Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte hilfe bei Trojan.Mebroot.B (https://www.trojaner-board.de/70245-bitte-hilfe-trojan-mebroot-b.html)

ThorG 21.02.2009 14:54
Bitte hilfe bei Trojan.Mebroot.B
 
Hallo, habe mir hier einiges über den Trojaner durchgelesen.
Speziell auch diesen Tread: http://www.trojaner-board.de/54836-v...mebroot-b.html

Bitdefender meldet bei mir nach der Aktualisierung von der Version aus dem Jahr 2007 auf die 2009'er Version den Trojaner Mebroot.B auf dem Laufwerk E:\

Die Systemwiederherstellung läuft bei mir grundsätzlich nicht mit.
cCleaner hab ich durchlaufen lassen
MBR.exe von gmer gibt folgendes aus:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 8 !


GMER - Rootkit Detection
hat nichts gefunden.

Blacklight - nichts

SASW - nichts

Malewarebytes - nichts

das Log von HijackThis v2.0.2:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:05:42, on 21.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\XpertVision\TBPanel.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\BitDefender\BitDefender 2009\bdagent.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Spiele\Steam\Steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\BitDefender\BitDefender 2009\seccenter.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Programme\CryptLoad\CryptLoad.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\VSO\ConvertXtoDVD\ConvertXtoDvd.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Download\HiJackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] "D:\Spiele\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Pinnacle PCTV Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIC273~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220048194046
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220048185125
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Programme\BitDefender\BitDefender 2009\vsserv.exe

--
End of file - 8742 bytes





Hab auf der Seite von Betdefender einen Post gelesen wo jemand der Meinung war das diese Meldung evtl. eine fehlmeldung von Betdefender war.
Kann ja sein, sollte dann aber eigentlich schnellstmöglichst beseitigt werden können.

Für weitere Hinweise oder Anregungen wäre ich Euch Dankbar.

PS: Betriebssystrem Win XP mit SP3
3 interne Festplatten C,D,E
1 externe Festplatte K

ThorG 23.02.2009 20:10
Hallo,

ich bekomme immer noch die Meldung von Bitdefender, dass auf meiner Festplatte E:\ der Trojaner Mebroot.B geblockt wurde
es wird aber nichts gefunden von den Div. Hilfsprogrammen :headbang:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 8 !



Könnte mir bitte jemand noch einen Tip geben?

Larusso 23.02.2009 20:51
:hallo:

Lade dir ComboFix von BleepingComputer.com
Speicher es auf deinem Desktop
Bitte nicht die Maus während Combofix läuft bewegen oder etwas anklicken. Dies könnte Combofix zum Absturz bringen
Starte nun combofix.exe
Lese dir nun die Warnmeldung und Disclaimer genau durch-->mit Ja bestätigen
Es öffnet sich ein blaues Fenster
Schreibe 1-->enter
Nun musst du einen Systemwiederherstellungspunkt erstellen-->Folge dazu genau den Anweisungen
der Scan folgt
Das log wird unter combofix.txt erscheinen
Alles markieren-->strg+C-->und mit strg+v in den Thread einfügen

ThorG 22.03.2009 19:35
Hallo, hatte eine Weile keine Zeit mich hier wieder zu melden. Nun kommt aber das Logfile von Combofix:

ComboFix 09-03-15.01 - Admin 2009-03-22 17:31:21.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2047.1501 [GMT 1:00]
ausgeführt von:: d:\download\ComboFix.exe
AV: BitDefender Antivirus *On-access scanning disabled* (Updated)
FW: BitDefender Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Admin\Anwendungsdaten\inst.exe
K:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-22 bis 2009-03-22 ))))))))))))))))))))))))))))))
.

2009-03-07 11:18 . 2009-03-07 11:18 <DIR> d--h----- c:\windows\PIF
2009-03-02 20:46 . 2009-03-02 20:46 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\VManager
2009-03-02 20:45 . 2009-03-02 20:45 <DIR> d-------- c:\programme\Power Druckstudio Gold
2009-02-25 19:44 . 2009-03-11 23:21 1,374 --a------ c:\windows\imsins.BAK
2009-02-25 16:13 . 2009-01-09 20:19 1,089,883 -----c--- c:\windows\system32\dllcache\ntprint.cat
2009-02-23 20:14 . 2009-02-23 20:17 <DIR> d-------- c:\windows\BDOSCAN8
2009-02-23 16:37 . 2009-02-23 19:41 408 --a------ c:\windows\system32\BDUpdateV1.xml

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-22 16:29 81,984 ----a-w c:\windows\system32\bdod.bin
2009-03-20 17:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-18 15:20 3,140 --sha-w c:\windows\system32\KGyGaAvL.sys
2009-03-15 21:29 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\MyPhoneExplorer
2009-03-11 22:21 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-03-07 11:38 138,184 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-03-07 11:37 183,112 ----a-w c:\windows\system32\PnkBstrB.exe
2009-03-02 19:45 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-01 11:17 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Vso
2009-02-27 11:10 --------- d-----w c:\programme\Microsoft Silverlight
2009-02-23 19:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-19 14:19 --------- d-----w c:\programme\Spybot - Search & Destroy
2009-02-18 23:18 --------- d-----w c:\programme\SUPERAntiSpyware
2009-02-18 23:18 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-18 23:18 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-16 14:40 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Windows Search
2009-02-14 10:14 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-02-14 10:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-14 10:14 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2009-02-13 23:52 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-13 22:05 --------- d-----w c:\programme\Yahoo!
2009-02-13 22:05 --------- d-----w c:\programme\CCleaner
2009-02-13 22:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-02-13 22:05 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Yahoo!
2009-02-13 18:58 --------- d-----w c:\programme\Microsoft
2009-02-13 18:57 --------- d-----w c:\programme\Windows Desktop Search
2009-02-13 18:57 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Windows Desktop Search
2009-02-13 18:56 --------- d-----w c:\programme\Windows Media Connect 2
2009-02-12 23:38 82,696 ----a-w c:\windows\system32\drivers\BDVEDISK.sys
2009-02-12 23:38 242,184 ----a-w c:\windows\system32\drivers\bdfsfltr.sys
2009-02-12 23:38 192,512 ----a-w c:\windows\system32\txmlutil.dll
2009-02-12 23:38 111,112 ----a-w c:\windows\system32\drivers\bdfm.sys
2009-02-12 23:38 104,328 ----a-w c:\windows\system32\drivers\bdfndisf.sys
2009-02-12 19:51 21 ----a-w C:\mbr.bat
2009-02-12 19:50 66,048 ----a-w C:\mbr.exe
2009-02-12 19:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\BitDefender
2009-02-12 19:06 --------- d-----w c:\programme\Gemeinsame Dateien\BitDefender
2009-02-12 19:06 --------- d-----w c:\programme\BitDefender
2009-02-12 19:06 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\BitDefender
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-02-09 14:04 1,846,912 ----a-w c:\windows\system32\win32k.sys
2009-01-26 21:00 66,872 ----a-w c:\windows\system32\PnkBstrA.exe
2008-12-28 13:36 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-08-29 22:42 47,360 ----a-w c:\dokumente und einstellungen\Admin\Anwendungsdaten\pcouffin.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2007-12-19 486856]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"Steam"="d:\spiele\Steam\Steam.exe" [2008-10-08 1410296]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gainward"="c:\programme\XpertVision\TBPanel.exe" [2007-11-27 2169352]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-08-24 13574144]
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-03-20 213936]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-09-01 282624]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 204800]
"type32"="c:\programme\Microsoft IntelliType Pro\type32.exe" [2003-05-15 114688]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-07-31 1544192]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-08-24 86016]
"BDAgent"="c:\programme\BitDefender\BitDefender 2009\bdagent.exe" [2009-02-13 741376]
"BitDefender Antiphishing Helper"="c:\programme\BitDefender\BitDefender 2009\IEShow.exe" [2009-02-13 69632]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"nwiz"="nwiz.exe" [2008-08-24 c:\windows\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Pinnacle PCTV Scheduler.lnk - c:\programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe [2008-08-29 241664]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-05-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\InterVideo\\DVD8\\WinDVD.exe"=
"d:\\Spiele\\Codemasters\\GRID\\GRID.exe"=
"d:\\Spiele\\Steam\\SteamApps\\thorg07\\half-life 2 deathmatch\\hl2.exe"=
"d:\\Spiele\\Unreal Tournament 2004\\System\\UT2004.exe"=
"d:\\Spiele\\Far Cry 2\\bin\\FarCry2.exe"=
"d:\\Spiele\\Far Cry 2\\bin\\FC2Launcher.exe"=
"d:\\Spiele\\Far Cry 2\\bin\\FC2Editor.exe"=
"d:\\Spiele\\MotoGP 08\\Launcher.exe"=

R2 BDVEDISK;BDVEDISK;c:\programme\BitDefender\BitDefender 2009\BDVEDISK.sys [2008-07-02 82696]
R2 DIG_TS;Pinnacle PCTV Sat TS;c:\windows\system32\drivers\dig_ts.sys [2008-08-29 17664]
R2 DIG_V;Pinnacle PCTV Sat Analog;c:\windows\system32\drivers\dig_v.sys [2008-08-29 125568]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [2008-08-29 37568]
R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [2008-08-12 111112]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [2008-08-14 104328]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [2008-08-29 444416]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2006-07-31 264704]
R3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvbi.sys [2008-08-29 6400]
S3 Arrakis3;BitDefender Arrakis Server;c:\programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe [2008-07-17 118784]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [2008-08-30 1527900]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
Inhalt des "geplante Tasks" Ordners

2009-03-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2006-08-29 13:21]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.de/scan_de/scan8/oscan8.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-22 17:33:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-73586283-261478967-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:d0,77,7e,7e,92,09,7c,46,ce,e4,b8,7f,22,41,0b,56,39,6f,67,aa,53,
fe,7a,ba,0f,85,a3,bc,b6,9d,51,a2,44,94,67,60,9f,10,8f,5d,3a,6b,69,4d,b8,f9,\
"rkeysecu"=hex:3c,fa,22,74,4d,c3,10,13,79,66,f1,48,8f,43,3e,fa
.
Zeit der Fertigstellung: 2009-03-22 17:34:33
ComboFix-quarantined-files.txt 2009-03-22 16:34:30

Vor Suchlauf: 10 Verzeichnis(se), 50.792.742.912 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 51,499,700,224 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn /usepmtimer

176 --- E O F --- 2009-03-13 13:32:04




Ich hoffe es trägt dazu bei diese lästige Meldung bzw. den Trojaner wegzubekommen.
Bin nach wie vor ratlos.
Wäre für weiter Tipps Dankbar.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131