aufsetzen

Bernd Brot · 14.07.2010, 17:18

Hallo

Am 12.7. hatte ich meinen ersten Trojaner AV Security Suite
Der wurde erfolgreich verbannt (rkill und malwarebytes)
Doch kam am 13.7. Win Antivir Pro direkt auf den Bildschirm
Malwarebytes = Keine Funde
Oberflächlich verbannt ?

Aussergewöhnliche Aktionen vor dem ersten Auftreten
Thunderbird Posteingänge poppen mehrfach auf

Passwordeingabe von Thunderbird poppt während des Schreibens in irgendwelchen Foren auf und übernimmt die aktuelle Eingabe im Passwordfeld.

Folgende aussergewöhnliche Aktionen seit 13.7.

Meldung bei Schliessen einer Word Datei
ohne Anwendung eines Makros
„Soll der aufgezeichnete Makro gespeichert werden „
Meine Aktion –> Nein

Automatisches Weiterleiten in Firefox hier z.B. Google (Fake?) oder Allgive
hxxp://bulkputty.org/key/?qs=9cfa3ac44d4e319b3bc395394f39d00b1937c948eff08db07fdd4f166fbc2dae2ffa7edacf832934a40895a6b5761e89&t=allgive+virus

Funde bei Antivir

In der Datei 'C:\System Volume Information\_restore{FA5E33A5-CBAE-4DD3-AA00-6DCEFC00F470}\RP256\A0114153.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\phud1f8u.default\Cache\C51FEC09d01'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z97DW9V4\n002102304801r0007J11000601R43329fdcW9ff727c8Xa8b15e54Ye48b3bdfZ03006f360[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Fake.SecSui.O' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RZ00HUDF\n002102304801r0007J11000601R43329fdcW9ff727c8Xa8b15e54Ye48b3bdfZ03006f361[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.TDss.dae' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Bei Aufruf des Malwarebytes' Anti-Malware 1.46
Kommt Meldung: Wird bereits ausgeführt
- > Exe umbenannt

Kein Fund bei
Malwarebyte

Wenn ich mir die z.T doch sehr zeitaufwändigen Aktionen meiner Mitbetroffenen so anschaue, stellt sich mir die Frage, ob nicht doch ein Neuaufsetzen weniger zeitintensiv wäre.

Wie stehen denn die Chancen durch eine Neuinstallation von WIN XP
die Quälgeister loszuwerden.
Ich habe allerdings noch eine Datensicherung nach Auftreten des Befalls
auf eine externe Festplatte gemacht.
D.h. es stellt sich die zusätzliche Frage, wie bekomme ich die virenfrei,
wobei der scan keinen Befall angezeigt hatte.

Wäre schön, wenn es hierfür eine Lösung geben würde.

VG

Bernd

cosinus · 14.07.2010, 19:36

Hallo,

poste trotzdem mal bitte das Malwarebytes Logfile.
Danach auch bitte OTL ausführen:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Bernd Brot · 15.07.2010, 05:39

Hier das neueste malwarebyte logfile

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4311

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

15.07.2010 06:31:06
mbam-log-2010-07-15 (06-31-06).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 120864
Laufzeit: 3 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Die beiden letzten mit Funden
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4310

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

14.07.2010 05:33:38
mbam-log-2010-07-14 (05-33-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|L:\|)
Durchsuchte Objekte: 377575
Laufzeit: 2 Stunde(n), 21 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RZ00HUDF\n002102304801r0007J11000601R43329fdcW9ff727c8Xa8b15e54Ye48b3bdfZ03006f361[1] (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z97DW9V4\n002102304801r0007J11000601R43329fdcW9ff727c8Xa8b15e54Ye48b3bdfZ03006f360[1] (Trojan.Downloader) -> Quarantined and deleted successfully.

Datenbank Version: 4308

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

13.07.2010 10:19:08
mbam-log-2010-07-13 (10-19-08).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 120943
Laufzeit: 4 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cbnswvvh (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cbnswvvh (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\oevohbfbg\dqkyqcxtssd.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\1C9.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\ruWN.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Bernd Brot · 15.07.2010, 07:09

Es gibt Probleme mit OTL

Er scannt bis
HKEY_URRENT_USER\Internet Explorer Settings

danach kommt die Meldung "Keine Rückmeldung"

Gruß
Bernd

cosinus · 15.07.2010, 09:55

Dann sag mal bei OTL unter Standard- und Extra Registrierung "Aus" und versuch es nochmal.

Bernd Brot · 15.07.2010, 10:39

Hmm
bis jetzt kam nur Run 1

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 15.07.2010 11:18:45 - Run 1
OTL by OldTimer - Version 3.2.9.0     Folder = C:\Dokumente und Einstellungen\***\Desktop\Rettung
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 87,00% Memory free
5,00 Gb Paging File | 5,00 Gb Available in Paging File | 93,00% Paging File free
Paging file location(s): c:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97,65 Gb Total Space | 46,79 Gb Free Space | 47,92% Space Free | Partition Type: NTFS
Drive D: | 195,31 Gb Total Space | 7,17 Gb Free Space | 3,67% Space Free | Partition Type: NTFS
Drive E: | 172,79 Gb Total Space | 30,66 Gb Free Space | 17,74% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ***-X82AV5ZSOK
Current *** Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current ***
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Desktop\Rettung\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\***\Desktop\Rettung\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (SetupNTGLM7X) -- F:\NTGLM7X.sys File not found
DRV - (NTACCESS) -- F:\NTACCESS.sys File not found
DRV - (GMSIPCI) -- F:\INSTALL\GMSIPCI.SYS File not found
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (AtiHdmiService) -- C:\WINDOWS\system32\drivers\AtiHdmi.sys (ATI Research Inc.)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (amdide) -- C:\WINDOWS\system32\DRIVERS\amdide.sys (Advanced Micro Devices)
DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)
 
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.14 06:24:38 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010.07.14 06:24:37 | 000,000,000 | ---D | C] -- C:\rsit
[2010.07.14 06:01:34 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2010.07.14 05:54:40 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.07.13 13:10:32 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.07.12 22:58:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Rettung
[2010.07.12 12:09:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
[2010.07.12 12:09:21 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.07.12 12:09:20 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.07.12 12:09:20 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.07.12 12:09:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All ***s\Anwendungsdaten\Malwarebytes
[2010.07.12 12:07:27 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Programme\mbam-setup.exe
[2010.07.12 11:48:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Neuer Ordner
[2010.07.12 09:46:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\oevohbfbg
[2010.07.08 12:06:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\COMPUTERBILD-Abzockschutz
[2010.07.01 15:10:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\EMQI Selbständigkeit
[2010.06.28 22:32:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Homepage
[2010.06.28 07:33:32 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2010.06.28 07:33:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All ***s\Anwendungsdaten\Apple Computer
[2010.06.24 05:38:38 | 000,000,000 | ---D | C] -- C:\Programme\COMPUTERBILD-Abzockschutz
[2010.06.18 23:36:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Hexenküche 20100618
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.15 11:18:32 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2010.07.15 11:13:02 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.07.15 11:13:01 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.07.15 11:13:00 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.15 11:12:59 | 000,060,256 | ---- | M] () -- C:\WINDOWS\System32\ativvaxx.cap
[2010.07.15 08:34:02 | 011,796,480 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NT***.DAT
[2010.07.15 08:34:02 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\nt***.ini
[2010.07.15 07:52:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.07.14 17:55:16 | 000,068,608 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Strategie EMQI Living-Pics.xls
[2010.07.14 12:25:36 | 000,089,088 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Virenattacke Trojaner seit 12.07.2010 Trojanerboard.doc
[2010.07.14 06:43:25 | 000,013,724 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.14 06:04:54 | 000,000,360 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100714_060444.reg
[2010.07.14 06:04:16 | 000,046,548 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100714_060337.reg
[2010.07.14 05:54:41 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\CCleaner.lnk
[2010.07.13 20:07:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.07.12 20:38:48 | 000,000,647 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung (3) mit 20100412 Strassen.lnk
[2010.07.12 20:38:47 | 000,000,647 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung (2) mit 20100412 Strassen.lnk
[2010.07.12 20:38:45 | 000,000,647 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung mit 20100412 Strassen.lnk
[2010.07.12 11:40:28 | 006,153,648 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Programme\mbam-setup.exe
[2010.07.12 06:54:47 | 000,349,092 | ---- | M] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel
[2010.07.08 19:13:39 | 000,246,769 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\handyformular.pdf
[2010.07.08 14:11:50 | 000,015,360 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Anlage 2010.xls
[2010.07.08 13:30:34 | 000,926,640 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\DSC_1182 Neckartenzlingen Bananenstaude.JPG
[2010.07.07 14:35:41 | 000,096,256 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Telefonliste.xls
[2010.07.06 22:05:06 | 000,952,782 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\DSC_1176 Neckartenzlingen Bananenstaude.JPG
[2010.07.05 12:32:50 | 000,023,040 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Rennrad Transalp Neckartenzlingen 20100704.doc
[2010.07.02 00:46:06 | 000,019,456 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Henirich VII, Rebell in Samt und Seide.doc
[2010.07.01 15:05:41 | 000,013,824 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Businessplan.xls
[2010.06.28 07:33:48 | 000,001,584 | ---- | M] () -- C:\Dokumente und Einstellungen\All ***s\Desktop\QuickTime Player.lnk
[2010.06.27 07:54:03 | 000,018,800 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.06.27 07:53:47 | 000,118,152 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.06.23 09:12:08 | 000,997,150 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.06.23 09:12:08 | 000,448,800 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.06.23 09:12:08 | 000,432,492 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.06.23 09:12:08 | 000,080,108 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.06.23 09:12:08 | 000,067,448 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.14 06:46:09 | 000,089,088 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Virenattacke Trojaner seit 12.07.2010 Trojanerboard.doc
[2010.07.14 06:04:47 | 000,000,360 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100714_060444.reg
[2010.07.14 06:03:44 | 000,046,548 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100714_060337.reg
[2010.07.14 05:54:41 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\CCleaner.lnk
[2010.07.12 20:38:48 | 000,000,647 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung (3) mit 20100412 Strassen.lnk
[2010.07.12 20:38:47 | 000,000,647 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung (2) mit 20100412 Strassen.lnk
[2010.07.12 20:38:45 | 000,000,647 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung mit 20100412 Strassen.lnk
[2010.07.12 06:54:47 | 000,349,092 | ---- | C] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel
[2010.07.08 19:13:39 | 000,246,769 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\handyformular.pdf
[2010.07.08 13:39:44 | 000,952,782 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\DSC_1176 Neckartenzlingen Bananenstaude.JPG
[2010.07.08 13:39:44 | 000,926,640 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\DSC_1182 Neckartenzlingen Bananenstaude.JPG
[2010.07.04 15:11:10 | 000,023,040 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Rennrad Transalp Neckartenzlingen 20100704.doc
[2010.07.01 23:07:25 | 000,019,456 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Henirich VII, Rebell in Samt und Seide.doc
[2010.07.01 14:51:54 | 000,013,824 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Businessplan.xls
[2010.06.28 07:33:48 | 000,001,584 | ---- | C] () -- C:\Dokumente und Einstellungen\All ***s\Desktop\QuickTime Player.lnk
[2010.05.17 12:46:52 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\Gif89.dll
[2009.10.22 12:28:56 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
 
========== LOP Check ==========
 
[2009.11.01 14:36:22 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All ***s\Anwendungsdaten\CanonBJ
[2010.07.12 09:56:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\COMPUTERBILD-Abzockschutz
[2009.11.06 00:46:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Exif Viewer
[2010.03.10 14:30:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Facebook
[2010.07.11 17:36:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0
[2009.12.26 10:43:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\inkscape
[2010.01.06 14:52:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PhotoFiltre
[2009.10.21 15:16:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Pixmantec
[2009.10.19 17:59:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird
[2010.07.15 11:18:32 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job
 
========== Purity Check ==========
 
 
< End of report >

--- --- ---

Bernd Brot · 15.07.2010, 10:50

Hab es nochmals laufen lassen
Ist dass dann Run 2 oder sollte der mit dem ersten Abruf mit dabei sein ?
Wenn ja, war er nicht dabei ??
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 15.07.2010 11:41:07 - Run 2
OTL by OldTimer - Version 3.2.9.0     Folder = C:\Dokumente und Einstellungen\***\Desktop\Rettung
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 84,00% Memory free
5,00 Gb Paging File | 5,00 Gb Available in Paging File | 91,00% Paging File free
Paging file location(s): c:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97,65 Gb Total Space | 46,79 Gb Free Space | 47,92% Space Free | Partition Type: NTFS
Drive D: | 195,31 Gb Total Space | 7,17 Gb Free Space | 3,67% Space Free | Partition Type: NTFS
Drive E: | 172,79 Gb Total Space | 30,66 Gb Free Space | 17,74% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ***-X82AV5ZSOK
Current *** Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current ***
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Desktop\Rettung\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\***\Desktop\Rettung\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (SetupNTGLM7X) -- F:\NTGLM7X.sys File not found
DRV - (NTACCESS) -- F:\NTACCESS.sys File not found
DRV - (GMSIPCI) -- F:\INSTALL\GMSIPCI.SYS File not found
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (AtiHdmiService) -- C:\WINDOWS\system32\drivers\AtiHdmi.sys (ATI Research Inc.)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (amdide) -- C:\WINDOWS\system32\DRIVERS\amdide.sys (Advanced Micro Devices)
DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)
 
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.14 06:24:38 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010.07.14 06:24:37 | 000,000,000 | ---D | C] -- C:\rsit
[2010.07.14 06:01:34 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2010.07.14 05:54:40 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.07.13 13:10:32 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.07.12 22:58:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Rettung
[2010.07.12 12:09:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
[2010.07.12 12:09:21 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.07.12 12:09:20 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.07.12 12:09:20 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.07.12 12:09:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All ***s\Anwendungsdaten\Malwarebytes
[2010.07.12 12:07:27 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Programme\mbam-setup.exe
[2010.07.12 11:48:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Neuer Ordner
[2010.07.12 09:46:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\oevohbfbg
[2010.07.08 12:06:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\COMPUTERBILD-Abzockschutz
[2010.07.01 15:10:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\EMQI Selbständigkeit
[2010.06.28 22:32:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Homepage
[2010.06.28 07:33:32 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2010.06.28 07:33:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All ***s\Anwendungsdaten\Apple Computer
[2010.06.24 05:38:38 | 000,000,000 | ---D | C] -- C:\Programme\COMPUTERBILD-Abzockschutz
[2010.06.18 23:36:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Hexenküche 20100618
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.15 11:37:11 | 000,049,664 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\OTL logfile 15.07.2010 1doc.doc
[2010.07.15 11:18:32 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2010.07.15 11:13:02 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.07.15 11:13:01 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.07.15 11:13:00 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.15 11:12:59 | 000,060,256 | ---- | M] () -- C:\WINDOWS\System32\ativvaxx.cap
[2010.07.15 08:34:02 | 011,796,480 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NT***.DAT
[2010.07.15 08:34:02 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\nt***.ini
[2010.07.15 07:52:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.07.14 17:55:16 | 000,068,608 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Strategie EMQI Living-Pics.xls
[2010.07.14 12:25:36 | 000,089,088 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Virenattacke Trojaner seit 12.07.2010 Trojanerboard.doc
[2010.07.14 06:43:25 | 000,013,724 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.14 06:04:54 | 000,000,360 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100714_060444.reg
[2010.07.14 06:04:16 | 000,046,548 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100714_060337.reg
[2010.07.14 05:54:41 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\CCleaner.lnk
[2010.07.13 20:07:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.07.12 20:38:48 | 000,000,647 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung (3) mit 20100412 Strassen.lnk
[2010.07.12 20:38:47 | 000,000,647 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung (2) mit 20100412 Strassen.lnk
[2010.07.12 20:38:45 | 000,000,647 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung mit 20100412 Strassen.lnk
[2010.07.12 11:40:28 | 006,153,648 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Programme\mbam-setup.exe
[2010.07.12 06:54:47 | 000,349,092 | ---- | M] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel
[2010.07.08 19:13:39 | 000,246,769 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\handyformular.pdf
[2010.07.08 14:11:50 | 000,015,360 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Anlage 2010.xls
[2010.07.08 13:30:34 | 000,926,640 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\DSC_1182 Neckartenzlingen Bananenstaude.JPG
[2010.07.07 14:35:41 | 000,096,256 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Telefonliste.xls
[2010.07.06 22:05:06 | 000,952,782 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\DSC_1176 Neckartenzlingen Bananenstaude.JPG
[2010.07.05 12:32:50 | 000,023,040 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Rennrad Transalp Neckartenzlingen 20100704.doc
[2010.07.02 00:46:06 | 000,019,456 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Henirich VII, Rebell in Samt und Seide.doc
[2010.07.01 15:05:41 | 000,013,824 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Businessplan.xls
[2010.06.28 07:33:48 | 000,001,584 | ---- | M] () -- C:\Dokumente und Einstellungen\All ***s\Desktop\QuickTime Player.lnk
[2010.06.27 07:54:03 | 000,018,800 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.06.27 07:53:47 | 000,118,152 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.06.23 09:12:08 | 000,997,150 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.06.23 09:12:08 | 000,448,800 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.06.23 09:12:08 | 000,432,492 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.06.23 09:12:08 | 000,080,108 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.06.23 09:12:08 | 000,067,448 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.15 11:37:11 | 000,049,664 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\OTL logfile 15.07.2010 1doc.doc
[2010.07.14 06:46:09 | 000,089,088 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Virenattacke Trojaner seit 12.07.2010 Trojanerboard.doc
[2010.07.14 06:04:47 | 000,000,360 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100714_060444.reg
[2010.07.14 06:03:44 | 000,046,548 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100714_060337.reg
[2010.07.14 05:54:41 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\CCleaner.lnk
[2010.07.12 20:38:48 | 000,000,647 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung (3) mit 20100412 Strassen.lnk
[2010.07.12 20:38:47 | 000,000,647 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung (2) mit 20100412 Strassen.lnk
[2010.07.12 20:38:45 | 000,000,647 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung mit 20100412 Strassen.lnk
[2010.07.12 06:54:47 | 000,349,092 | ---- | C] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel
[2010.07.08 19:13:39 | 000,246,769 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\handyformular.pdf
[2010.07.08 13:39:44 | 000,952,782 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\DSC_1176 Neckartenzlingen Bananenstaude.JPG
[2010.07.08 13:39:44 | 000,926,640 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\DSC_1182 Neckartenzlingen Bananenstaude.JPG
[2010.07.04 15:11:10 | 000,023,040 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Rennrad Transalp Neckartenzlingen 20100704.doc
[2010.07.01 23:07:25 | 000,019,456 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Henirich VII, Rebell in Samt und Seide.doc
[2010.07.01 14:51:54 | 000,013,824 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Businessplan.xls
[2010.06.28 07:33:48 | 000,001,584 | ---- | C] () -- C:\Dokumente und Einstellungen\All ***s\Desktop\QuickTime Player.lnk
[2010.05.17 12:46:52 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\Gif89.dll
[2009.10.22 12:28:56 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
 
========== LOP Check ==========
 
[2009.11.01 14:36:22 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All ***s\Anwendungsdaten\CanonBJ
[2010.07.12 09:56:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\COMPUTERBILD-Abzockschutz
[2009.11.06 00:46:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Exif Viewer
[2010.03.10 14:30:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Facebook
[2010.07.11 17:36:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0
[2009.12.26 10:43:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\inkscape
[2010.01.06 14:52:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PhotoFiltre
[2009.10.21 15:16:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Pixmantec
[2009.10.19 17:59:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird
[2010.07.15 11:18:32 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job
 
========== Purity Check ==========
 
 
< End of report >

--- --- ---

cosinus · 15.07.2010, 11:45

So seh ich leider zu wenig, da müssen härtere Tool ran

Bitte CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Bernd Brot · 15.07.2010, 14:25

Beim erneuten Hochfahren von WIN XP während des Ablaufes
musste ich mit der Maus die AVIR Virusmeldung wegklicken,
Hoffe, dass das keinen Einfluss auf die Auswertung hat ;-)

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-07-14.02 - user 15.07.2010  15:12:46.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2887 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\user\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

Infizierte Kopie von c:\windows\system32\drivers\ssmdrv.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2010-06-15 bis 2010-07-15  ))))))))))))))))))))))))))))))
.

2010-07-14 04:24 . 2010-07-14 04:24	--------	d-----w-	c:\programme\trend micro
2010-07-14 04:24 . 2010-07-14 04:24	--------	d-----w-	C:\rsit
2010-07-14 03:54 . 2010-07-15 12:46	--------	d-----w-	c:\programme\CCleaner
2010-07-12 10:09 . 2010-07-12 10:09	--------	d-----w-	c:\dokumente und einstellungen\user\Anwendungsdaten\Malwarebytes
2010-07-12 10:09 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-12 10:09 . 2010-07-14 05:45	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-12 10:09 . 2010-07-12 10:09	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-12 10:09 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-12 10:07 . 2010-07-12 09:40	6153648	----a-w-	c:\programme\mbam-setup.exe
2010-07-12 08:29 . 2010-07-12 08:29	--------	d-s---w-	c:\dokumente und einstellungen\NetworkService\UserData
2010-07-12 07:46 . 2010-07-13 08:19	--------	d-----w-	c:\dokumente und einstellungen\user\Lokale Einstellungen\Anwendungsdaten\oevohbfbg
2010-07-08 10:06 . 2010-07-12 07:56	--------	d-----w-	c:\dokumente und einstellungen\user\Anwendungsdaten\COMPUTERBILD-Abzockschutz
2010-06-28 05:33 . 2010-06-28 05:33	--------	d-----w-	c:\programme\QuickTime
2010-06-28 05:33 . 2010-06-28 05:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-06-24 03:38 . 2010-06-24 03:38	--------	d-----w-	c:\programme\COMPUTERBILD-Abzockschutz

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-15 10:01 . 2009-10-19 15:59	--------	d-----w-	c:\programme\Mozilla Thunderbird
2010-07-11 15:36 . 2009-10-21 17:41	--------	d-----w-	c:\dokumente und einstellungen\user\Anwendungsdaten\gtk-2.0
2010-06-27 05:54 . 2009-10-19 15:40	18800	----a-w-	c:\dokumente und einstellungen\user\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-06-23 07:12 . 2003-04-02 12:00	80108	----a-w-	c:\windows\system32\perfc007.dat
2010-06-23 07:12 . 2003-04-02 12:00	448800	----a-w-	c:\windows\system32\perfh007.dat
2010-06-08 05:10 . 2010-06-08 05:10	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2010-06-01 20:57 . 2010-06-01 20:40	--------	d-----w-	c:\dokumente und einstellungen\user\Anwendungsdaten\Nero
2010-06-01 20:37 . 2010-06-01 20:34	--------	d-----w-	c:\programme\Gemeinsame Dateien\Nero
2010-06-01 20:36 . 2010-06-01 20:34	--------	d-----w-	c:\programme\Nero
2010-06-01 20:35 . 2010-06-01 20:34	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2010-05-18 08:53 . 2010-05-18 08:53	--------	d-----w-	c:\programme\MSXML 4.0
2010-05-17 10:46 . 2010-05-17 10:46	--------	d-----w-	c:\programme\Convar
2010-05-17 10:46 . 2009-10-19 14:13	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-05-02 08:05 . 2008-04-14 12:00	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-20 05:29 . 2008-04-14 12:00	285696	----a-w-	c:\windows\system32\atmfd.dll
2010-04-16 16:06 . 2008-04-14 12:00	672768	----a-w-	c:\windows\system32\wininet.dll
2010-04-16 16:06 . 2008-04-14 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-22 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-09 18063872]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-11-21 149280]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-17 421888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.10.2009 21:26 108289]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [13.04.2010 18:37 135664]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\f:\ntglm7x.sys --> f:\NTGLM7X.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2010-07-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-07-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-13 16:37]

2010-07-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-13 16:37]

2010-07-15 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-10-23 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyServer = http=127.0.0.1:5577
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
FF - ProfilePath - c:\dokumente und einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\phud1f8u.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://searchservice.myspace.com/index.cfm?fuseaction=sitesearch.results&type=Web&orig=IMC-FF&qry=
FF - plugin: c:\dokumente und einstellungen\user\Anwendungsdaten\Facebook\npfbplugin_1_0_0.dll
FF - plugin: c:\dokumente und einstellungen\user\Anwendungsdaten\Facebook\npfbplugin_1_0_3.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
 FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-15 15:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(728)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-07-15  15:16:42
ComboFix-quarantined-files.txt  2010-07-15 13:16

Vor Suchlauf: 6 Verzeichnis(se), 50.239.127.552 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 52.339.224.576 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 44C806E96CBBAA96695437E93487B5C9

--- --- ---

cosinus · 15.07.2010, 15:31

Zitat:

musste ich mit der Maus die AVIR Virusmeldung wegklicken,

Welche meldung genau?

Bernd Brot · 15.07.2010, 15:36

In der Datei 'C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\ssmdrv.sys.vir'
wurde ein Virus oder unerwünschtes Programm 'TR/Patched.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Qoobox\32788R22FWJFW\ssmdrv.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Patched.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Bernd Brot · 15.07.2010, 15:43

Noch eine kleine Zwischenfrage und ein Zwischenlob für die zügige Verarbeitung

Was mach ich denn jetzt mit meiner externen Festplatte, die hatte ich vorsorglich mal abgeklemmt.
Müssen die ganzen Prozeduren bei der dann auch durchgeführt werden ?
.........

vg
Bernd

cosinus · 15.07.2010, 15:51

Erstmal: Die Funde sind ok und folgerichtig, denn CF hat die schädlichen Dateien in seinen eigenen Backup-Ordner verschoben, da sind die hamrlos und können keinen Schaden mehr anrichten.

Zitat:

Müssen die ganzen Prozeduren bei der dann auch durchgeführt werden ?

Am besten Autorun/Autoplay auf allen Laufwerken deaktivieren (siehe unten), dann kannste gefahrlos alle USB-Sticks und -Platten anstecken. Anschließend diese Laufwerke mit dem FlashDisinfector "impfen"

Autostart auf allen Laufwerken deaktivieren
Ich empfehle, den Autostart grundsätzlich zu deaktivieren. Falls Du einen verseuchten Stick dransteckst und der Virenscanner erkennt das nicht hast Du den Salat.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist der Autostart auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Bernd Brot · 15.07.2010, 15:58

Soll das heissen, dass ich jetzt auch wieder gefahrlos (bis zum nächsten Angriff ;-))
online banken kann ?
OHNE NEUAUFSATZ des Systems ?
Das wär's

vg
Bernd

Bernd Brot · 15.07.2010, 16:57

Beim Starten des FlashDisinfector
bekam ich diese Meldung von Antivir

In der Datei 'C:\Dokumente und Einstellungen\user\Lokale Einstellungen\temp\nircmd.exe'
wurde ein Virus oder unerwünschtes Programm 'APPL/NirCmd.2' [program] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Ist das im Zusammenhang zu sehen ?

vg
Bernd

15.07.2010, 09:55	#5
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Nach Trojanerbefall: Flicken oder neu aufsetzen Dann sag mal bei OTL unter Standard- und Extra Registrierung "Aus" und versuch es nochmal. __________________ Logfiles bitte immer in CODE-Tags posten

Nach Trojanerbefall: Flicken oder neu aufsetzen

Plagegeister aller Art und deren Bekämpfung: Nach Trojanerbefall: Flicken oder neu aufsetzen