Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   verdacht auf infektion, office fehler +logs (https://www.trojaner-board.de/64165-verdacht-infektion-office-fehler-logs.html)

Greatstuff 11.11.2008 00:49
verdacht auf infektion, office fehler +logs
 
Hallo Community,

ich habe folgendes Problem: Gestern habe ich von der ext. HDD eines Freundes Daten auf meine Festplatte kopiert. Seitdem habe ich folgenden Fehler in MS Word:

Zitat:
Zitat von MS Word
Dieses Dokument konnte nicht registriert werden. Es können keine Verknüpfungen von anderen Dokumenten zu diesem hergestellt werden.
Außerdem in MS Outlook wenn ich eine Mail beantworten will:

Zitat:
Zitat von MS Outlook
Dieses Formular müssen Sie mit Word als E-Mail Editor starten, aber Word wird entweder gerade verwendet oder wurde nicht gefunden. Das Formular wird stattdessen mit dem Outlook-Editor geöffnet.
Ob das kopieren (von evtl. befallenen Daten) wirklich der Auslöser war weiß ich nicht, ich hatte aufgrund der Fehlermeldungen die Windows Dienste in Verdacht. Habe meine Einstellungen mit denen von http://www.windows-tweaks.info/html/dienste.html verglichen: Es scheint alles zu passen wenn ich mich nicht 2x verschaut habe. Bin auf diverse "Problemlösungen" gestoßen und habe schließlich zu diesem Forum gefunden (http://www.trojaner-board.de/16294-d...rt-werden.html).

Habe gleich Hijackthis und eScan nach Anleitung ausprobiert, Logs findet ihr unten. Einstellungen habe ich bisher noch keine verändert um keine Verschlimmbesserungen (mehr) hervorzurufen. eScan wurde auch fündig, s.u.

Systemdaten:
Windows XP Prof. SP3
MS Office 2002
Windows Firewall (bessere Alternativen?)
F-Prot Antivirus (bessere Alternativen?)
Firefox 3
Outlook (jaja, steig jetzt eh um auf Thunderbird)
Updates aktuell

Bis auf die oben genannten Fehler scheint alles normal zu funktionieren, allerdings machen mich die Funde von eScan stutzig, vor allem die vielen Errors... :heulen:

Danke im Voraus an all jene die sich mit meinem Problem beschäftigen, ihr seid eine große Hilfe! :heilig:

lg,
Stefan

Zitat:
Zitat von eScan Log
10 Nov 2008 20:55:44 - ERROR!!! Invalid Entry \??\C:\DOKUME~1\Stefan\LOKALE~1\Temp\ALSysIO.sys in HKLM\SYSTEM\CurrentControlSet\Services\ALSysIO. Action Taken: No Action Taken.
10 Nov 2008 20:55:48 - ERROR(2)!!! ScanFile Fails for C:\WINDOWS\system32\Drivers\sptd.sys...

10 Nov 2008 20:56:04 - System found infected with video activex access Trojan (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Maßnahme ergriffen.
10 Nov 2008 20:56:13 - Offending Folder found: F:\Eigene Dateien\eigene musik\tims i-pod muke\kazaa
10 Nov 2008 20:56:13 - Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
10 Nov 2008 21:00:53 - AA??AA Datei C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\NERO13346\Toolbar.exe markiert als "not-a-virus:WebToolbar.Win32.MyWebSearch.bm". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:31 - Checking MountPoints2 Registry Key...
10 Nov 2008 20:56:31 - Checking CLSID Reference Entries...
10 Nov 2008 20:56:33 - Eintrag "HKCR\MailFileAtt" verweist auf das ungültige Objekt "{00020D05-0000-0000-C000-000000000046}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:33 - Eintrag "HKCR\mapifvbx.object" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:33 - Eintrag "HKCR\mapifvbx.object.1" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:35 - Checking Module Usage Entries...
10 Nov 2008 20:56:35 - Checking User Trusted External App Entries...
10 Nov 2008 20:56:35 - Checking Shared DLL Entries...
10 Nov 2008 20:56:35 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\MSXML3A.DLL". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:35 - Checking Installer Entries...
10 Nov 2008 20:56:36 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Office Tools\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:38 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Live\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Checking Shared Tools Entries...
10 Nov 2008 20:56:39 - Checking File Extension Entries...
10 Nov 2008 20:56:39 - Checking Application Cache Entries...
10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{21C6538E-344A-405C-92E9-37559C0ED2EC}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{2CB5D4F9-0B93-4BBF-BFB7-A96C26CEE63E}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{32971938-65B1-4B38-B483-9A32560B7CF2}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{40CEB0B7-671F-4269-BB20-9388B7BC5FBF}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{4757E865-0292-4E04-940D-9C51052A5DD6}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{4D072D56-B07B-4798-97B2-B9E7A4F53EAC}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{5F4B6C81-64E8-4B16-A932-1C444E1BA970}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{60556C49-6363-4A37-B4E4-2F6DB6C65567}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{805428C5-0990-4C68-B4CF-C21065E9F944}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{923D89F2-B3D7-4530-8165-309F1DE72706}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{9DFD0865-4E0F-4947-A77D-43D58782A57F}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{A1F78920-D074-41B3-B244-77FE9E83F081}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{AC695AD6-F18D-45DD-9CC8-264DCB784EA6}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{AC76BA86-7AD7-1033-7B44-A70000000000}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{B0AEF410-04FF-4AEC-8D8E-C9427C38BBCD}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{B945219C-C51C-4BD0-BAD5-A3FED95B555F}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{C602034B-0E04-4A4C-994B-9BE7AEFF5931}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{C87F6DF1-15EE-44F5-85FD-0C781C4B198E}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{CCFD0EBD-252F-42F4-95AE-01E358EFD87A}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{F0B92BF3-DF57-4987-8FDB-77B7E79A2016}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:56:39 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{F14D124D-6DD4-4A59-8A23-075B92ED2C4C}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

10 Nov 2008 20:58:12 - ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
10 Nov 2008 20:58:12 - ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
10 Nov 2008 20:58:14 - ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT
10 Nov 2008 20:58:14 - ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
10 Nov 2008 20:58:36 - ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp
10 Nov 2008 20:58:53 - ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
10 Nov 2008 20:58:53 - ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
10 Nov 2008 20:58:53 - ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
10 Nov 2008 20:58:53 - ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
10 Nov 2008 20:59:30 - ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\xxx@xxx\SharingMetadata\timvan10@hotmail.com\DFSR\Staging\CS{74540D17-05AA-1D06-F1B9-EC70AD1097A4}\01\11-{74540D17-05AA-1D06-F1B9-EC70AD1097A4}-v1-{B3EB
10 Nov 2008 21:01:21 - ERROR(3)!!! ScanFile fails for C:\pagefile.sys
10 Nov 2008 21:05:26 - ERROR(3)!!! ScanFile fails for C:\Programme\Java\jre6\lib\rt.jar
10 Nov 2008 21:12:27 - ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default
10 Nov 2008 21:12:27 - ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
10 Nov 2008 21:12:27 - ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
10 Nov 2008 21:12:27 - ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
10 Nov 2008 21:12:27 - ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
10 Nov 2008 21:12:27 - ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
10 Nov 2008 21:12:27 - ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software
10 Nov 2008 21:12:27 - ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
10 Nov 2008 21:12:27 - ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system
10 Nov 2008 21:12:27 - ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG
10 Nov 2008 21:13:19 - ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\drivers\sptd.sys
10 Nov 2008 21:25:18 - Result: ERROR!!! File F:\Eigene Dateien\Eigene Musik\carmina burana\11 In Taberna_ Estuans Interius.mp3 is Not Scanned
10 Nov 2008 21:28:06 - ERROR(3)!!! ScanFile fails for G:\Backup\Laptop\08-08-07\Download\tmnationseswc_setup.exe
10 Nov 2008 21:30:13 - ERROR(3)!!! ScanFile fails for G:\Backup\31-10-08\Daten E\Download\178.24_geforce_winxp_32bit_international_whql.exe
10 Nov 2008 21:30:32 - ERROR(3)!!! ScanFile fails for G:\Backup\31-10-08\Daten E\Download\iTunes801Setup.exe
10 Nov 2008 21:36:46 - ERROR(3)!!! ScanFile fails for G:\Backup\31-10-08\Daten E\Bilder\away\maturareise-tunesien.zip
10 Nov 2008 21:39:36 - ERROR(3)!!! ScanFile fails for G:\Backup\31-10-08\Eigene Dateien\Meine empfangenen Dateien\Die Ku¨chenuhr.doc
10 Nov 2008 21:43:10 - ERROR(3)!!! ScanFile fails for G:\Backup\31-10-08\Treiber etc\Treiber\Grafikkarte\178.24_geforce_winxp_32bit_international_whql.exe
10 Nov 2008 21:44:01 - ERROR(3)!!! ScanFile fails for G:\Backup\31-10-08\Treiber etc\WindowsXP-KB936929-SP3-x86-DEU.exe
10 Nov 2008 21:45:25 - ERROR(3)!!! ScanFile fails for G:\Download\OOo_2.4.0_Win32Intel_install_de.exe
Zitat:
Zitat von HiJackThis Logfile
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:26:24, on 11.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Windows Live\installer\WLSetupSvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ASUS\ASUS DH Remote\AsRc.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Creative\Surround Mixer\CTSysVol.exe
C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
C:\Programme\Java\jre6\bin\jusched.exe
E:\Programme\DAEMON Tools Lite\daemon.exe
E:\Programme\Core Temp\Core Temp.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe
E:\Programme\Datacolor\Spyder3Elite\Utility\Spyder3Utility.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - E:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - E:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Programme\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Core Temp] "E:\Programme\Core Temp\Core Temp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1390067357-1220945662-725345543-1003\..\Run: [DAEMON Tools Lite] "E:\Programme\DAEMON Tools Lite\daemon.exe" -autorun (User '?')
O4 - HKUS\S-1-5-21-1390067357-1220945662-725345543-1003\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe /start (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Spyder3Utility.lnk = E:\Programme\Datacolor\Spyder3Elite\Utility\Spyder3Utility.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://E:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://E:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://E:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://E:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software International - C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - E:\Programme\SiSoftware Sandra Lite 2009.SP1\RpcAgentSrv.exe

--
End of file - 6559 bytes

Chris4You 11.11.2008 07:31
Hi,

das HJ-Log sieht sauber aus...

Welche Daten wurden kopiert und wurden diese bereits "bearbeitet"?

Bitte MAM & RSIT:

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

Greatstuff 11.11.2008 14:43
Chris, danke das du dich mir hilfst!

Bei den kopierten Daten handelt es sich um mp-3 Files. Diese wurden teilweise schon wiedergegeben auf meinem Rechner.

Habe jetzt erst mal das Malwarebytes Programm durchgeführt, hier das Log:

Zitat:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1382
Windows 5.1.2600 Service Pack 3

11.11.2008 14:36:01
mbam-log-2008-11-11 (14-35-54).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 156198
Laufzeit: 1 hour(s), 30 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> No action taken.
C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> No action taken.
Schaut irgendwie ziemlich bös aus :(

Hab das Programm noch offen, was soll ich mit den Funden jetzt machen? Habe die Möglichkeit "ignorieren" oder "Entferne Auswahl" (=bereinigen?)...

Danke & lg
Stefan

Chris4You 11.11.2008 14:46
Hi,

alles entfernen lassen!

Danach Combofix:
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris

Greatstuff 11.11.2008 16:53
Hallo,

habe jetzt das ComboFix Log!
Weitere Symptome: Vor ComboFix war die Internetverbindung plötzlich komplett langsam, danach ging es wieder? Vielleicht nur zufalll...

btw., RSIT hab ich noch nicht gemacht, soll ich noch?

Zitat:
ComboFix 08-11-10.01 - Stefan 2008-11-11 16:47:48.1 - NTFSx86

ausgeführt von:: c:\programme\Combofix\ComboFix.exe
Benutzte Befehlsschalter :: f:\download\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Resident AV is active

.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\regedit.com
c:\windows\system32\dcfdfb_z.dll
c:\windows\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-11 bis 2008-11-11 ))))))))))))))))))))))))))))))
.

2008-11-11 16:30 . 2008-11-11 16:30 <DIR> d-------- c:\programme\Combofix
2008-11-11 14:37 . 2008-11-11 14:37 <DIR> d-------- C:\rsit
2008-11-11 12:20 . 2008-11-11 12:20 <DIR> d-------- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Malwarebytes
2008-11-11 12:20 . 2008-11-11 12:20 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-11 12:20 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-11 12:20 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-11 01:13 . 2008-11-11 01:13 271,360 --a------ c:\windows\system32\drivers\atksgt.sys
2008-11-11 01:13 . 2008-11-11 01:13 18,048 --a------ c:\windows\system32\drivers\lirsgt.sys
2008-11-11 01:10 . 2005-05-26 15:34 2,297,552 --a------ c:\windows\system32\d3dx9_26.dll
2008-11-11 01:10 . 2006-07-28 09:30 236,824 --a------ c:\windows\system32\xactengine2_3.dll
2008-11-11 01:10 . 2006-07-28 09:30 62,744 --a------ c:\windows\system32\xinput1_2.dll
2008-11-10 21:45 . 2008-11-10 21:45 0 --a------ C:\23990098.$$$
2008-11-10 20:55 . 2008-11-10 20:55 <DIR> d-a------ c:\windows\zts2.exe
2008-11-10 20:55 . 2008-11-10 20:55 <DIR> d-a------ c:\windows\system32\iifgfgf.dll
2008-11-10 20:55 . 2008-11-10 20:55 <DIR> d-a------ c:\windows\rundl132.dll
2008-11-10 20:45 . 2008-11-10 20:54 54 --a------ c:\windows\Lic.xxx
2008-11-10 20:44 . 2008-11-10 20:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2008-11-10 20:44 . 2008-11-10 20:44 626,688 --a------ c:\windows\system32\msvcr80.dll
2008-11-10 20:44 . 2008-11-10 20:44 548,864 --a------ c:\windows\system32\msvcp80.dll
2008-11-10 20:44 . 2008-04-14 07:53 153,600 --a------ c:\windows\R.COM
2008-11-10 20:44 . 2008-04-14 07:53 140,800 --a------ c:\windows\system32\T.COM
2008-11-10 20:44 . 2008-11-10 20:44 28,672 --a------ c:\windows\system32\eEmpty.exe
2008-11-10 20:44 . 2005-09-22 23:22 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2008-11-10 20:22 . 2008-11-10 20:56 <DIR> d-------- C:\Bases_X
2008-11-09 23:40 . 2008-11-09 23:40 <DIR> d-------- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\FRISK Software
2008-11-09 01:07 . 2008-04-14 07:52 221,184 --a------ c:\windows\system32\wmpns.dll
2008-11-09 01:07 . 1998-09-02 09:02 194,320 --a------ c:\windows\system32\qcut.dll
2008-11-09 01:07 . 1998-08-27 05:51 182,032 --a------ c:\windows\system32\dxtmsft3.dll
2008-11-09 01:07 . 1998-08-20 12:02 140,800 --a------ c:\windows\system32\tm20dec.ax
2008-11-09 01:07 . 1998-09-02 09:28 63,488 --a------ c:\windows\system32\unam4ie.exe
2008-11-09 01:07 . 1998-09-02 09:28 38,160 --a------ c:\windows\system32\LMRTREND.dll
2008-11-09 01:07 . 1998-08-17 10:21 11,776 --a------ c:\windows\system32\mciqtz.drv
2008-11-09 01:07 . 1998-08-17 10:21 10,240 --a------ c:\windows\system32\vidx16.dll
2008-11-09 01:07 . 1998-08-17 10:21 5,672 --a------ c:\windows\system32\quartz.vxd
2008-11-09 01:07 . 2008-11-09 01:07 4,608 --a------ c:\windows\system32\w95inf32.dll
2008-11-09 01:07 . 2008-11-09 01:07 2,272 --a------ c:\windows\system32\w95inf16.dll
2008-11-08 21:54 . 2008-11-08 21:54 <DIR> d-------- c:\windows\Sun
2008-11-08 21:54 . 2008-11-08 21:54 <DIR> d-------- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Apple Computer
2008-11-08 21:53 . 2008-11-08 21:53 <DIR> d-------- c:\programme\iPod
2008-11-08 21:53 . 2008-11-08 21:53 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-11-08 21:53 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll
2008-11-08 21:53 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys
2008-11-08 21:50 . 2008-11-08 21:50 <DIR> d-------- c:\programme\Apple Software Update
2008-11-08 21:50 . 2008-11-08 21:50 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-11-08 21:50 . 2008-10-01 13:01 32,000 --a------ c:\windows\system32\drivers\usbaapl.sys
2008-11-08 21:49 . 2008-11-09 15:59 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple
2008-11-08 21:49 . 2008-11-08 21:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-11-08 21:48 . 2008-11-08 21:48 <DIR> d-------- c:\programme\Java
2008-11-08 21:48 . 2008-11-08 21:48 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-08 21:48 . 2008-11-08 21:48 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-11-07 12:30 . 2006-10-19 03:11 12,096 --a------ c:\windows\system32\drivers\AsInsHelp64.sys
2008-11-07 12:30 . 2006-10-19 03:11 10,304 --a------ c:\windows\system32\drivers\AsInsHelp32.sys
2008-11-06 02:09 . 2008-11-06 02:17 <DIR> d-------- c:\programme\NOS
2008-11-06 02:09 . 2008-11-06 02:17 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2008-11-06 00:37 . 2008-11-06 00:36 12,288 --a------ c:\windows\system32\drivers\EIO64_xp.sys
2008-11-05 14:28 . 2007-07-30 19:19 271,224 --a------ c:\windows\system32\mucltui.dll
2008-11-05 14:28 . 2007-07-30 19:19 207,736 --a------ c:\windows\system32\muweb.dll
2008-11-05 14:28 . 2007-07-30 19:18 30,072 --a------ c:\windows\system32\mucltui.dll.mui
2008-11-04 20:20 . 2008-11-04 20:20 <DIR> d---s---- c:\dokumente und einstellungen\Stefan\UserData
2008-11-04 20:01 . 2008-11-04 20:01 <DIR> d-------- c:\dokumente und einstellungen\Stefan\Contacts
2008-11-04 19:48 . 2008-11-04 20:01 <DIR> d-------- c:\programme\Windows Live
2008-11-04 19:48 . 2008-11-04 20:00 <DIR> d--hsc--- c:\programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-11-04 19:48 . 2008-11-04 19:48 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-11-04 18:21 . 2008-11-04 18:21 23 --a------ c:\windows\system32\edcceb5_z.ocx
2008-11-04 18:13 . 2008-11-04 18:13 <DIR> d-------- c:\programme\MSXML 4.0
2008-11-04 16:07 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-11-04 16:07 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2008-11-04 16:06 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-11-04 16:06 . 2008-08-14 11:04 138,496 -----c--- c:\windows\system32\dllcache\afd.sys
2008-11-04 16:00 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-11-04 16:00 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-11-04 16:00 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-11-04 16:00 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-11-04 15:59 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2008-11-04 15:58 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2008-11-04 15:58 . 2008-05-01 15:34 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2008-11-04 15:57 . 2008-11-04 18:17 <DIR> d--h----- c:\windows\$hf_mig$
2008-11-04 15:57 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-11-04 03:16 . 2008-11-04 03:16 <DIR> d-------- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\DivX
2008-11-04 03:16 . 2008-11-09 23:10 69 --a------ c:\windows\NeroDigital.ini
2008-11-04 01:07 . 2008-11-04 01:07 0 --ah----- c:\windows\system32\drivers\MsftWdf_Kernel_01001_Coinstaller_Critical.Wdf
2008-11-04 01:07 . 2008-11-04 01:07 0 --ah----- c:\windows\system32\drivers\Msft_Kernel_Spyder3_01001.Wdf
2008-11-04 01:04 . 2004-03-29 16:23 90,112 --a------ c:\windows\unvise32.exe
2008-11-03 17:22 . 2008-11-03 17:23 <DIR> d-------- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Notepad++
2008-11-03 16:44 . 2008-03-28 14:06 592,224 --a------ c:\windows\system32\drivers\FStopW.sys
2008-11-03 15:56 . 2008-11-03 15:56 0 --a------ c:\windows\nsreg.dat
2008-11-03 15:05 . 2008-11-03 15:05 <DIR> d-------- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Ahead
2008-11-03 14:58 . 2008-11-03 14:58 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ahead
2008-11-03 14:58 . 2008-11-03 14:58 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2008-11-02 18:44 . 2008-11-02 18:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-11-02 15:09 . 2008-11-02 15:09 <DIR> d-------- c:\windows\system32\Futuremark
2008-11-02 15:09 . 2004-10-25 21:02 21,664 --a------ c:\windows\system32\drivers\Entech.sys
2008-11-02 15:09 . 1999-11-02 11:01 6,173 --a------ c:\windows\system32\drivers\Entech.vxd
2008-11-02 15:09 . 2004-06-22 16:44 5,632 --a------ c:\windows\system32\drivers\Entech64.sys
2008-11-02 15:09 . 2001-11-19 20:05 3,972 --a------ c:\windows\system32\drivers\PciBus.sys
2008-11-01 23:40 . 2008-11-01 23:40 <DIR> d-------- c:\programme\FRISK Software
2008-11-01 23:40 . 2008-11-01 23:40 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FRISK Software
2008-11-01 17:58 . 2008-11-01 17:58 <DIR> d-------- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\AdobeUM
2008-11-01 17:51 . 2008-11-01 17:52 <DIR> d-------- c:\windows\ASUS_Ai_Proactive_Screensaver (E) dir
2008-11-01 17:51 . 2008-11-01 17:51 606,848 --a------ c:\windows\flashax.exe
2008-11-01 17:51 . 2008-11-01 17:51 194,560 --a------ c:\windows\ASUS_Ai_Proactive_Screensaver (E).scr
2008-11-01 17:51 . 2008-11-01 17:51 12,288 --a------ c:\windows\impborl.dll
2008-11-01 17:50 . 2008-11-01 17:50 <DIR> d-------- c:\windows\ASUSInstAll
2008-11-01 17:50 . 2008-11-01 17:50 28,285 --a------ c:\windows\Ascd_tmp.ini
2008-11-01 17:50 . 2004-04-27 16:26 5,824 --a------ c:\windows\system32\drivers\ASUSHWIO.SYS
2008-11-01 17:31 . 2008-11-09 19:22 <DIR> d-------- c:\programme\Bonjour
2008-11-01 17:27 . 2008-11-01 17:27 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
2008-11-01 17:27 . 2008-11-06 02:12 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe
2008-11-01 17:19 . 2008-11-01 17:19 <DIR> d-------- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Command & Conquer 3 Tiberium Wars
2008-11-01 17:18 . 2006-11-29 13:06 3,426,072 --a------ c:\windows\system32\d3dx9_32.dll
2008-11-01 10:01 . 2008-11-01 10:01 <DIR> d-------- c:\programme\Canon
2008-11-01 09:56 . 2008-11-04 00:48 <DIR> d-------- c:\programme\Gemeinsame Dateien\Nikon
2008-11-01 09:55 . 2008-11-01 09:55 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ultima_T15
2008-11-01 09:55 . 2008-11-01 09:55 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\EnterNHelp
2008-11-01 09:55 . 2008-11-01 09:55 20 ---h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLdw.DAT
2008-11-01 09:39 . 2008-11-01 09:39 <DIR> d-------- c:\windows\ShellNew
2008-11-01 09:39 . 2008-11-01 09:39 400 --a------ c:\windows\ODBC.INI
2008-11-01 09:30 . 2003-12-31 08:48 106,496 --a------ c:\windows\system32\drivers\CTTHXCal.DLL
2008-11-01 09:29 . 2000-05-11 01:00 90,112 --------- c:\windows\Updreg.EXE
2008-11-01 09:29 . 2008-11-01 09:29 66 --a------ c:\windows\SBWIN.INI
2008-11-01 09:28 . 1998-01-07 18:00 1,048,576 --------- c:\windows\system32\SFMAN.DAT
2008-11-01 09:28 . 1995-01-13 07:10 149,504 --------- c:\windows\system32\MFCANS32.DLL
2008-11-01 09:28 . 1995-01-13 07:10 108,032 --------- c:\windows\system32\MFCUIA32.DLL
2008-11-01 09:28 . 1998-06-04 19:00 84,992 --------- c:\windows\system32\SFCVRT32.DLL
2008-11-01 09:28 . 1995-08-29 19:02 82,432 --------- c:\windows\system32\CTWFLT32.DLL

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-11 00:01 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-07 11:30 --------- d-----w c:\programme\ASUS
2008-11-02 14:10 86,016 ----a-w c:\windows\system32\OpenAL32.dll
2008-11-01 07:22 444,952 ----a-w c:\windows\system32\wrap_oal.dll
2008-11-01 07:21 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-11-01 05:58 --------- d-----w c:\programme\REALTEK RTL8187 UpData EEPROM Utility
2008-11-01 05:58 --------- d-----w c:\programme\ASUS WiFi-AP Solo
2008-11-01 05:56 21,035 ----a-w c:\windows\system32\drivers\AegisP.sys
2008-11-01 05:54 --------- d-----w c:\programme\Marvell
2008-11-01 05:46 --------- d-----w c:\programme\Intel
2008-11-01 04:37 --------- d-----w c:\programme\Online-Dienste
2008-11-01 04:37 --------- d-----w c:\programme\microsoft frontpage
2008-11-01 04:36 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-10-28 22:36 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-10-28 22:36 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-10-28 22:35 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-10-28 22:35 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-10-28 22:35 684,032 ----a-w c:\windows\system32\DivX.dll
2008-09-25 08:03 81,920 ----a-w c:\windows\system32\dpl100.dll
2008-09-25 08:03 593,920 ----a-w c:\windows\system32\dpuGUI11.dll
2008-09-25 08:03 57,344 ----a-w c:\windows\system32\dpv11.dll
2008-09-25 08:03 53,248 ----a-w c:\windows\system32\dpuGUI10.dll
2008-09-25 08:03 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-09-25 08:03 344,064 ----a-w c:\windows\system32\dpus11.dll
2008-09-25 08:03 294,912 ----a-w c:\windows\system32\dpu11.dll
2008-09-25 08:03 294,912 ----a-w c:\windows\system32\dpu10.dll
2008-09-25 08:03 196,608 ----a-w c:\windows\system32\dtu100.dll
2008-09-25 08:03 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-09-19 21:57 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-09-19 21:55 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-09-19 21:55 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-09-19 21:54 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-04 08:31 288,024 ----a-w c:\windows\system32\PhysXCplUI.exe
2008-08-29 09:18 87,336 ----a-w c:\windows\system32\dns-sd.exe
2008-08-29 08:53 61,440 ----a-w c:\windows\system32\dnssd.dll
2008-08-29 07:57 70,936 ----a-w c:\windows\system32\PhysXLoader.dll
2008-08-20 05:08 671,744 ----a-w c:\windows\system32\wininet.dll
2008-08-14 13:19 2,147,840 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:19 2,026,496 ----a-w c:\windows\system32\ntkrnlpa.exe
2006-06-23 13:48 32,768 ----a-w c:\windows\inf\UpdateUSB.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="e:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
"Core Temp"="e:\programme\Core Temp\Core Temp.exe" [2008-08-22 277008]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ASUS SmartDoctor"="c:\programme\ASUS\SmartDoctor\SmartDoctor.exe" [2008-06-30 1150976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ai Quicker Help"="c:\programme\ASUS\ASUS DH Remote\AsRc.exe" [2006-11-09 3165696]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-05-03 151552]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2007-02-05 849280]
"zBrowser Launcher"="c:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"CTSysVol"="c:\programme\Creative\Surround Mixer\CTSysVol.exe" [2003-07-02 57344]
"F-PROT Antivirus Tray application"="c:\programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe" [2008-04-21 1597832]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-08 136600]
"DXM6Patch_981116"="c:\windows\p_981116.exe" [1998-11-30 497376]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Spyder3Utility.lnk - e:\programme\Datacolor\Spyder3Elite\Utility\Spyder3Utility.exe [2008-03-19 6333954]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\FPAVServer]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ASUS WiFi-AP Solo.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ASUS WiFi-AP Solo.lnk
backup=c:\windows\pss\ASUS WiFi-AP Solo.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-06-27 19:03 152872 c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-10-01 18:57 289576 e:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 e:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
--------- 2000-05-11 01:00 90112 c:\windows\Updreg.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]
--a------ 2008-06-27 17:24 19456 c:\windows\system32\CtHelper.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"e:\\Programme\\SiSoftware Sandra Lite 2009.SP1\\RpcAgentSrv.exe"=
"e:\\Programme\\SiSoftware Sandra Lite 2009.SP1\\WNt500x86\\RpcSandraSrv.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"e:\\Programme\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)


*Newly Created Service* - ALSYSIO
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-11-10 c:\windows\Tasks\F-PROT Antivirus - woechentlich alles.job
- c:\programme\FRISK Software\F-PROT Antivirus for Windows\FPWin.exe [2008-04-21 21:26]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\015u0ahs.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - e:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - e:\programme\Mozilla Firefox\plugins\np_gp.dll
FF -: plugin - e:\programme\Mozilla Firefox\plugins\npdeploytk.dll
FF -: plugin - e:\programme\Mozilla Firefox\plugins\npLegitCheckPlugin.dll
FF -: plugin - e:\programme\Mozilla Firefox\plugins\npnul32.dll
FF -: plugin - e:\programme\Mozilla Firefox\plugins\nppdf32.dll
FF -: plugin - e:\programme\Mozilla Firefox\plugins\npqtplugin.dll
FF -: plugin - e:\programme\Mozilla Firefox\plugins\npqtplugin2.dll
FF -: plugin - e:\programme\Mozilla Firefox\plugins\npqtplugin3.dll
FF -: plugin - e:\programme\Mozilla Firefox\plugins\npqtplugin4.dll
FF -: plugin - e:\programme\Mozilla Firefox\plugins\npqtplugin5.dll
FF -: plugin - e:\programme\Mozilla Firefox\plugins\npqtplugin6.dll
FF -: plugin - e:\programme\Mozilla Firefox\plugins\npqtplugin7.dll
FF -: plugin - e:\programme\QuickTime\Plugins\npqtplugin.dll
FF -: plugin - e:\programme\QuickTime\Plugins\npqtplugin2.dll
FF -: plugin - e:\programme\QuickTime\Plugins\npqtplugin3.dll
FF -: plugin - e:\programme\QuickTime\Plugins\npqtplugin4.dll
FF -: plugin - e:\programme\QuickTime\Plugins\npqtplugin5.dll
FF -: plugin - e:\programme\QuickTime\Plugins\npqtplugin6.dll
FF -: plugin - e:\programme\QuickTime\Plugins\npqtplugin7.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-11 16:49:08
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-11 16:49:29
ComboFix-quarantined-files.txt 2008-11-11 15:49:25

Vor Suchlauf: 12 Verzeichnis(se), 28.915.322.880 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 29,759,856,640 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

299 --- E O F --- 2008-11-05 14:50:07
lg,
Stefan

Chris4You 12.11.2008 07:58
Hi,

das combofix-Logs sieht sauber aus...

[b)System Reparieren:[/b]
Vorher Backup machen
Lade Dir "Advanced Windowscare Professional" von folgender Adresse:
http://www.iobit.com/advancedwindowscareper.html?Str=download
Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen.
Erstelle einen Systemwiederherstellungspunkt
(Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen.
Führe dann einen Update der Signatur/Reperaturdateien aus.
Lasse dann das gesamte System scannen und Bereinigen sowie
Immunisieren.
Damit werden einige Einträge wieder gerade gebogen, die von
Trojaneren/Viren verbogen worden sind...

chris

Greatstuff 12.11.2008 13:55
Hallo Chris,

Hab das Programm vom Link geladen und ausgeführt (war allerdings nicht die kostenpflichtige Pro Version sondern die Freeware aber das war wahrscheinlich eh so gemeint).

Es wurden bei Spyware wieder 6 Einträge gefunden (tracking cookies von windows.wga zB :eek:) die aber behoben wurden (ebenfalls bei den übrigen Punkten). Wenn ich Windowscare ein zweites mal ausführe findet es nichts mehr. Wiederherstellungspunkt wurde auch gesetzt.

Chris, ich danke dir! :party:
Ohne Leute wie dich würden Leute wie ich ihr System einfach neu aufsetzen und sich danach wundern wieso die Fehler immer noch da sind, F-prot findet ja nix :kloppen:

Gehts jetzt noch weiter?

lg
Stefan

Chris4You 12.11.2008 14:38
Hi,

aufsetzten ist tatsächlich die sicherste Lösung ;o)..

Was macht Word? Will es wieder?

Noch ein Rootkitscan, dann sollten wir durch sein:

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

MBR-Rootkit

Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:
Zitat:
D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

So, ein ganz interessante Firewall ist Online Amor free edition:
http://www.tallemu.com/free-firewall-protection-software.html
z. Z. leider noch in English, kommt aber wohl auch in Deutsch...

chris

Greatstuff 12.11.2008 18:44
Zitat:
aufsetzten ist tatsächlich die sicherste Lösung ;o)..
Da hast du natürlich recht, ich meinte aufsetzen ohne Virenscannen bzw. mit Virenscannern scannen die nix finden :-)
Aufsetzen werd ich dann wohl auch noch wenn die Prozedur hier beendet ist, ist ja zum Glück keine große Sache.

Word zeigt den Fehler immer noch :-( Wie gesagt, aufsetzen, hauptsache die Viren sind endlich mal weg!

Avira Rootkit hat nichts gefunden, hier das Log:

Code:
Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
 - Scan started Mittwoch, 12. November 2008 - 18:39:00
========================================================================================================

--------------------------------------------------------------------------------------------------------
  Configuration:
--------------------------------------------------------------------------------------------------------
 - [X] Scan files
 - [X] Scan registry
 - [X] Scan processes
 - [ ] Fast scan
 - Working disk total size : 39.06 GB
 - Working disk free size : 27.66 GB (70 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/120714
Registry items: 0/278201
Processes: 0/37
Scan time: 00:01:29
--------------------------------------------------------------------------------------------------------
Active processes:
  - fdlsltwp.exe    (PID 3020) (Avira AntiRootkit Tool - Beta)
  - System          (PID 4)
  - smss.exe        (PID 436)
  - csrss.exe        (PID 644)
  - winlogon.exe    (PID 668)
  - services.exe    (PID 712)
  - lsass.exe        (PID 724)
  - svchost.exe      (PID 960)
  - svchost.exe      (PID 988)
  - svchost.exe      (PID 1172)
  - spoolsv.exe      (PID 1240)
  - ATKKBService.exe (PID 1340)
  - FPAVServer.exe  (PID 1376)
  - IAANTmon.exe    (PID 1408)
  - jqs.exe          (PID 1424)
  - wdfmgr.exe      (PID 1508)
  - WLSetupSvc.exe  (PID 1532)
  - wmiapsrv.exe    (PID 1948)
  - alg.exe          (PID 1996)
  - svchost.exe      (PID 1700)
  - explorer.exe    (PID 1928)
  - AsRc.exe        (PID 456)
  - IAAnotif.exe    (PID 360)
  - ipoint.exe      (PID 472)
  - AsDHRemote.exe  (PID 504)
  - iTouch.exe      (PID 544)
  - rundll32.exe    (PID 568)
  - CTSysVol.exe    (PID 876)
  - FProtTray.exe    (PID 1392)
  - jusched.exe      (PID 1548)
  - daemon.exe      (PID 2080)
  - Core Temp.exe    (PID 2112)
  - SmartDoctor.exe  (PID 2148)
  - Spyder3Utility.exe (PID 2192)
  - wmplayer.exe    (PID 2232)
  - msnmsgr.exe      (PID 3640)
  - avirarkd.exe    (PID 3748)
========================================================================================================
 - Scan finished  Mittwoch, 12. November 2008 - 18:40:30
========================================================================================================
MBR macht ich jetzt!

lg
Stefan

/edit: User & Kernel MBR OK

Greatstuff 14.11.2008 22:41
Hab ganz vergessen das mbr log zu poste sry :oops:

Code:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Online Armor Free scheint echt toll zu sein! Überlege mir sogar zu kaufen, mal schauen in ein paar Wochen.

Habe F-prot als Virenscanner, der hat hier ja mal kläglich versagt würde ich sagen. Welche Virenscanner kann man empfehlen?

lg
Stefan

p.s.: Ist mein System jetzt wieder sauber? Vielen vielen Dank für die nette Hilfe hier, das Board und speziell Chris hat mir sehr geholfen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131