Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?

cosinus · 23.11.2010, 15:57

Führ doch einfach CF aus

Veribul · 23.11.2010, 20:05

Hallo!
habe ct ausgeführt und dann hat das mit einem bluescreen aufgehört mit der Meldung:
STOP:C000021a
windows logon process wurde unerwartet beendet, status 0x80000007
system wurde heruntergefahren.

soll ich den einfach wieder hochfahren oder irgendwas besonderes (abgesicherter modus oder so)?
und was dann machen?
Danke!

cosinus · 23.11.2010, 20:59

Alte cofi löschen, CF neu als cofi herunterladen und bitte nochmal probieren

Veribul · 23.11.2010, 23:13

Habs noch ein zweites Mal durchgeführt, wieder der blue screen aber hier das logfile:
Combofix Logfile:

Code:

ATTFilter

ComboFix 10-11-23.01 - Veronika 23.11.2010  22:51:09.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.611 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Veronika\Desktop\cofi.exe.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\winlogon.exe . . . ist infiziert!!

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe wurde wiederhergestellt 

.
(((((((((((((((((((((((   Dateien erstellt von 2010-10-23 bis 2010-11-23  ))))))))))))))))))))))))))))))
.

2010-11-22 12:20 . 2010-11-23 17:36	--------	d-----w-	c:\programme\CCleaner
2010-11-21 22:42 . 1998-06-24 00:00	137000	----a-w-	c:\windows\system32\MSMAPI32.OCX
2010-11-21 22:42 . 2001-10-28 16:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2010-11-21 22:42 . 2010-11-21 22:43	--------	d-----w-	c:\programme\PDFCreator
2010-11-21 22:42 . 1998-07-06 17:55	64512	----a-w-	c:\windows\system32\MSCC2DE.DLL
2010-11-21 22:42 . 1998-07-06 00:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL
2010-11-21 21:54 . 2010-11-21 21:54	--------	d-----w-	C:\_OTL
2010-11-16 22:04 . 2010-11-16 22:04	--------	d-----w-	c:\programme\ERUNT
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-11-16 20:22 . 2010-11-16 20:22	--------	d-----w-	c:\programme\Outlook Express Freebie Backup
2010-11-16 18:45 . 2010-11-21 23:20	--------	d-----w-	C:\program exe dateien
2010-11-16 18:43 . 2010-11-16 18:43	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Foxit Software
2010-11-16 18:42 . 2010-11-16 18:42	--------	d-----w-	c:\programme\Foxit Software
2010-11-16 14:49 . 2010-11-22 20:48	--------	d-----w-	c:\windows\system32\NtmsData
2010-11-16 14:48 . 2010-11-21 13:51	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\download
2010-11-14 22:23 . 2010-11-14 22:23	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Avira
2010-11-12 18:46 . 2010-11-12 18:46	4280320	----a-w-	c:\windows\system32\GPhotos.scr
2010-11-02 14:56 . 2010-11-02 14:56	--------	d-----w-	c:\programme\OpenXML-ODF Translator
2010-11-02 14:52 . 2010-11-02 14:52	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Gutscheinmieze
2010-10-26 09:03 . 2010-10-26 09:03	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-22 20:38 . 2009-11-26 12:56	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-16 20:22 . 2008-12-03 15:07	249856	------w-	c:\windows\Setup1.exe
2010-11-16 20:22 . 2009-01-25 20:24	73216	----a-w-	c:\windows\ST6UNST.EXE
2010-11-15 23:09 . 2009-11-26 12:56	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-01-13 09:30 . 2009-01-13 09:30	10522112	----a-w-	c:\programme\vpnclient_setup.msi
2009-01-13 09:30 . 2009-01-13 09:30	56832	----a-w-	c:\programme\vpnclient_setup.exe
2009-01-13 09:30 . 2009-01-13 09:30	1822520	----a-w-	c:\programme\instmsiw.exe
2009-01-13 09:30 . 2009-01-13 09:30	1708856	----a-w-	c:\programme\instmsi.exe
2009-01-13 09:28 . 2009-01-13 09:28	221315	----a-w-	c:\programme\installservice.exe
2009-01-13 09:27 . 2009-01-13 09:27	16505	----a-w-	c:\programme\DelayInst.exe
2007-11-21 17:57 . 2007-11-21 17:57	1440047	----a-w-	c:\programme\wrar371d.exe
2007-07-04 13:00 . 2007-07-04 13:00	4313466	----a-w-	c:\programme\folderaccess2_0freeware.exe
2006-09-28 18:49 . 2006-09-28 18:49	7129900	----a-w-	c:\programme\z-dbackup.exe
2006-03-28 17:43 . 2006-03-28 17:43	11817800	----a-w-	c:\programme\GoogleEarth.exe
2005-12-18 23:15 . 2005-12-18 23:15	12081716	----a-w-	c:\programme\DM-Foto-Assistent.exe
2005-12-18 08:46 . 2005-12-18 08:45	34412848	----a-w-	c:\programme\iTunesSetup.exe
2005-11-12 23:27 . 2005-11-12 23:27	613391	----a-w-	c:\programme\outlook_repair.exe
.

------- Sigcheck -------

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe
[-] 2004-08-04 13:00 . !HASH: COULD NOT OPEN FILE !!!!! . 507392 . . [------] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe
[-] 2007-06-13 . B90B2D55C704E6BB1375D72635156FFC . 1036288 . . [6.00.2900.3156] . . c:\windows\explorer.exe
[7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-03-02 57344]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-25 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-10-15 10:27	110592	----a-w-	c:\programme\Intel\Wireless\Bin\LgNotify.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Device Detector 3.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk
backup=c:\windows\pss\Device Detector 3.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=c:\windows\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 05:43	69632	----a-w-	c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2010-11-15 23:09	281768	----a-w-	c:\programme\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl]
2005-04-12 11:17	102400	----a-r-	c:\windows\ATK0100\HControl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-07-13 12:03	292128	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2004-09-24 16:22	1916928	----a-w-	c:\programme\nero\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50	155648	-c--a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power_Gear]
2004-09-21 15:55	81920	----a-w-	c:\programme\Asus\Power4 Gear\BatteryLife.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-01-12 01:01	32768	----a-w-	c:\programme\CyberLink\PowrDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2005-05-25 02:37	14477312	----a-w-	c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient]
2002-12-16 14:51	36864	----a-w-	c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-01-25 20:37	136600	----a-w-	c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2004-12-22 00:23	688218	----a-w-	c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2004-12-22 00:23	98394	----a-w-	c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomcatStartup]
2003-03-31 17:28	155648	----a-w-	c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\V0470Mon.exe]
2007-04-11 17:00	32768	----a-r-	c:\windows\V0470Mon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-02-13 18:29	35328	----a-w-	c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
"DM1Service"=2 (0x2)
"usnjsvc"=3 (0x3)
"S24EventMonitor"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\SightSpeed\\SightSpeed.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Dokumente und Einstellungen\\Veronika\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 R592;R592;c:\windows\system32\drivers\R592.sys [15.10.2004 19:26 57088]
R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15.10.2004 19:26 27264]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [01.01.2006 17:26 81408]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 13:56 135336]
R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [01.11.2005 14:09 8768]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.12.2005 16:52 65536]
R2 NBSPortDriver;NBSPortDriver;c:\windows\system32\drivers\NBSPortDriver.sys [05.04.2007 13:02 21496]
S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [12.11.2005 18:56 5824]
S3 I80swebtindm;I80swebtindm; [x]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?]
S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [27.08.2008 18:37 146368]
.
Inhalt des "geplante Tasks" Ordners

2010-10-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.znout.org/index.php?color=black
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {96512D57-F751-4088-A689-5778FCC77F7A} - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab
DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
FF - ProfilePath - c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Mozilla\Firefox\Profiles\nsp64q0q.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.znout.org/index.php?color=black
FF - plugin: c:\programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-11-23 23:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1476)
c:\windows\system32\Ati2evxx.dll
c:\programme\Intel\Wireless\Bin\LgNotify.dll

- - - - - - - > 'explorer.exe'(1968)
c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\LckFldService.exe
c:\windows\system32\NMSAccessU.exe
c:\programme\Intel\Wireless\Bin\OProtSvc.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Intel\Wireless\Bin\ZcfgSvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-23  23:09:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-11-23 22:08
ComboFix2.txt  2010-11-23 21:35

Vor Suchlauf: 19 Verzeichnis(se), 18.536.435.200 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 18.516.918.272 Bytes frei

- - End Of File - - 16A61CC7AA6E558513C3E34F3ED9554A

--- --- ---

Veribul · 23.11.2010, 23:20

und hier häng ich dir noch das cf log vom ersten scan an, das hat er dann beim Hochfahren angezeigt.
Lieben Dank!

cosinus · 24.11.2010, 09:50

Ich hab Dir drei Dateien mal hochgeladen, die bei Dir infiziert sind => File-Upload.net - cosinus.zip
Bitte herunterladen, direkt auf C: speichern und entpacken zB nach c:\cosinus (Passwort der zip ist veribul )

Dann gehts so weiter:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 70 MB sein
2. Entpack die ZIP-Datei in einen beliebigen Pfad, es wird eine ISO-Datei (CD-Abbild) von PartedMagic entpackt
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

4. Du müsstest ein Symbol Mount Devices finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
6. Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 sein sollte) folgende Dateien um, einfach ein .vir dranhängen:

Code:

ATTFilter

/windows/system32/winlogon.exe.vir
/windows/system32/ctfmon.exe.vir
/windows/explorer.exe.vir

7. Kopiere die sauberen Dateien aus dem cosinus-Ordner in die entprechenden Pfade rein:

Code:

ATTFilter

/cosinus/explorer.exe => /windows/explorer.exe
/cosinus/winlogon.exe => /windows/system32/winlogon.exe
/cosinus/ctfmon.exe => /windows/system32/ctfmon.exe

(müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)

8. Starte den Rechner neu und boote Windows

9. Die in Linux umbenannte Dateien (die mit .vir) bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

10. Wenn alles geschafft ist Beischeid geben

Veribul · 24.11.2010, 12:58

Hallo!
Danke erstmal!
hab alles runtergeladen und erst mit nero 2x, dann mit imgburn versucht die datei zu brennen als image, aber der pc hat sich jedes mal aufgehängt. bei imgburn hat er von einem fehler gesprochen und es nochmal versucht aber dann ist er auch abgestürzt.
soll ich die datei nochmal neu runterladen? oder geht das auch mit usb-stick?
lg

cosinus · 24.11.2010, 17:24

Das was du runterlädst ist eine zip Datei! Die musst du vorher entpacken, dann kommt eine iso Datei die man als Image brennen kann!

Veribul · 24.11.2010, 23:52

Hab schon versucht das Iso zu brennen, hat an nem anderen PC auch geklappt aber danach hat mir ImgBurn sehr viele Read-errors angezeigt und das starten von der CD hat dann auch nicht geklappt: hat zwar kurz angefanen davon zu booten, aber dann gesagt: error und retry und dann hat er das ganze nochmal angefangen.
kann man das parted magic noch woanders runterladen?
lg

cosinus · 25.11.2010, 11:46

Du machst beim Brennen was flasch. Brenn mal langsamer, max. 16x!

Veribul · 25.11.2010, 15:25

ok, hab dir die Sachen übern den uploadchannel geschickt!
liebe Gruesse, Veronika

cosinus · 25.11.2010, 15:48

Dann jetzt bitte einen neuen Durchgang mit CF machen - die alte cofi vorher löschen und CF wieder als cofi.exe neu herunterladen, Rest wie gehabt.

Veribul · 25.11.2010, 16:10

hier die Logdatei vom neuen CF, lg, Veronika
Combofix Logfile:

Code:

ATTFilter

ComboFix 10-11-24.04 - Veronika 25.11.2010  15:58:34.3.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.622 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Veronika\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2010-10-25 bis 2010-11-25  ))))))))))))))))))))))))))))))
.

2010-11-25 15:14 . 2008-04-14 12:00	513024	----a-w-	c:\windows\system32\winlogon.exe
2010-11-25 15:12 . 2008-04-14 12:00	15360	----a-w-	c:\windows\system32\ctfmon.exe
2010-11-25 15:11 . 2008-04-14 12:00	1036800	----a-w-	c:\windows\explorer.exe
2010-11-25 14:17 . 2010-11-25 14:17	--------	d-----w-	c:\windows\system32\LogFiles
2010-11-24 16:17 . 2010-11-24 16:17	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\ImgBurn
2010-11-24 10:54 . 2010-11-24 10:54	--------	d-----w-	c:\programme\ImgBurn
2010-11-24 09:16 . 2010-11-24 09:39	--------	d-----w-	C:\cosinus
2010-11-22 12:20 . 2010-11-23 17:36	--------	d-----w-	c:\programme\CCleaner
2010-11-21 22:42 . 1998-06-24 00:00	137000	----a-w-	c:\windows\system32\MSMAPI32.OCX
2010-11-21 22:42 . 2001-10-28 16:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2010-11-21 22:42 . 2010-11-21 22:43	--------	d-----w-	c:\programme\PDFCreator
2010-11-21 22:42 . 1998-07-06 17:55	64512	----a-w-	c:\windows\system32\MSCC2DE.DLL
2010-11-21 22:42 . 1998-07-06 00:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL
2010-11-21 21:54 . 2010-11-21 21:54	--------	d-----w-	C:\_OTL
2010-11-16 22:04 . 2010-11-16 22:04	--------	d-----w-	c:\programme\ERUNT
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-11-16 20:22 . 2010-11-16 20:22	--------	d-----w-	c:\programme\Outlook Express Freebie Backup
2010-11-16 18:45 . 2010-11-21 23:20	--------	d-----w-	C:\program exe dateien
2010-11-16 18:43 . 2010-11-16 18:43	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Foxit Software
2010-11-16 18:42 . 2010-11-16 18:42	--------	d-----w-	c:\programme\Foxit Software
2010-11-16 14:49 . 2010-11-22 20:48	--------	d-----w-	c:\windows\system32\NtmsData
2010-11-16 14:48 . 2010-11-21 13:51	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\download
2010-11-14 22:23 . 2010-11-14 22:23	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Avira
2010-11-12 18:46 . 2010-11-12 18:46	4280320	----a-w-	c:\windows\system32\GPhotos.scr
2010-11-02 14:56 . 2010-11-02 14:56	--------	d-----w-	c:\programme\OpenXML-ODF Translator
2010-11-02 14:52 . 2010-11-02 14:52	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Gutscheinmieze

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-22 20:38 . 2009-11-26 12:56	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-16 20:22 . 2008-12-03 15:07	249856	------w-	c:\windows\Setup1.exe
2010-11-16 20:22 . 2009-01-25 20:24	73216	----a-w-	c:\windows\ST6UNST.EXE
2010-11-15 23:09 . 2009-11-26 12:56	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-01-13 09:30 . 2009-01-13 09:30	10522112	----a-w-	c:\programme\vpnclient_setup.msi
2009-01-13 09:30 . 2009-01-13 09:30	56832	----a-w-	c:\programme\vpnclient_setup.exe
2009-01-13 09:30 . 2009-01-13 09:30	1822520	----a-w-	c:\programme\instmsiw.exe
2009-01-13 09:30 . 2009-01-13 09:30	1708856	----a-w-	c:\programme\instmsi.exe
2009-01-13 09:28 . 2009-01-13 09:28	221315	----a-w-	c:\programme\installservice.exe
2009-01-13 09:27 . 2009-01-13 09:27	16505	----a-w-	c:\programme\DelayInst.exe
2007-11-21 17:57 . 2007-11-21 17:57	1440047	----a-w-	c:\programme\wrar371d.exe
2007-07-04 13:00 . 2007-07-04 13:00	4313466	----a-w-	c:\programme\folderaccess2_0freeware.exe
2006-09-28 18:49 . 2006-09-28 18:49	7129900	----a-w-	c:\programme\z-dbackup.exe
2006-03-28 17:43 . 2006-03-28 17:43	11817800	----a-w-	c:\programme\GoogleEarth.exe
2005-12-18 23:15 . 2005-12-18 23:15	12081716	----a-w-	c:\programme\DM-Foto-Assistent.exe
2005-12-18 08:46 . 2005-12-18 08:45	34412848	----a-w-	c:\programme\iTunesSetup.exe
2005-11-12 23:27 . 2005-11-12 23:27	613391	----a-w-	c:\programme\outlook_repair.exe
.

------- Sigcheck -------

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe
[7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe

[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\ERDNT\cache\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\ctfmon.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-03-02 57344]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-25 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-10-15 10:27	110592	----a-w-	c:\programme\Intel\Wireless\Bin\LgNotify.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Device Detector 3.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk
backup=c:\windows\pss\Device Detector 3.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=c:\windows\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 05:43	69632	----a-w-	c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2010-11-15 23:09	281768	----a-w-	c:\programme\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl]
2005-04-12 11:17	102400	----a-r-	c:\windows\ATK0100\HControl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-07-13 12:03	292128	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2004-09-24 16:22	1916928	----a-w-	c:\programme\nero\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50	155648	-c--a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power_Gear]
2004-09-21 15:55	81920	----a-w-	c:\programme\Asus\Power4 Gear\BatteryLife.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-01-12 01:01	32768	----a-w-	c:\programme\CyberLink\PowrDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2005-05-25 02:37	14477312	----a-w-	c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient]
2002-12-16 14:51	36864	----a-w-	c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-01-25 20:37	136600	----a-w-	c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2004-12-22 00:23	688218	----a-w-	c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2004-12-22 00:23	98394	----a-w-	c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomcatStartup]
2003-03-31 17:28	155648	----a-w-	c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\V0470Mon.exe]
2007-04-11 17:00	32768	----a-r-	c:\windows\V0470Mon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-02-13 18:29	35328	----a-w-	c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
"DM1Service"=2 (0x2)
"usnjsvc"=3 (0x3)
"S24EventMonitor"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\SightSpeed\\SightSpeed.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Dokumente und Einstellungen\\Veronika\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 R592;R592;c:\windows\system32\drivers\R592.sys [15.10.2004 19:26 57088]
R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15.10.2004 19:26 27264]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [01.01.2006 17:26 81408]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 13:56 135336]
R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [01.11.2005 14:09 8768]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.12.2005 16:52 65536]
R2 NBSPortDriver;NBSPortDriver;c:\windows\system32\drivers\NBSPortDriver.sys [05.04.2007 13:02 21496]
S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [12.11.2005 18:56 5824]
S3 I80swebtindm;I80swebtindm; [x]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?]
S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [27.08.2008 18:37 146368]
.
Inhalt des "geplante Tasks" Ordners

2010-10-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.znout.org/index.php?color=black
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {96512D57-F751-4088-A689-5778FCC77F7A} - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab
DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
FF - ProfilePath - c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Mozilla\Firefox\Profiles\nsp64q0q.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.znout.org/index.php?color=black
FF - plugin: c:\programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-11-25 16:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1476)
c:\windows\system32\Ati2evxx.dll
c:\programme\Intel\Wireless\Bin\LgNotify.dll

- - - - - - - > 'explorer.exe'(1264)
c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
.
Zeit der Fertigstellung: 2010-11-25  16:08:20
ComboFix-quarantined-files.txt  2010-11-25 15:08
ComboFix2.txt  2010-11-23 22:09
ComboFix3.txt  2010-11-23 21:35

Vor Suchlauf: 20 Verzeichnis(se), 18.068.483.584 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 18.045.926.400 Bytes frei

- - End Of File - - 80C93B8310CB286C85AB9BE9CA84E660

--- --- ---

cosinus · 26.11.2010, 18:42

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Driver::
I80swebtindm

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Veribul · 26.11.2010, 19:36

Hallo! hier das neue Log-File:
Combofix Logfile:

Code:

ATTFilter

ComboFix 10-11-25.06 - Veronika 26.11.2010  19:17:04.4.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.606 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Veronika\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Veronika\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_I80swebtindm


(((((((((((((((((((((((   Dateien erstellt von 2010-10-26 bis 2010-11-26  ))))))))))))))))))))))))))))))
.

2010-11-25 15:14 . 2008-04-14 12:00	513024	----a-w-	c:\windows\system32\winlogon.exe
2010-11-25 15:12 . 2008-04-14 12:00	15360	----a-w-	c:\windows\system32\ctfmon.exe
2010-11-25 15:11 . 2008-04-14 12:00	1036800	----a-w-	c:\windows\explorer.exe
2010-11-25 14:17 . 2010-11-25 14:17	--------	d-----w-	c:\windows\system32\LogFiles
2010-11-24 16:17 . 2010-11-24 16:17	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\ImgBurn
2010-11-24 10:54 . 2010-11-24 10:54	--------	d-----w-	c:\programme\ImgBurn
2010-11-24 09:16 . 2010-11-24 09:39	--------	d-----w-	C:\cosinus
2010-11-22 12:20 . 2010-11-23 17:36	--------	d-----w-	c:\programme\CCleaner
2010-11-21 22:42 . 1998-06-24 00:00	137000	----a-w-	c:\windows\system32\MSMAPI32.OCX
2010-11-21 22:42 . 2001-10-28 16:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2010-11-21 22:42 . 2010-11-21 22:43	--------	d-----w-	c:\programme\PDFCreator
2010-11-21 22:42 . 1998-07-06 17:55	64512	----a-w-	c:\windows\system32\MSCC2DE.DLL
2010-11-21 22:42 . 1998-07-06 00:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL
2010-11-21 21:54 . 2010-11-21 21:54	--------	d-----w-	C:\_OTL
2010-11-16 22:04 . 2010-11-16 22:04	--------	d-----w-	c:\programme\ERUNT
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-11-16 20:22 . 2010-11-16 20:22	--------	d-----w-	c:\programme\Outlook Express Freebie Backup
2010-11-16 18:45 . 2010-11-21 23:20	--------	d-----w-	C:\program exe dateien
2010-11-16 18:43 . 2010-11-16 18:43	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Foxit Software
2010-11-16 18:42 . 2010-11-16 18:42	--------	d-----w-	c:\programme\Foxit Software
2010-11-16 14:49 . 2010-11-22 20:48	--------	d-----w-	c:\windows\system32\NtmsData
2010-11-16 14:48 . 2010-11-21 13:51	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\download
2010-11-14 22:23 . 2010-11-14 22:23	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Avira
2010-11-12 18:46 . 2010-11-12 18:46	4280320	----a-w-	c:\windows\system32\GPhotos.scr
2010-11-02 14:56 . 2010-11-02 14:56	--------	d-----w-	c:\programme\OpenXML-ODF Translator
2010-11-02 14:52 . 2010-11-02 14:52	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Gutscheinmieze

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-22 20:38 . 2009-11-26 12:56	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-16 20:22 . 2008-12-03 15:07	249856	------w-	c:\windows\Setup1.exe
2010-11-16 20:22 . 2009-01-25 20:24	73216	----a-w-	c:\windows\ST6UNST.EXE
2010-11-15 23:09 . 2009-11-26 12:56	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-01-13 09:30 . 2009-01-13 09:30	10522112	----a-w-	c:\programme\vpnclient_setup.msi
2009-01-13 09:30 . 2009-01-13 09:30	56832	----a-w-	c:\programme\vpnclient_setup.exe
2009-01-13 09:30 . 2009-01-13 09:30	1822520	----a-w-	c:\programme\instmsiw.exe
2009-01-13 09:30 . 2009-01-13 09:30	1708856	----a-w-	c:\programme\instmsi.exe
2009-01-13 09:28 . 2009-01-13 09:28	221315	----a-w-	c:\programme\installservice.exe
2009-01-13 09:27 . 2009-01-13 09:27	16505	----a-w-	c:\programme\DelayInst.exe
2007-11-21 17:57 . 2007-11-21 17:57	1440047	----a-w-	c:\programme\wrar371d.exe
2007-07-04 13:00 . 2007-07-04 13:00	4313466	----a-w-	c:\programme\folderaccess2_0freeware.exe
2006-09-28 18:49 . 2006-09-28 18:49	7129900	----a-w-	c:\programme\z-dbackup.exe
2006-03-28 17:43 . 2006-03-28 17:43	11817800	----a-w-	c:\programme\GoogleEarth.exe
2005-12-18 23:15 . 2005-12-18 23:15	12081716	----a-w-	c:\programme\DM-Foto-Assistent.exe
2005-12-18 08:46 . 2005-12-18 08:45	34412848	----a-w-	c:\programme\iTunesSetup.exe
2005-11-12 23:27 . 2005-11-12 23:27	613391	----a-w-	c:\programme\outlook_repair.exe
.

------- Sigcheck -------

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe
[7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe

[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\ERDNT\cache\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\ctfmon.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-03-02 57344]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-25 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-10-15 10:27	110592	----a-w-	c:\programme\Intel\Wireless\Bin\LgNotify.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Device Detector 3.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk
backup=c:\windows\pss\Device Detector 3.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=c:\windows\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 05:43	69632	----a-w-	c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2010-11-15 23:09	281768	----a-w-	c:\programme\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl]
2005-04-12 11:17	102400	----a-r-	c:\windows\ATK0100\HControl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-07-13 12:03	292128	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2004-09-24 16:22	1916928	----a-w-	c:\programme\nero\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50	155648	-c--a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power_Gear]
2004-09-21 15:55	81920	----a-w-	c:\programme\Asus\Power4 Gear\BatteryLife.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-01-12 01:01	32768	----a-w-	c:\programme\CyberLink\PowrDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2005-05-25 02:37	14477312	----a-w-	c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient]
2002-12-16 14:51	36864	----a-w-	c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-01-25 20:37	136600	----a-w-	c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2004-12-22 00:23	688218	----a-w-	c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2004-12-22 00:23	98394	----a-w-	c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomcatStartup]
2003-03-31 17:28	155648	----a-w-	c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\V0470Mon.exe]
2007-04-11 17:00	32768	----a-r-	c:\windows\V0470Mon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-02-13 18:29	35328	----a-w-	c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
"DM1Service"=2 (0x2)
"usnjsvc"=3 (0x3)
"S24EventMonitor"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\SightSpeed\\SightSpeed.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Dokumente und Einstellungen\\Veronika\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 R592;R592;c:\windows\system32\drivers\R592.sys [15.10.2004 19:26 57088]
R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15.10.2004 19:26 27264]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [01.01.2006 17:26 81408]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 13:56 135336]
R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [01.11.2005 14:09 8768]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.12.2005 16:52 65536]
R2 NBSPortDriver;NBSPortDriver;c:\windows\system32\drivers\NBSPortDriver.sys [05.04.2007 13:02 21496]
S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [12.11.2005 18:56 5824]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?]
S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [27.08.2008 18:37 146368]
.
Inhalt des "geplante Tasks" Ordners

2010-10-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.znout.org/index.php?color=black
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {96512D57-F751-4088-A689-5778FCC77F7A} - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab
DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
FF - ProfilePath - c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Mozilla\Firefox\Profiles\nsp64q0q.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.znout.org/index.php?color=black
FF - plugin: c:\programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-11-26 19:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1472)
c:\windows\system32\Ati2evxx.dll
c:\programme\Intel\Wireless\Bin\LgNotify.dll

- - - - - - - > 'explorer.exe'(740)
c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\LckFldService.exe
c:\windows\system32\NMSAccessU.exe
c:\programme\Intel\Wireless\Bin\OProtSvc.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Intel\Wireless\Bin\ZcfgSvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-26  19:32:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-11-26 18:32
ComboFix2.txt  2010-11-25 15:08
ComboFix3.txt  2010-11-23 22:09
ComboFix4.txt  2010-11-23 21:35

Vor Suchlauf: 20 Verzeichnis(se), 18.447.368.192 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 18.330.970.624 Bytes frei

- - End Of File - - 2F68DDACB16C0984ABA7AA52D5680E0E

--- --- ---

23.11.2010, 15:57	#16
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? Führ doch einfach CF aus __________________ Logfiles bitte immer in CODE-Tags posten

23.11.2010, 20:59	#18
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? Alte cofi löschen, CF neu als cofi herunterladen und bitte nochmal probieren __________________ __________________

24.11.2010, 17:24	#23
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? Das was du runterlädst ist eine zip Datei! Die musst du vorher entpacken, dann kommt eine iso Datei die man als Image brennen kann! __________________ Logfiles bitte immer in CODE-Tags posten

25.11.2010, 11:46	#25
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? Du machst beim Brennen was flasch. Brenn mal langsamer, max. 16x! __________________ Logfiles bitte immer in CODE-Tags posten

25.11.2010, 15:48	#27
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? Dann jetzt bitte einen neuen Durchgang mit CF machen - die alte cofi vorher löschen und CF wieder als cofi.exe neu herunterladen, Rest wie gehabt. __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?

Plagegeister aller Art und deren Bekämpfung: Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?