Trojaner VB.AGJN in C:\aa.exe

honigbrot · 26.08.2010, 14:25

Hallo zusammen,

ich habe mir mit meinem alten Win2000-Rechner einen Trojaner eingefangen und bekomme diesen partout nicht mehr herunter.

Es handelt sich laut AVG (aktuelle Version) um den Trojaner VB.AGJN und dieser sitzt gerne mal in c:\aa.exe oder in c:\winnt\help\rundll32.exe.
Die Quarantänefunktion von AVG nützt leider nichts, da er immer wieder von Neuem auftaucht.

Über eure Hilfe wäre ich sehr dankbar, da mein Rechner auch immer langsamer zu werden scheint.

MFG
honigbrot

cosinus · 26.08.2010, 14:36

Hallo und

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lies die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

honigbrot · 26.08.2010, 15:19

Hallo Cosinus,

vielen Dank! Natürlich auch für deine rasante Antwort.

Hier die gewünschten Logfiles von Malwarebytes:

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4478

Windows 5.0.2195 Service Pack 4
Internet Explorer 6.0.2800.1106

26.08.2010 15:49:04
mbam-log-2010-08-26 (15-49-04).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 105715
Laufzeit: 14 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\aa.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINNT\Help\svchost32.exe (Trojan.Agent) -> Quarantined and deleted successfully.

und hier der von OTL

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 26.08.2010 15:58:03 - Run 2
OTL by OldTimer - Version 3.2.10.0     Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows 2000 Professional Edition Service Pack 4 (Version = 5.0.2195) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2800.1106)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
255,00 Mb Total Physical Memory | 112,00 Mb Available Physical Memory | 44,00% Memory free
617,00 Mb Paging File | 286,00 Mb Available in Paging File | 46,00% Paging File free
Paging file location(s): C:\pagefile.sys 384 768 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINNT | %ProgramFiles% = C:\Programme
Drive C: | 9,76 Gb Total Space | 4,45 Gb Free Space | 45,61% Space Free | Partition Type: FAT32
Drive D: | 28,56 Gb Total Space | 2,38 Gb Free Space | 8,32% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 7,45 Gb Total Space | 2,01 Gb Free Space | 27,00% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ***
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\AVG\AVG9\avgcsrvx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgrsx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgtray.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgchsvx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgnsx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgwdsvc.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
PRC - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Rainlendar\Rainlendar.exe (Rainy)
PRC - C:\WINNT\system32\mstask.exe (Microsoft Corporation)
PRC - C:\WINNT\explorer.exe (Microsoft Corporation)
PRC - C:\WINNT\system32\wbem\WinMgmt.exe (Microsoft Corporation)
PRC - C:\WINNT\system32\regsvc.exe (Microsoft Corporation)
PRC - C:\WINNT\system32\stisvc.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe (Nokia Mobile Phones)
PRC - C:\WINNT\system32\internat.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINNT\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINNT\system32\lz32.dll (Microsoft Corporation)
MOD - C:\WINNT\system32\indicdll.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (avg9wd) -- C:\Programme\AVG\AVG9\avgwdsvc.exe (AVG Technologies CZ, s.r.o.)
SRV - (Schedule) -- C:\WINNT\system32\mstask.exe (Microsoft Corporation)
SRV - (WinMgmt) -- C:\WINNT\system32\wbem\WinMgmt.exe (Microsoft Corporation)
SRV - (dmadmin) -- C:\WINNT\System32\dmadmin.exe (VERITAS Software Corp.)
SRV - (Fax) -- C:\WINNT\system32\FAXSVC.EXE (Microsoft Corporation)
SRV - (RemoteRegistry) -- C:\WINNT\system32\regsvc.exe (Microsoft Corporation)
SRV - (StiSvc) -- C:\WINNT\system32\stisvc.exe (Microsoft Corporation)
SRV - (UtilMan) -- C:\WINNT\system32\utilman.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (wanatw) WAN Miniport (ATW) -- C:\WINNT\System32\DRIVERS\wanatw4.sys File not found
DRV - (AvgTdiX) -- C:\WINNT\system32\drivers\avgtdix.sys (AVG Technologies CZ, s.r.o.)
DRV - (AvgLdx86) -- C:\WINNT\system32\drivers\avgldx86.sys (AVG Technologies CZ, s.r.o.)
DRV - (AvgMfx86) -- C:\WINNT\system32\drivers\avgmfx86.sys (AVG Technologies CZ, s.r.o.)
DRV - (Cdr4_2K) -- C:\WINNT\System32\drivers\cdr4_2K.sys (Roxio)
DRV - (Cdralw2k) -- C:\WINNT\System32\drivers\cdralw2k.sys (Roxio)
DRV - (MPE) -- C:\WINNT\system32\drivers\mpe.sys (Microsoft Corporation)
DRV - (ASCTRM) -- C:\WINNT\System32\drivers\asctrm.sys (Windows (R) 2000 DDK provider)
DRV - (dmboot) -- C:\WINNT\system32\drivers\dmboot.sys (VERITAS Software Corp.)
DRV - (dmio) -- C:\WINNT\System32\drivers\dmio.sys (VERITAS Software Corp.)
DRV - (Parallel) -- C:\WINNT\system32\drivers\parallel.sys (Microsoft Corporation)
DRV - (EFS) -- C:\WINNT\System32\drivers\efs.sys (Microsoft Corporation)
DRV - (openhci) -- C:\WINNT\system32\drivers\openhci.sys (Microsoft Corporation)
DRV - (gameenum) -- C:\WINNT\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (Diskperf) -- C:\WINNT\System32\drivers\diskperf.sys (Microsoft Corporation)
DRV - (dmload) -- C:\WINNT\System32\drivers\dmload.sys (VERITAS Software Corp.)
DRV - (SaiNtHid) -- C:\WINNT\system32\drivers\SaiNtHid.sys (Saitek)
DRV - (SaiNtSub) -- C:\WINNT\system32\drivers\SaiNtSub.sys (Saitek)
DRV - (nv4) -- C:\WINNT\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (SiS7012) Service for AC'97 Sample Driver (WDM) -- C:\WINNT\system32\drivers\sis7012.sys (Silicon Integrated Systems Corporation)
DRV - (Rksample) -- C:\WINNT\system32\drivers\rksample.sys (Conexant)
DRV - (basic2) -- C:\WINNT\system32\drivers\basic2.sys (Conexant)
DRV - (AmosNT) -- C:\WINNT\system32\drivers\Amosnt.sys (Conexant)
DRV - (winachsf) -- C:\WINNT\system32\drivers\winachsf.sys (Conexant)
DRV - (Fsks) -- C:\WINNT\system32\drivers\fsksnt.sys (Conexant)
DRV - (Fallback) -- C:\WINNT\system32\drivers\fallback.sys (Conexant)
DRV - (Tones) -- C:\WINNT\system32\drivers\tonesnt.sys (Conexant)
DRV - (V124) -- C:\WINNT\system32\drivers\v124nt.sys (Conexant)
DRV - (SoftFax) -- C:\WINNT\system32\drivers\faxnt.sys (Conexant Semiconductors systems)
DRV - (K56) -- C:\WINNT\system32\drivers\k56nt.sys (Conexant)
DRV - (RCA) Microsoft Streaming Network-RCA (Raw Channel Access) -- C:\WINNT\system32\drivers\rca.sys (Microsoft Corporation)
DRV - (NetDetect) -- C:\WINNT\system32\drivers\netdtect.sys (Microsoft Corporation)
DRV - (ms_mpu401) -- C:\WINNT\system32\drivers\msmpu401.sys (Microsoft Corporation)
DRV - (MODEMCSA) -- C:\WINNT\system32\drivers\MODEMCSA.sys (Microsoft Corporation)
DRV - (rtl8139) -- C:\WINNT\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation                                                )
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://192.168.1.1/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{3f963a5b-e555-4543-90e2-c3908898db71}: C:\Programme\AVG\AVG9\Firefox [2010.08.24 14:58:20 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2005.01.16 15:56:14 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2005.01.16 15:56:12 | 000,000,000 | ---D | M]
 
[2009.07.19 11:49:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2004.07.01 10:56:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\default.gw3\extensions
[2007.12.17 12:42:04 | 000,000,000 | ---D | M] (Gmail Notifier) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\default.gw3\extensions\{44d0a1b4-9c90-4f86-ac92-8680b5d6549e}
[2010.08.22 19:44:12 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\default.gw3\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2010.08.22 19:44:16 | 000,000,000 | ---D | M] (WOT) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\default.gw3\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
[2010.08.22 19:44:16 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\default.gw3\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2005.01.16 15:56:30 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.08.24 10:45:48 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.08.23 13:07:58 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.08.23 13:07:58 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.08.23 13:08:00 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.08.23 13:08:00 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.08.23 13:08:00 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([1999.12.10 12:00:00 | 000,000,820 | ---- | M]) - C:\WINNT\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll (AVG Technologies CZ, s.r.o.)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O3 - HKLM\..\Toolbar: (&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx (Microsoft Corporation)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AVG9_TRAY] C:\Programme\AVG\AVG9\avgtray.exe (AVG Technologies CZ, s.r.o.)
O4 - HKLM..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe (Nokia Mobile Phones)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [internat.exe] C:\WINNT\System32\internat.exe (Microsoft Corporation)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE (SEIKO EPSON CORPORATION)
O4 - Startup: C:\Dokumente und Einstellungen\Moll\Startmenü\Programme\Autostart\Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe (Rainy)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: CDRAutoRun = 0
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\Icq.exe ()
O9 - Extra 'Tools' menuitem : ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\Icq.exe ()
O9 - Extra Button: @shdoclc.dll,-866 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\Web\RELATED.HTM ()
O9 - Extra 'Tools' menuitem : @shdoclc.dll,-864 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\Web\RELATED.HTM ()
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000001 [] - C:\WINNT\system32\RNR20.DLL (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} hxxp://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab (EPUImageControl Class)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} hxxp://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe (Reg Error: Key error.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1261906142446 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab (EPSImageControl Class)
O16 - DPF: DirectAnimation Java Classes file://C:\WINNT\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINNT\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 91.89.91.89 91.89.89.94
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll (AVG Technologies CZ, s.r.o.)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\ole db\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\vnd.ms.radio {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINNT\system32\msdxm.ocx (Microsoft Corporation)
O18 - Protocol\Filter\application/octet-stream - No CLSID value found
O18 - Protocol\Filter\application/x-complus - No CLSID value found
O18 - Protocol\Filter\application/x-msdownload - No CLSID value found
O18 - Protocol\Filter\Class Install Handler - No CLSID value found
O18 - Protocol\Filter\deflate - No CLSID value found
O18 - Protocol\Filter\gzip - No CLSID value found
O18 - Protocol\Filter\lzdhtml - No CLSID value found
O18 - Protocol\Filter\text/webviewhtml - No CLSID value found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINNT\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\avgrsstarter: DllName - avgrsstx.dll - C:\WINNT\System32\avgrsstx.dll (AVG Technologies CZ, s.r.o.)
O20 - Winlogon\Notify\wzcnotif: DllName - wzcdlg.dll - C:\WINNT\System32\wzcdlg.dll (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Moll\Eigene Dateien\Eigene Bilder\Divers\Valérie et Jürgen\Valou au zoo.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2001.12.15 14:13:42 | 000,000,134 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.08.26 14:39:40 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.08.26 13:58:18 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.08.25 23:29:19 | 000,000,000 | ---D | C] -- C:\Avenger
[2010.08.25 23:03:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
[2010.08.25 23:03:30 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINNT\System32\drivers\mbamswissarmy.sys
[2010.08.25 23:03:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.08.25 23:03:27 | 000,019,288 | ---- | C] (Malwarebytes Corporation) -- C:\WINNT\System32\drivers\mbam.sys
[2010.08.25 23:03:26 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.08.24 16:10:26 | 000,108,336 | ---- | C] (Microsoft Corporation) -- C:\WINNT\System32\MSWINSCK.OCX
[2010.08.24 14:58:34 | 000,000,000 | -H-D | C] -- C:\$AVG
[2010.08.24 14:58:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg9
[2010.08.24 14:57:17 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.08.24 10:51:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.08.24 10:45:44 | 000,423,656 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINNT\System32\deployJava1.dll
[2010.08.24 10:45:44 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINNT\System32\javaws.exe
[2010.08.24 10:45:44 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINNT\System32\javaw.exe
[2010.08.24 10:45:44 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINNT\System32\java.exe
[2010.08.23 13:17:11 | 001,738,816 | ---- | C] (Microsoft Corporation) -- C:\WINNT\System32\dllcache\NTKRPAMP.EXE
[2010.08.23 13:17:11 | 001,717,504 | ---- | C] (Microsoft Corporation) -- C:\WINNT\System32\dllcache\NTKRNLMP.EXE
[3 C:\Dokumente und Einstellungen\***\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\***\Eigene Dateien\*.tmp -> ]
[2 C:\WINNT\*.tmp files -> C:\WINNT\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.08.26 15:57:44 | 005,578,752 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT
[2010.08.26 15:52:54 | 000,000,006 | -H-- | M] () -- C:\WINNT\tasks\SA.DAT
[2010.08.26 15:52:52 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_1fc.dat
[2010.08.26 14:39:46 | 000,000,457 | ---- | M] () -- C:\Dokumente und Einstellungen\Moll\Desktop\CCleaner.lnk
[2010.08.26 13:58:30 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.08.26 09:31:00 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_204.dat
[2010.08.25 23:03:36 | 000,000,457 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.08.24 16:10:32 | 000,108,336 | ---- | M] (Microsoft Corporation) -- C:\WINNT\System32\MSWINSCK.OCX
[2010.08.24 15:08:04 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_200.dat
[2010.08.24 14:58:28 | 000,243,024 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\WINNT\System32\drivers\avgtdix.sys
[2010.08.24 14:58:28 | 000,216,400 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\WINNT\System32\drivers\avgldx86.sys
[2010.08.24 14:58:28 | 000,012,536 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\WINNT\System32\avgrsstx.dll
[2010.08.24 14:58:28 | 000,001,248 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\AVG Free 9.0.lnk
[2010.08.24 14:58:26 | 000,029,584 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\WINNT\System32\drivers\avgmfx86.sys
[2010.08.24 10:45:48 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_65c.dat
[2010.08.23 13:43:06 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_2b8.dat
[2010.08.23 13:42:50 | 000,102,232 | ---- | M] () -- C:\WINNT\System32\FNTCACHE.DAT
[2010.08.23 12:57:16 | 000,000,343 | ---- | M] () -- C:\WINNT\wincmd.ini
[3 C:\Dokumente und Einstellungen\Moll\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\***\Eigene Dateien\*.tmp -> ]
[2 C:\WINNT\*.tmp files -> C:\WINNT\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.08.26 15:52:51 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_1fc.dat
[2010.08.26 14:39:45 | 000,000,457 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\CCleaner.lnk
[2010.08.26 09:30:58 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_204.dat
[2010.08.25 23:03:34 | 000,000,457 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.08.24 15:08:02 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_200.dat
[2010.08.24 14:58:26 | 000,001,248 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\AVG Free 9.0.lnk
[2010.08.24 10:45:46 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_65c.dat
[2010.08.23 13:43:04 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_2b8.dat
[2009.12.27 10:41:40 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007.12.19 12:49:56 | 000,116,224 | ---- | C] () -- C:\WINNT\System32\pdfcmnnt.dll
[2006.09.11 13:11:21 | 000,003,299 | ---- | C] () -- C:\WINNT\tm.ini
[2006.02.11 18:18:01 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2005.03.25 16:32:51 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005.01.24 20:19:34 | 000,354,816 | ---- | C] () -- C:\WINNT\System32\psisdecd.dll
[2005.01.16 19:54:53 | 000,000,192 | ---- | C] () -- C:\WINNT\winamp.ini
[2004.06.27 14:31:43 | 000,000,002 | ---- | C] () -- C:\WINNT\msoffice.ini
[2004.05.30 13:21:25 | 000,000,156 | ---- | C] () -- C:\WINNT\matlab.ini
[2004.03.06 12:59:21 | 000,000,000 | ---- | C] () -- C:\WINNT\OPPRIN~1.INI
[2003.10.06 22:46:45 | 000,000,343 | ---- | C] () -- C:\WINNT\wincmd.ini
[2003.04.06 16:57:29 | 000,106,496 | ---- | C] () -- C:\WINNT\System32\SaiCfg.dll
[2002.10.02 10:13:46 | 000,073,728 | ---- | C] () -- C:\WINNT\System32\XptHttp.dll
[2002.03.21 14:39:02 | 000,073,728 | ---- | C] () -- C:\WINNT\System32\UNACEV2.DLL
[2001.12.24 17:04:21 | 001,253,376 | ---- | C] () -- C:\WINNT\System32\elsagfx.dll
[2001.12.22 11:24:41 | 000,001,025 | ---- | C] () -- C:\WINNT\ODBC.INI
[2001.12.22 11:24:41 | 000,000,063 | ---- | C] () -- C:\WINNT\mdm.ini
[2001.12.22 11:24:36 | 000,000,000 | ---- | C] () -- C:\WINNT\NSREX.INI
[2001.12.22 11:02:39 | 000,303,354 | ---- | C] () -- C:\WINNT\System32\PerfStringBackup_001.INI
[2001.12.15 14:12:57 | 000,022,080 | -H-- | C] () -- C:\Programme\folder.htt
[1999.12.10 12:00:00 | 000,176,400 | ---- | C] () -- C:\WINNT\System32\qcut.dll
[1999.12.10 12:00:00 | 000,034,064 | ---- | C] () -- C:\WINNT\System32\efsadu.dll
[1999.12.10 12:00:00 | 000,014,413 | ---- | C] () -- C:\WINNT\System32\iasperf.ini
[1999.12.10 12:00:00 | 000,003,056 | ---- | C] () -- C:\WINNT\System32\faxperf.ini
[1999.12.10 12:00:00 | 000,000,023 | ---- | C] () -- C:\WINNT\welcome.ini
[1999.09.25 10:36:24 | 000,088,816 | ---- | C] () -- C:\WINNT\System32\drivers\lvcam.sys
[1999.09.25 10:36:22 | 000,017,424 | ---- | C] () -- C:\WINNT\System32\drivers\lvsound.sys
[1999.04.29 23:00:00 | 000,065,536 | ---- | C] () -- C:\WINNT\System32\MSRTEDIT.DLL
< End of report >

--- --- ---
komischerweise wurde mir hier nur ein Log erstellt.
Wo finde ich denn den zweiten?

Vielen Dank schonmal für die Auswertung.

MFG
honigbrot

cosinus · 26.08.2010, 19:26

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50318
O3 - HKLM\..\Toolbar: (no name) -  - No CLSID value found.
O33 - MountPoints2\{19bee6f5-5de4-11df-a8dc-001a8055c491}\Shell\AutoRun\command - "" = pccompanion\Startme.exe
O33 - MountPoints2\{19bee6f5-5de4-11df-a8dc-001a8055c491}\Shell\menu1\command - "" = pccompanion\Startme.exe
O33 - MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\Shell\AutoRun\command - "" = G:\Autorun.exe -- File not found
O33 - MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\Shell\Shell00\Command - "" = G:\Autorun.exe -- File not found
O33 - MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\Shell\Shell01\Command - "" = G:\Autorun.exe -- File not found
O33 - MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\Shell\Shell02\Command - "" = G:\Autorun.exe -- File not found
O33 - MountPoints2\{fbda370e-ea76-11de-98c9-f37ae88802b9}\Shell - "" = AutoRun
O33 - MountPoints2\{fbda370e-ea76-11de-98c9-f37ae88802b9}\Shell\AutoRun\command - "" = H:\Startme.exe -- File not found
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\Autorun.exe -- File not found
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

honigbrot · 26.08.2010, 21:37

Guten Abend,

ich habe die obige Anweisung befolgt und erhielt folgenden log:

Zitat:

All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{19bee6f5-5de4-11df-a8dc-001a8055c491}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{19bee6f5-5de4-11df-a8dc-001a8055c491}\ not found.
File pccompanion\Startme.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{19bee6f5-5de4-11df-a8dc-001a8055c491}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{19bee6f5-5de4-11df-a8dc-001a8055c491}\ not found.
File pccompanion\Startme.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38983926-0f3c-11de-90f1-806e6f6e6963}\ not found.
File G:\Autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38983926-0f3c-11de-90f1-806e6f6e6963}\ not found.
File G:\Autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38983926-0f3c-11de-90f1-806e6f6e6963}\ not found.
File G:\Autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38983926-0f3c-11de-90f1-806e6f6e6963}\ not found.
File G:\Autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fbda370e-ea76-11de-98c9-f37ae88802b9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fbda370e-ea76-11de-98c9-f37ae88802b9}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fbda370e-ea76-11de-98c9-f37ae88802b9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fbda370e-ea76-11de-98c9-f37ae88802b9}\ not found.
File H:\Startme.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ not found.
File G:\Autorun.exe not found.
========== COMMANDS ==========
C:\WINNT\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: ***
->Temp folder emptied: 27695052 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 69674094 bytes
->Flash cache emptied: 39532 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 13785 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: shell32.dll unable to determine bytes removed.

Total Files Cleaned = 93,00 mb

OTL by OldTimer - Version 3.2.10.0 log created on 08262010_223045

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Bräuchte hier allerdings wieder Hilfe um das zu deuten.

Herzlichen Dank schonmal und einen schönen Abend noch,
honigbrot

cosinus · 26.08.2010, 22:11

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

honigbrot · 27.08.2010, 08:46

Moin moin,

da schein ich mir ja einen äusserst hartnäckigen Zeitgenossen eingefangen zu haben.

Hier der cofi-log:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-08-26.02 - *** 27.08.2010   9:33.1.1 - FAT32x86
Microsoft Windows 2000 Professional  5.0.2195.4.1252.49.1031.18.255.60 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Moll\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf
c:\winnt\Help\svchost32.exe
c:\winnt\Web\default.htt

.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-27 bis 2010-08-27  ))))))))))))))))))))))))))))))
.

2010-08-27 07:34 . 2010-08-27 07:34	16384	----a-w-	c:\winnt\system32\Perflib_Perfdata_6cc.dat
2010-08-27 07:32 . 2010-08-27 07:32	16384	----a-w-	c:\winnt\system32\Perflib_Perfdata_374.dat
2010-08-26 20:30 . 2010-08-26 20:30	--------	d-----w-	C:\_OTL
2010-08-26 19:53 . 2010-08-27 06:28	32768	----a-w-	C:\aa.exe
2010-08-26 13:52 . 2010-08-26 13:52	16384	----a-w-	c:\winnt\system32\Perflib_Perfdata_1fc.dat
2010-08-26 12:39 . 2010-08-26 12:39	--------	d-----w-	c:\programme\CCleaner
2010-08-25 21:03 . 2010-08-25 21:03	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-08-25 21:03 . 2010-04-29 13:39	38224	----a-w-	c:\winnt\system32\drivers\mbamswissarmy.sys
2010-08-25 21:03 . 2010-08-25 21:03	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-25 21:03 . 2010-04-29 13:39	19288	----a-w-	c:\winnt\system32\drivers\mbam.sys
2010-08-25 21:03 . 2010-08-25 21:03	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-08-24 13:08 . 2010-08-24 13:08	16384	----a-w-	c:\winnt\system32\Perflib_Perfdata_200.dat
2010-08-24 12:58 . 2010-08-24 12:58	--------	d-----w-	C:\$AVG
2010-08-24 12:58 . 2010-08-24 12:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9
2010-08-24 08:46 . 2010-08-24 08:46	503808	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-29f2c477-n\msvcp71.dll
2010-08-24 08:46 . 2010-08-24 08:46	61440	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-12733155-n\decora-sse.dll
2010-08-24 08:46 . 2010-08-24 08:46	499712	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-29f2c477-n\jmc.dll
2010-08-24 08:46 . 2010-08-24 08:46	348160	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-29f2c477-n\msvcr71.dll
2010-08-24 08:46 . 2010-08-24 08:46	12800	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-12733155-n\decora-d3d.dll
2010-08-24 08:45 . 2010-08-24 08:45	16384	----a-w-	c:\winnt\system32\Perflib_Perfdata_65c.dat
2010-08-24 08:45 . 2010-07-17 03:00	423656	----a-w-	c:\winnt\system32\deployJava1.dll
2010-08-23 11:43 . 2010-08-23 11:43	16384	----a-w-	c:\winnt\system32\Perflib_Perfdata_2b8.dat
2010-08-23 11:17 . 2010-02-18 12:15	1738816	----a-w-	c:\winnt\system32\dllcache\NTKRPAMP.EXE
2010-08-23 11:17 . 2010-02-18 12:15	1717504	----a-w-	c:\winnt\system32\dllcache\NTKRNLMP.EXE

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-24 12:58 . 2009-07-19 10:04	243024	----a-w-	c:\winnt\system32\drivers\avgtdix.sys
2010-08-24 12:58 . 2009-07-19 10:04	216400	----a-w-	c:\winnt\system32\drivers\avgldx86.sys
2010-08-24 12:58 . 2009-07-19 10:04	12536	----a-w-	c:\winnt\system32\avgrsstx.dll
2010-08-24 12:58 . 2007-03-17 08:13	29584	----a-w-	c:\winnt\system32\drivers\avgmfx86.sys
2010-06-11 17:03 . 2010-06-11 17:03	16384	----a-w-	c:\winnt\system32\Perflib_Perfdata_2bc.dat
2001-12-22 09:08 . 2001-12-15 12:12	22080	---h--w-	c:\programme\folder.htt
.

------- Sigcheck -------

[-] 2002-12-12 13:05 . 9F39F1C2EF9C4EB1D8FB1AE8F901F26D . 52736 . . [ERROR: 0x0] . . c:\winnt\system32\mspmsnsv.dll

[-] 2004-07-09 02:27 . 1A35630FD53984D5DBB81FCCC302AE22 . 1689600 . . [ERROR: 0x0] . . c:\winnt\system32\d3d9.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-10 20752]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"Synchronization Manager"="mobsync.exe" [2003-06-19 112400]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-01-25 77824]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Nokia Tray Application"="c:\programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe" [2002-10-22 598016]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-08-24 2065760]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-10 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 189712]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Rainlendar.lnk - c:\programme\Rainlendar\Rainlendar.exe [2006-1-21 118784]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
EPSON Status Monitor 3 Environment Check.lnk - c:\winnt\system32\spool\drivers\w32x86\3\E_SRCV03.EXE [2004-7-5 121856]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-08-24 12:58	12536	----a-w-	c:\winnt\system32\avgrsstx.dll

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\winnt\system32\drivers\avgldx86.sys [19.07.2009 12:04 216400]
R1 AvgTdiX;AVG Free Network Redirector;c:\winnt\system32\drivers\avgtdix.sys [19.07.2009 12:04 243024]
R2 AmosNT;AmosNT;c:\winnt\system32\drivers\Amosnt.sys [24.12.2001 17:13 244520]
R2 avg9wd;AVG Free WatchDog;c:\programme\AVG\AVG9\avgwdsvc.exe [24.08.2010 14:58 308136]
R3 openhci;Microsoft USB-Open Host-Controllertreiber;c:\winnt\system32\drivers\openhci.sys [10.12.1999 12:00 24784]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);c:\winnt\system32\drivers\sis7012.sys [24.12.2001 17:10 38946]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://192.168.1.1/
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\default.gw3\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.n-tv.de/
FF - component: c:\programme\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-SiS7012 - c:\progra~1\SiS7012\Uninst\uninst2k.exe PCI\VEN_1039&DEV_7012



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-08-27 09:37
Windows 5.0.2195 Service Pack 4 FAT NTAPI

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(168)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
c:\winnt\system32\msv1_0.dll

- - - - - - - > 'lsass.exe'(232)
c:\winnt\system32\mpr.dll
.
Zeit der Fertigstellung: 2010-08-27  09:39:19
ComboFix-quarantined-files.txt  2010-08-27 07:39

Vor Suchlauf: 4.747.206.656 Bytes frei
Nach Suchlauf: 4.722.262.016 Bytes frei

- - End Of File - - C2F22AC0451CA14A035A5F36E810C6F5

--- --- ---

Meinst du der Trojaner ist nun beseitigt?

Jedenfalls vielen Dank für deine Unterstützung!!

MFG
honig

cosinus · 27.08.2010, 10:56

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

http://www.trojaner-board.de/90020-trojaner-vb-agjn-c-aa-exe.html

Collect::
C:\aa.exe

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

honigbrot · 27.08.2010, 14:46

Hallo Arne,

habe deine Anweisung wieder brav befolgt.

Hier der Log, den ich bekommen habe:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-08-26.04 - *** 27.08.2010  14:48:34.2.1 - FAT32x86
Microsoft Windows 2000 Professional  5.0.2195.4.1252.49.1031.18.255.80 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt

file zipped: C:\aa.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\aa.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-27 bis 2010-08-27  ))))))))))))))))))))))))))))))
.

2010-08-27 12:48 . 2010-08-27 12:48	32768	----a-w-	C:\Collect_aa.exe.vir
2010-08-27 12:47 . 2010-08-27 12:47	16384	----a-w-	c:\winnt\system32\Perflib_Perfdata_384.dat
2010-08-27 07:32 . 2010-08-27 07:32	16384	----a-w-	c:\winnt\system32\Perflib_Perfdata_374.dat
2010-08-26 20:30 . 2010-08-26 20:30	--------	d-----w-	C:\_OTL
2010-08-26 13:52 . 2010-08-26 13:52	16384	----a-w-	c:\winnt\system32\Perflib_Perfdata_1fc.dat
2010-08-26 12:39 . 2010-08-26 12:39	--------	d-----w-	c:\programme\CCleaner
2010-08-25 21:03 . 2010-08-25 21:03	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-08-25 21:03 . 2010-04-29 13:39	38224	----a-w-	c:\winnt\system32\drivers\mbamswissarmy.sys
2010-08-25 21:03 . 2010-08-25 21:03	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-25 21:03 . 2010-04-29 13:39	19288	----a-w-	c:\winnt\system32\drivers\mbam.sys
2010-08-25 21:03 . 2010-08-25 21:03	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-08-24 13:08 . 2010-08-24 13:08	16384	----a-w-	c:\winnt\system32\Perflib_Perfdata_200.dat
2010-08-24 12:58 . 2010-08-24 12:58	--------	d-----w-	C:\$AVG
2010-08-24 12:58 . 2010-08-24 12:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9
2010-08-24 08:46 . 2010-08-24 08:46	503808	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-29f2c477-n\msvcp71.dll
2010-08-24 08:46 . 2010-08-24 08:46	61440	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-12733155-n\decora-sse.dll
2010-08-24 08:46 . 2010-08-24 08:46	499712	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-29f2c477-n\jmc.dll
2010-08-24 08:46 . 2010-08-24 08:46	348160	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-29f2c477-n\msvcr71.dll
2010-08-24 08:46 . 2010-08-24 08:46	12800	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-12733155-n\decora-d3d.dll
2010-08-24 08:45 . 2010-08-24 08:45	16384	----a-w-	c:\winnt\system32\Perflib_Perfdata_65c.dat
2010-08-24 08:45 . 2010-07-17 03:00	423656	----a-w-	c:\winnt\system32\deployJava1.dll
2010-08-23 11:43 . 2010-08-23 11:43	16384	----a-w-	c:\winnt\system32\Perflib_Perfdata_2b8.dat
2010-08-23 11:17 . 2010-02-18 12:15	1738816	----a-w-	c:\winnt\system32\dllcache\NTKRPAMP.EXE
2010-08-23 11:17 . 2010-02-18 12:15	1717504	----a-w-	c:\winnt\system32\dllcache\NTKRNLMP.EXE

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-24 12:58 . 2009-07-19 10:04	243024	----a-w-	c:\winnt\system32\drivers\avgtdix.sys
2010-08-24 12:58 . 2009-07-19 10:04	216400	----a-w-	c:\winnt\system32\drivers\avgldx86.sys
2010-08-24 12:58 . 2009-07-19 10:04	12536	----a-w-	c:\winnt\system32\avgrsstx.dll
2010-08-24 12:58 . 2007-03-17 08:13	29584	----a-w-	c:\winnt\system32\drivers\avgmfx86.sys
2010-06-11 17:03 . 2010-06-11 17:03	16384	----a-w-	c:\winnt\system32\Perflib_Perfdata_2bc.dat
2001-12-22 09:08 . 2001-12-15 12:12	22080	---h--w-	c:\programme\folder.htt
.

------- Sigcheck -------

[-] 2002-12-12 13:05 . 9F39F1C2EF9C4EB1D8FB1AE8F901F26D . 52736 . . [ERROR: 0x0] . . c:\winnt\system32\mspmsnsv.dll

[-] 2004-07-09 02:27 . 1A35630FD53984D5DBB81FCCC302AE22 . 1689600 . . [ERROR: 0x0] . . c:\winnt\system32\d3d9.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-10 20752]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"Synchronization Manager"="mobsync.exe" [2003-06-19 112400]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-01-25 77824]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Nokia Tray Application"="c:\programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe" [2002-10-22 598016]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-08-24 2065760]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-10 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 189712]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Rainlendar.lnk - c:\programme\Rainlendar\Rainlendar.exe [2006-1-21 118784]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
EPSON Status Monitor 3 Environment Check.lnk - c:\winnt\system32\spool\drivers\w32x86\3\E_SRCV03.EXE [2004-7-5 121856]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-08-24 12:58	12536	----a-w-	c:\winnt\system32\avgrsstx.dll

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\winnt\system32\drivers\avgldx86.sys [19.07.2009 12:04 216400]
R1 AvgTdiX;AVG Free Network Redirector;c:\winnt\system32\drivers\avgtdix.sys [19.07.2009 12:04 243024]
R2 AmosNT;AmosNT;c:\winnt\system32\drivers\Amosnt.sys [24.12.2001 17:13 244520]
R2 avg9wd;AVG Free WatchDog;c:\programme\AVG\AVG9\avgwdsvc.exe [24.08.2010 14:58 308136]
R3 openhci;Microsoft USB-Open Host-Controllertreiber;c:\winnt\system32\drivers\openhci.sys [10.12.1999 12:00 24784]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);c:\winnt\system32\drivers\sis7012.sys [24.12.2001 17:10 38946]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - IPNAT
*NewlyCreated* - RASAUTO
*NewlyCreated* - SHAREDACCESS
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://192.168.1.1/
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\default.gw3\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.n-tv.de/
FF - component: c:\programme\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-27 14:52
Windows 5.0.2195 Service Pack 4 FAT NTAPI

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(168)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
c:\winnt\system32\msv1_0.dll

- - - - - - - > 'lsass.exe'(232)
c:\winnt\system32\mpr.dll
.
Zeit der Fertigstellung: 2010-08-27  14:54:10
ComboFix-quarantined-files.txt  2010-08-27 12:54
ComboFix2.txt  2010-08-27 07:39

Vor Suchlauf: 4.719.411.200 Bytes frei
Nach Suchlauf: 4.714.930.176 Bytes frei

- - End Of File - - BBFA4BFF41DC03210EBE9337A85B42D8

--- --- ---
Hochladen war erfolgreich
[/QUOTE]

Was meinst du ist der Trojaner nun erledigt?

Vielen Dank nochmals für deine Hilfe.

Grüsse,
honig

cosinus · 27.08.2010, 18:58

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

honigbrot · 29.08.2010, 12:54

Hallo cosinus,

hier die entsprechenden log-files:

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-29 13:11:40
Windows 5.0.2195 Service Pack 4
Running: y19bnw8u.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\pxtdypod.sys


---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!CreateProcessW]           [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!LoadLibraryW]             [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!GetProcAddress]           [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!FreeLibrary]              [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!LoadLibraryA]             [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!LoadLibraryExW]  [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!CreateProcessA]  [4AD84AE3] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!CreateProcessW]  [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!LoadLibraryW]    [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!FreeLibrary]     [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!LoadLibraryA]    [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW]      [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\RPCRT4.dll [KERNEL32.dll!FreeLibrary]       [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]    [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA]      [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!LoadLibraryExW]     [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!LoadLibraryA]       [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!FreeLibrary]        [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!GetProcAddress]     [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!LoadLibraryW]       [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]    [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!CreateProcessW]    [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!LoadLibraryA]      [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!LoadLibraryW]      [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!FreeLibrary]       [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!LoadLibraryExA]   [760B78DE] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!LoadLibraryExW]   [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!LoadLibraryW]     [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!CreateProcessA]   [4AD84AE3] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!CreateProcessW]   [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!LoadLibraryA]     [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!GetProcAddress]   [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]    [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA]      [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!FreeLibrary]       [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!CreateProcessA]    [4AD84AE3] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!CreateProcessW]    [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW]   [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!CreateProcessW]   [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]     [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]   [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW]     [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!GetProcAddress]     [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!LoadLibraryA]       [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!FreeLibrary]        [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!LoadLibraryW]       [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!LoadLibraryExW]     [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!CreateProcessW]     [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\NETAPI32.DLL [KERNEL32.dll!LoadLibraryW]    [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\NETAPI32.DLL [KERNEL32.dll!GetProcAddress]  [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\NETAPI32.DLL [KERNEL32.dll!FreeLibrary]     [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA]     [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\Secur32.dll [KERNEL32.dll!LoadLibraryW]     [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]   [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\Secur32.dll [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WS2_32.DLL [KERNEL32.DLL!FreeLibrary]       [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WS2_32.DLL [KERNEL32.DLL!LoadLibraryA]      [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WS2_32.DLL [KERNEL32.DLL!GetProcAddress]    [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WS2HELP.DLL [KERNEL32.DLL!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WS2HELP.DLL [KERNEL32.DLL!LoadLibraryA]     [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WS2HELP.DLL [KERNEL32.DLL!GetProcAddress]   [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!LoadLibraryW]     [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!LoadLibraryExW]   [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!LoadLibraryA]     [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!CreateProcessW]   [4AD84C9A] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!GetProcAddress]   [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WININET.DLL [KERNEL32.dll!LoadLibraryW]     [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WININET.DLL [KERNEL32.dll!GetProcAddress]   [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WININET.DLL [KERNEL32.dll!LoadLibraryA]     [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\WININET.DLL [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]   [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA]     [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExW]   [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExA]   [760B78DE] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINNT\Explorer.EXE[1136] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!FreeLibrary]      [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                    avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                   avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                   avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                 avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                    fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service         C:\WINNT\system32\MSTask.exe? (*** hidden *** )                                             [AUTO] Schedule                                                                                     <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

--- --- ---

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 13:47:17 on 29.08.2010

OS: Windows 2000 Professional Service Pack 4 (Build 2195)
Default Browser: Microsoft Corporation Internet Explorer 6.00.2800.1106

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"JAVACPL.CPL" - "Sun Microsystems, Inc." - C:\WINNT\system32\JAVACPL.CPL
"JOY.CPL" - "Microsoft Corporation" - C:\WINNT\system32\JOY.CPL
"PREFSCPL.CPL" - "RealNetworks, Inc." - C:\WINNT\system32\PREFSCPL.CPL
"QuickTime.cpl" - "Apple Computer, Inc." - C:\WINNT\system32\QuickTime.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"AntiVir PersonalEdition Classic Configuration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"NclConf" - "Nokia Mobile Phones" - C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"%SAINTHID_NAME%" (SaiNtHid) - "Saitek" - C:\WINNT\System32\DRIVERS\SaiNtHid.sys
"ASCTRM" (ASCTRM) - "Windows (R) 2000 DDK provider" - C:\WINNT\system32\drivers\ASCTRM.sys
"AVG Free AVI Loader Driver x86" (AvgLdx86) - "AVG Technologies CZ, s.r.o." - C:\WINNT\System32\Drivers\avgldx86.sys
"AVG Free Network Redirector" (AvgTdiX) - "AVG Technologies CZ, s.r.o." - C:\WINNT\System32\Drivers\avgtdix.sys
"AVG Free On-access Scanner Minifilter Driver x86" (AvgMfx86) - "AVG Technologies CZ, s.r.o." - C:\WINNT\System32\Drivers\avgmfx86.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Moll\LOKALE~1\Temp\catchme.sys  (File not found)
"Cdr4_2K" (Cdr4_2K) - "Roxio" - C:\WINNT\system32\drivers\Cdr4_2K.sys
"Cdralw2k" (Cdralw2k) - "Roxio" - C:\WINNT\system32\drivers\Cdralw2k.sys
"Changer" (Changer) - ? - C:\WINNT\system32\drivers\Changer.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINNT\system32\drivers\lbrtfdc.sys  (File not found)
"nv4" (nv4) - "NVIDIA Corporation" - C:\WINNT\System32\DRIVERS\nv4_mini.sys
"PCIDump" (PCIDump) - ? - C:\WINNT\system32\drivers\PCIDump.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINNT\System32\DRIVERS\PxHelp20.sys
"pxtdypod" (pxtdypod) - ? - C:\DOKUME~1\Moll\LOKALE~1\Temp\pxtdypod.sys  (Hidden registry entry, rootkit activity | File not found)
"SaiNtSub" (SaiNtSub) - "Saitek" - C:\WINNT\System32\DRIVERS\SaiNtSub.sys
"Service for AC'97 Sample Driver (WDM)" (SiS7012) - "Silicon Integrated Systems Corporation" - C:\WINNT\System32\drivers\sis7012.sys
"sglfb" (sglfb) - ? - C:\WINNT\system32\drivers\sglfb.sys  (File not found)
"tga" (tga) - ? - C:\WINNT\system32\drivers\tga.sys  (File not found)
"WAN Miniport (ATW)" (wanatw) - ? - C:\WINNT\System32\DRIVERS\wanatw4.sys  (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} "CRLUpdate" - "Microsoft Corporation" - %SystemRoot%\system32\updcrl.exe -e -u %SystemRoot%\system32\verisignpub1.crl
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINNT\system32\Rundll32.exe c:\WINNT\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINNT\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINNT\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINNT\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
{F274614C-63F8-47D5-A4D1-FBDDE494F8D1} "XPLPPFilter Class" - "AVG Technologies CZ, s.r.o." - C:\Programme\AVG\AVG9\avgpp.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{1EBC3533-B289-409F-9924-B84B3F0717D2} "AceFTP Context Menu Shell Extension" - "Visicom Media Inc." - C:\PROGRA~1\VISICO~1\FTPEXP~1\FTPCNT~1.DLL
{9F97547E-460A-42C5-AE0C-81C61FFAEBC3} "AVG Find Extension" - ? -   (File not found | COM-object registry key not found)
{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} "AVG Shell Extension Class" - "AVG Technologies CZ, s.r.o." - C:\Programme\AVG\AVG9\avgse.dll
{F802F260-519B-11D1-BB5D-0060974C6013} "ICQ Shell Extension" - ? - C:\Programme\ICQ\ICQShExt.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINNT\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shell-Erweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINNT\system32\dfshim.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "Systemsteuerungserweiterung für die Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{8FF88D27-7BD0-11D1-BFB7-00AA00262A11} "WinAceContext Menu (Add) Extension" - "e-merge GmbH" - C:\Programme\WinAce\arcext.dll
{8FF88D21-7BD0-11D1-BFB7-00AA00262A11} "WinAceContext Menu Extension" - "e-merge GmbH" - C:\Programme\WinAce\arcext.dll
{8FF88D25-7BD0-11D1-BFB7-00AA00262A11} "WinAceDrag-Drop Extension" - "e-merge GmbH" - C:\Programme\WinAce\arcext.dll
{8FF88D23-7BD0-11D1-BFB7-00AA00262A11} "WinAceProperty Sheet Extension" - "e-merge GmbH" - C:\Programme\WinAce\arcext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"Poker.com" - "Ingenic" - C:\Programme\Poker.com\Poker.exe
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
DirectAnimation Java Classes "DirectAnimation Java Classes" - ? -   (File not found | COM-object registry key not found) / file://C:\WINNT\Java\classes\dajava.cab
{E855A2D4-987E-4F3B-A51C-64D10A7E2479} "EPSImageControl Class" - "eBay Inc." - C:\WINNT\Downloaded Program Files\EPScontrol.dll / hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
{4C39376E-FA9D-4349-BACC-D305C1750EF3} "EPUImageControl Class" - "eBay, Inc." - C:\WINNT\Downloaded Program Files\EPUWALcontrol.dll / hxxp://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -   (File not found | COM-object registry key not found) / file://C:\WINNT\Java\classes\xmldso.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINNT\system32\Macromed\Flash\Flash9.ocx / hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
{62475759-9E84-458E-A1AB-5D2C442ADFDE} "{62475759-9E84-458E-A1AB-5D2C442ADFDE}" - ? -   (File not found | COM-object registry key not found) / hxxp://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@shdoclc.dll,-866" - ? - C:\WINNT\web\related.htm
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
"ICQ" - ? - C:\Programme\ICQ\ICQ.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} "AVG Safe Search" - "AVG Technologies CZ, s.r.o." - C:\Programme\AVG\AVG9\avgssie.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"EPSON Status Monitor 3 Environment Check.lnk" - "SEIKO EPSON CORPORATION" - C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE  (Shortcut exists | File exists)
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"Rainlendar.lnk" - "Rainy" - C:\Programme\Rainlendar\Rainlendar.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"AVG9_TRAY" - "AVG Technologies CZ, s.r.o." - C:\PROGRA~1\AVG\AVG9\avgtray.exe
"Nokia Tray Application" - "Nokia Mobile Phones" - C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
"QuickTime Task" - "Apple Computer, Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"EPSON V3 2KMonitor64" - "SEIKO EPSON CORPORATION" - C:\WINNT\system32\E_SL2064.DLL
"PDFCreator" - ? - C:\WINNT\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINNT\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINNT\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"AVG Free WatchDog" (avg9wd) - "AVG Technologies CZ, s.r.o." - C:\Programme\AVG\AVG9\avgwdsvc.exe
"Dienst für Seriennummern der tragbaren Medien" (WmdmPmSN) - "Microsoft Corporation" - C:\WINNT\system32\mspmsnsv.dll
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"WMDM PMSP Service" (WMDM PMSP Service) - "Microsoft Corporation" - C:\WINNT\System32\mspmspsv.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"avgrsstarter" - "AVG Technologies CZ, s.r.o." - C:\WINNT\system32\avgrsstx.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/QUOTE]

Zitat:

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows 2000 Professional Service Pack 4 (build 2195)

NtOpenDirectoryObject() fails; status: 0xc0000034
LogPrintDeviceObjects(): Error while requesting device objects info
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
ProcessPhysicalDisc(): DeviceIoControl() ERROR 1
ERROR: No physical disks found

Done;
Press any key to quit...

Mein Rechner scheint wieder zügiger zu arbeiten.

Herzlichen Dank schonmal.

Grüsse,
honig

honigbrot · 29.08.2010, 14:48

Update: die aa.exe ist eben wieder in c:\\ aufgetaucht

cosinus · 29.08.2010, 20:11

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

files to delete:
c:\aa.exe
C:\WINNT\system32\MSTask.exe

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

honigbrot · 29.08.2010, 20:51

Nabend cosinus,

hier die log-file:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows 2000

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\aa.exe" deleted successfully.
File "C:\WINNT\system32\MSTask.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

und hier der Link für die Datei c:\avenger\backup.zip :

hxxp://www.file-upload.net/download-2785119/backup.zip.html

Grüsse,
honigbrot

cosinus · 29.08.2010, 21:08

Ok. Mach mal ein neues Log mit GMER und poste es. Danach:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

29.08.2010, 14:48	#12
honigbrot	$Trojaner VB.AGJN in C:\aa.exe - Standard$ Trojaner VB.AGJN in C:\aa.exe Update: die aa.exe ist eben wieder in c:\\ aufgetaucht

Trojaner VB.AGJN in C:\aa.exe

Plagegeister aller Art und deren Bekämpfung: Trojaner VB.AGJN in C:\aa.exe