Nochmal Bundespolizei Trojaner

trick · 15.04.2011, 14:20

Done.

Code:

ATTFilter

ComboFix 11-04-14.03 - T61 15.04.2011  16:04:14.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2006.1320 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\T61\Desktop\cofi.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\T61\Startmenü\Programme\My Disk
c:\dokumente und einstellungen\T61\Startmenü\Programme\My Disk\My Disk.lnk
c:\dokumente und einstellungen\T61\Startmenü\Programme\My Disk\Uninstall My Disk.lnk
c:\dokumente und einstellungen\T61\WINDOWS
c:\programme\PC-Doctor\Downloads\194d1dc8-fbc8-481a-aa95-bf545be1d569.dll
c:\programme\PC-Doctor\Downloads\aaafe845-287d-4966-bd17-65877f9d0d2e.dll
c:\windows\system32\Thumbs.db
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-03-15 bis 2011-04-15  ))))))))))))))))))))))))))))))
.
.
2011-04-15 01:55 . 2011-04-15 01:55	--------	d-----w-	C:\_OTL
2011-04-14 20:36 . 2011-04-14 20:36	--------	d-----w-	c:\dokumente und einstellungen\T61\Anwendungsdaten\Malwarebytes
2011-04-14 20:36 . 2011-04-14 20:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-14 20:36 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-14 20:36 . 2011-04-15 09:29	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-04-14 20:36 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-14 20:35 . 2011-04-14 20:49	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PCDr
2011-04-14 14:24 . 2011-04-14 14:24	--------	d-----w-	c:\dokumente und einstellungen\Dao2\Lokale Einstellungen\Anwendungsdaten\Paint.NET
2011-04-14 13:53 . 2011-04-14 13:53	--------	d-----w-	c:\dokumente und einstellungen\Dao2\Lokale Einstellungen\Anwendungsdaten\Opera
2011-04-14 13:53 . 2011-04-14 13:53	--------	d-sh--w-	c:\dokumente und einstellungen\Dao2\PrivacIE
2011-04-13 22:48 . 2011-04-13 22:48	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IETldCache
2011-04-02 12:28 . 2011-04-02 12:28	--------	d-----w-	c:\dokumente und einstellungen\T61\Anwendungsdaten\PwrMgr
2011-04-01 16:27 . 2011-04-01 16:27	--------	d-----w-	c:\dokumente und einstellungen\T61\Lokale Einstellungen\Anwendungsdaten\Unity
2011-03-23 20:27 . 2011-03-23 20:27	--------	d-----w-	c:\programme\Paint.NET
2011-03-23 20:27 . 2011-03-23 20:27	--------	d-----w-	c:\dokumente und einstellungen\T61\Lokale Einstellungen\Anwendungsdaten\Paint.NET
2011-03-23 17:12 . 2011-03-23 17:12	--------	d-----w-	c:\dokumente und einstellungen\T61\Lokale Einstellungen\Anwendungsdaten\World Clock - countries
2011-03-23 17:10 . 2011-03-23 17:10	--------	d-----w-	c:\dokumente und einstellungen\T61\Lokale Einstellungen\Anwendungsdaten\World Clock - cities
2011-03-23 17:08 . 2011-03-23 17:08	--------	d-----w-	c:\dokumente und einstellungen\T61\Lokale Einstellungen\Anwendungsdaten\World+Clock
2011-03-18 09:29 . 2011-03-18 10:52	--------	d-----w-	c:\programme\McAfee Labs Stinger
2011-03-18 09:07 . 2011-02-23 14:56	371544	----a-w-	c:\windows\system32\drivers\aswSnx.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-15 10:47 . 2011-04-15 10:47	22432331	----a-w-	C:\_OTL.zip
2011-02-23 15:04 . 2010-12-01 11:49	40648	----a-w-	c:\windows\avastSS.scr
2011-02-23 15:04 . 2010-12-01 11:49	190016	----a-w-	c:\windows\system32\aswBoot.exe
2011-02-23 14:56 . 2010-12-01 11:49	301528	----a-w-	c:\windows\system32\drivers\aswSP.sys
2011-02-23 14:55 . 2010-12-01 11:49	49240	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2011-02-23 14:55 . 2010-12-01 11:49	102232	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2011-02-23 14:55 . 2010-12-01 11:49	96344	----a-w-	c:\windows\system32\drivers\aswmon.sys
2011-02-23 14:55 . 2010-12-01 11:49	25432	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2011-02-23 14:54 . 2010-12-01 11:49	30680	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2011-02-23 14:54 . 2010-12-01 11:49	19544	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2011-02-17 13:18 . 2006-01-27 01:00	455936	------w-	c:\windows\system32\drivers\mrxsmb.sys
2011-02-15 14:11 . 2011-02-15 14:11	40960	------r-	c:\dokumente und einstellungen\T61\Anwendungsdaten\Microsoft\Installer\{69F646F2-BC41-4408-BBFD-A9ED53348C38}\NewShortcut11_80433B8F47364D0B8E23C8BB1448731E_1.exe
2011-02-09 13:53 . 2006-01-27 01:01	270848	------w-	c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2006-01-27 01:01	186880	------w-	c:\windows\system32\encdec.dll
2011-02-02 07:58 . 2006-01-27 02:14	2067456	------w-	c:\windows\system32\mstscax.dll
2011-02-01 12:05 . 2007-10-16 03:47	38760	----a-w-	c:\windows\system32\ibmpmsvc.exe
2011-02-01 12:05 . 2007-10-16 03:47	35176	----a-w-	c:\windows\system32\tpinspm.dll
2011-02-01 12:05 . 2007-10-16 03:47	31984	----a-w-	c:\windows\system32\drivers\ibmpmdrv.sys
2011-01-27 11:57 . 2006-01-27 02:14	677888	------w-	c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2006-01-27 01:01	440832	------w-	c:\windows\system32\shimgvw.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-02-23 15:04	122512	----a-w-	c:\programme\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AquaSnap"="c:\programme\AquaSnap\AquaSnap.Daemon.exe" [2010-09-21 741376]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2010-10-14 128296]
"snp2uvc"="c:\windows\vsnp2uvc.exe" [2006-12-28 569344]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2010-12-15 738664]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2010-12-15 208896]
"TPFNF7"="c:\progra~1\Lenovo\NPDIRECT\TPFNF7SP.exe" [2010-03-26 62312]
"TpShocks"="TpShocks.exe" [2010-07-01 337256]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2007-03-28 243248]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-17 8433664]
"nwiz"="nwiz.exe" [2007-05-17 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-17 81920]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2006-02-02 122940]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"AwaySch"="c:\programme\Lenovo\AwayTask\AwaySch.EXE" [2006-11-07 91688]
"LPManager"="c:\progra~1\THINKV~1\PrdCtr\LPMGR.exe" [2009-07-23 185688]
"AMSG"="c:\progra~1\THINKV~1\AMSG\Amsg.exe" [2009-09-03 436800]
"DiskeeperSystray"="c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-05-18 196696]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2010-09-17 425984]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2010-09-17 176128]
"cssauth"="c:\programme\Lenovo\Client Security Solution\cssauth.exe" [2007-01-30 2618944]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-04 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-04 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-04 138008]
"PSQLLauncher"="c:\programme\ThinkVantage Fingerprint Software\launcher.exe" [2008-11-20 49928]
"avast5"="c:\programme\Alwil Software\Avast5\avastUI.exe" [2011-02-23 3451496]
"LenovoAutoScrollUtility"="c:\programme\Lenovo\VIRTSCRL\virtscrl.exe" [2010-04-01 43960]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2008-04-24 1036288]
"LPMailChecker"="c:\progra~1\THINKV~1\PrdCtr\LPMLCHK.exe" [2009-07-23 124248]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2007-01-09 868352]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"PDFPrint"="c:\programme\PDF24\pdf24.exe" [2011-04-08 220552]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\T61\Startmen\Programme\Autostart\
Yahoo! Widgets.lnk - c:\programme\Yahoo!\Widgets\YahooWidgets.exe [2008-3-19 4742184]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\ThinkPad\Bluetooth Software\BTTray.exe [2007-2-27 561213]
Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2010-12-1 50688]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2008-11-20 22:35	95496	------w-	c:\programme\ThinkVantage Fingerprint Software\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli c:\programme\ThinkVantage Fingerprint Software\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-01-30 15:45	35736	------w-	c:\programme\Adobe\Reader 10.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-01-11 14:21	246504	------w-	c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2006-11-03 08:56	204288	------w-	c:\programme\Windows Media Player\wmpnscfg.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\MetaTrader 4\\terminal.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
.
R0 DozeHDD;DozeHDD;c:\windows\system32\drivers\DOZEHDD.SYS [01.12.2010 22:02 25968]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [16.06.2010 14:44 20592]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [18.03.2011 11:07 371544]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [01.12.2010 13:49 301528]
R1 lenovo.smi;Lenovo System Interface Driver;c:\windows\system32\drivers\smiif32.sys [01.12.2010 21:09 13680]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [01.12.2010 13:49 19544]
R2 DozeSvc;Lenovo Doze Mode Service;c:\programme\ThinkPad\Utilities\DOZESVC.EXE [01.12.2010 22:02 128360]
R2 smihlp;SMI Helper Driver (smihlp);c:\programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [21.11.2008 00:11 12560]
R2 TPHKLOAD;Lenovo Hotkey Client Loader;c:\programme\Lenovo\HOTKEY\tphkload.exe [02.04.2011 14:20 99328]
R2 TPHKSVC;Anzeige am Bildschirm;c:\programme\Lenovo\HOTKEY\TPHKSVC.exe [30.03.2007 10:39 64440]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\Lenovo\Rescue and Recovery\rrpservice.exe [12.07.2007 02:38 569344]
R3 NETwLx32;    Intel(R) Wireless WiFi Link der Serie 5000 Adaptertreiber für Windows XP 32-Bit;c:\windows\system32\drivers\NETwLx32.sys [01.12.2010 21:58 6609920]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [13.09.2006 12:42 30336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.12.2010 11:27 136176]
S2 LENOVO.MICMUTE;Lenovo Microphone Mute;c:\programme\Lenovo\HOTKEY\micmute.exe [01.12.2010 21:09 45496]
S2 Power Manager DBC Service;Power Manager DBC Service;c:\programme\ThinkPad\Utilities\PWMDBSVC.exe [01.12.2010 22:02 61440]
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-15 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-02-12 13:54]
.
2011-04-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-12-24 09:27]
.
2011-04-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-12-24 09:27]
.
2011-04-10 c:\windows\Tasks\PCDoctorBackgroundMonitorTask.job
- c:\programme\PC-Doctor\uaclauncher.exe [2010-12-13 21:55]
.
2011-04-15 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2007-10-15 23:30]
.
2011-04-15 c:\windows\Tasks\SystemToolsDailyTest.job
- c:\programme\PC-Doctor\pcdrcui.exe [2010-12-13 21:55]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchURL,(Default) = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\T61\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
TCP: {A0B6E918-139D-4813-8130-2FCE0BEB4839} = 213.73.91.35,85.214.73.63
DPF: {439B6D3C-A359-4D73-8515-2AFE8CF90C08} - hxxp://www.tradesignalonline.com/charts/bin/axts5we.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
HKLM-Run-SynTPEnh - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
Notify-ACNotify - ACNotify.dll
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-15 16:14
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
.
c:\dokumente und einstellungen\T61\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-21-1101318145-1719183250-1039416730-1005\398fb75c56ce1b96e1db3070594d7101_3651133a-c433-407a-9675-a8c166b476aa 77 bytes
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1384)
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\AcCryptHlpr.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\programme\ThinkVantage Fingerprint Software\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infql2.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\qlbase.dll
.
- - - - - - - > 'lsass.exe'(1440)
c:\programme\ThinkVantage Fingerprint Software\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infql2.dll
.
- - - - - - - > 'explorer.exe'(5880)
c:\programme\AquaSnap\AquaSnap.Hook.dll
c:\programme\Lenovo\Client Security Solution\tvtpwm_windows_hook.dll
c:\programme\Lenovo\Client Security Solution\tvt_passwordmanager.dll
c:\programme\Lenovo\Client Security Solution\css_banner.dll
c:\programme\Lenovo\Client Security Solution\csswait.dll
c:\windows\system32\cssuserdatadispatcher.dll
c:\programme\Lenovo\Client Security Solution\css_dlgcustompolicy.dll
c:\windows\system32\tvttsp.dll
c:\windows\system32\tcsrpc.dll
c:\programme\Gemeinsame Dateien\Lenovo\tvt_think_res.dll
c:\programme\Lenovo\Client Security Solution\css_think_res.dll
c:\windows\system32\btmmhook.dll
c:\programme\PC-Doctor\ATLPcdToolbar571733.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\WiFi\bin\S24EvMon.exe
c:\programme\Alwil Software\Avast5\AvastSvc.exe
c:\windows\system32\IPSSVC.EXE
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\Diskeeper Corporation\Diskeeper\DkService.exe
c:\programme\Intel\WiFi\bin\EvtEng.exe
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
c:\programme\lenovo\system update\suservice.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\windows\system32\TpKmpSVC.exe
c:\programme\Lenovo\Client Security Solution\tvttcsd.exe
c:\windows\system32\wbem\unsecapp.exe
c:\programme\Lenovo\Rescue and Recovery\rrservice.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
c:\programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
c:\programme\Windows Media Player\WMPNetwk.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\programme\LENOVO\HOTKEY\tposdsvc.exe
c:\windows\system32\wscntfy.exe
c:\programme\Lenovo\HOTKEY\TPONSCR.exe
c:\programme\Lenovo\Zoom\TpScrex.exe
c:\programme\Synaptics\SynTP\SynTPEnh.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\TpShocks.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\progra~1\ThinkPad\UTILIT~1\SCHTASK.exe
c:\programme\Lenovo\Client Security Solution\tvtpwm_tray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-04-15  16:17:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-04-15 14:17
.
Vor Suchlauf: 18 Verzeichnis(se), 59.644.358.656 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 59.569.709.056 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 150900416A26BBB411F1EA1A3499BC51

Viele Grüße

Nico

cosinus · 15.04.2011, 14:22

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

trick · 15.04.2011, 16:18

So alles erledigt.

Viele Grüße

Nico

cosinus · 15.04.2011, 17:58

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

trick · 15.04.2011, 20:34

So erledigt.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6369

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.04.2011 21:09:34
mbam-log-2011-04-15 (21-09-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 263485
Laufzeit: 27 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:

ATTFilter

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 04/15/2011 bei 10:21 PM

Version der Applikation : 4.50.1002

Version der Kern-Datenbank : 6849
Version der Spur-Datenbank : 4661

Scan Art       : kompletter Scann
Totale Scann-Zeit : 01:04:33

Gescannte Speicherelemente  : 694
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 7652
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 95394
Erfasste Datei-Elemente   : 0

Ich denke mal, das bedeutet, dass mein System sauber ist.

Vielen vielen Dank. Du/ihr habt mir mehr oder minder den Ar?&% gerettet.

Jetzt werd ich mich erstmal um die Themen Benutzerkonten, Backup und Passwortschutz kümmern. Tips sind natürlich herzlich willkommen.

Ich denke mal, das war ein heilsamer Schock....

Also nochmal vielen Dank!

Viele Grüße

Nico

cosinus · 15.04.2011, 21:02

Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

15.04.2011, 17:58	#34
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Nochmal Bundespolizei Trojaner Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

Nochmal Bundespolizei Trojaner

Log-Analyse und Auswertung: Nochmal Bundespolizei Trojaner