Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows recovery - leerer Desktop trotz unhide & Loganalyse (https://www.trojaner-board.de/98413-windows-recovery-leerer-desktop-trotz-unhide-loganalyse.html)

problemkind2 28.04.2011 16:56
Windows recovery - leerer Desktop trotz unhide & Loganalyse
 
Hallo liebe Gemeinde,


ich brauche eure Hilfe. Ich habe mir einen "Windows Recovery" Trojaner eingefangen, und möchte ihn vollständig beseitigen. Ich wäre euch sehr dankbar, wenn mich jemand von euch durch den weiteren Prozess leiten könnte.

Symptomatik: Plötzlicher Systemcrash (schwarzer Bildschirm), danach versperrte mir das FakeRecovery-Programm die Nutzung des Betriebssystems, es startete sich jeweils automatisch.

Bisher unternommen:

1. Im abgesicherten Modus hochgefahren, und dort händisch in der Registry den entsprechenden Run-Eintrag entfernt, und die Dateien des Trojaners gelöscht, auf die dieser Eintrag verwies. Ausserdem habe ich die folgenden Schlüssel entfernt, gemäß einer Anleitung im Internet.

Code:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "[random].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "[random]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "LowRiskFileTypes" = '{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments "SaveZoneInformation" = '1'
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "CheckExeSignatures" = 'no'
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Use FormSuggest" = 'yes'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnonBadCertRecving" = '0'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = '1'
Nach einem Reboot (nicht mehr "abgesichert", also ganz normal) lief das System wieder ohne daß die Fake-Software kam.

2. Ich habe Antimalware installiert, aktualisiert, und ausgeführt. Es wurden infizierte Dateien gefunden, ich habe sie entfernen lassen, und Antimalware nochmals ausgeführt, es wurden daraufhin keine Infektionen mehr gefunden.

Die Logs hab ich angehängt.


Was soll ich als nächstes tun? "Unhide" hab ich ausgeführt, was aber leider nur das Startmenü wieder-bevölkert hat. Der Desktop ist immernoch leer, obwohl das Desktop-Verzeichnis alle Icons enthält.


Vielen Dank schonmal im voraus!
Problemkind2

Hallo nochmal,


das Zusatzproblemchen meines Beitrages hat sich folgendermaßen gelöst: Offenbar hatte die Version "Windows Recovery", die ich mir eingehandelt habe, bei mir folgenden Schlüssel gesetzt:

Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
Nach dessen Entfernung war der Desktop mitsamt Symbolen wieder da.


Viele Grüße,
Problemkind2

cosinus 06.05.2011 12:01
Die Scans sind schon etwas her. Bitte Malwarebytes updaten und einen neuen Vollscan machen.

problemkind2 06.05.2011 13:25
Danke für die Hilfe. Anbei die neuen Logs, es wurde wieder was gefunden, ich habe es entfernen lassen, und den Rechner danach neu gestartet, wie es antimalwarebytes empfohlen hat.

cosinus 06.05.2011 13:58
CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

problemkind2 06.05.2011 14:35
anbei die OTL.txt des Scans.

cosinus 06.05.2011 17:58
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O4 - HKLM..\Run: [CorelDRAW Graphics Suite 11b]  File not found
O4 - HKLM..\Run: [crlregistrationf]  File not found
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

problemkind2 07.05.2011 08:29
Hier das Log des OTL Fixes.


Code:
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\CorelDRAW Graphics Suite 11b deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\crlregistrationf deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 1153124 bytes
->Temporary Internet Files folder emptied: 159714 bytes
 
User: Leo
->Temp folder emptied: 1212451 bytes
->Temporary Internet Files folder emptied: 24507232 bytes
->Java cache emptied: 355273 bytes
->Opera cache emptied: 20570861 bytes
->Flash cache emptied: 95778 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3514887 bytes
Session Manager Temp folder emptied: 587795 bytes
Session Manager Tmp folder emptied: 0 bytes
RecycleBin emptied: 133869691 bytes
 
Total Files Cleaned = 177,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 05072011_092340

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 07.05.2011 15:13
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

problemkind2 07.05.2011 17:44
Hier das Log des TDSS tools. Die Dateien hatte ich durch unhide schon ganz am Anfang wieder sichtbar gemacht.


Code:
2011/05/07 18:42:20.0437 0764        TDSS rootkit removing tool 2.5.0.0 May  1 2011 14:20:16
2011/05/07 18:42:20.0468 0764        ================================================================================
2011/05/07 18:42:20.0468 0764        SystemInfo:
2011/05/07 18:42:20.0468 0764       
2011/05/07 18:42:20.0468 0764        OS Version: 5.1.2600 ServicePack: 3.0
2011/05/07 18:42:20.0468 0764        Product type: Workstation
2011/05/07 18:42:20.0468 0764        ComputerName: WINZLING
2011/05/07 18:42:20.0468 0764        UserName: Leo
2011/05/07 18:42:20.0468 0764        Windows directory: C:\WINDOWS
2011/05/07 18:42:20.0468 0764        System windows directory: C:\WINDOWS
2011/05/07 18:42:20.0468 0764        Processor architecture: Intel x86
2011/05/07 18:42:20.0468 0764        Number of processors: 2
2011/05/07 18:42:20.0468 0764        Page size: 0x1000
2011/05/07 18:42:20.0468 0764        Boot type: Normal boot
2011/05/07 18:42:20.0468 0764        ================================================================================
2011/05/07 18:42:20.0781 0764        Initialize success
2011/05/07 18:42:22.0671 3732        ================================================================================
2011/05/07 18:42:22.0671 3732        Scan started
2011/05/07 18:42:22.0671 3732        Mode: Manual;
2011/05/07 18:42:22.0671 3732        ================================================================================
2011/05/07 18:42:25.0437 3732        ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/05/07 18:42:25.0468 3732        ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
2011/05/07 18:42:25.0609 3732        aec            (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/05/07 18:42:25.0656 3732        AF15BDA        (3cd15ebaa1d68bc18ce14a26683bc1ec) C:\WINDOWS\system32\DRIVERS\AF15BDA.sys
2011/05/07 18:42:25.0687 3732        Afc            (fe3ea6e9afc1a78e6edca121e006afb7) C:\WINDOWS\system32\drivers\Afc.sys
2011/05/07 18:42:25.0718 3732        AFD            (e3049b90fe06f3f740b7cfda44995e2c) C:\WINDOWS\System32\drivers\afd.sys
2011/05/07 18:42:26.0046 3732        AsusACPI        (784fcb197f9a50a419d8ce4980655ae4) C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys
2011/05/07 18:42:26.0078 3732        AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/05/07 18:42:26.0125 3732        atapi          (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/05/07 18:42:26.0171 3732        Atmarpc        (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/05/07 18:42:26.0218 3732        audstub        (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/05/07 18:42:26.0250 3732        BCMIDI          (8c722ce44b1c1fe8e1a5802374e544de) C:\WINDOWS\system32\Drivers\bumidi.sys
2011/05/07 18:42:26.0359 3732        Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/05/07 18:42:26.0406 3732        BEHRINGER_2902  (4ee79dc79d821500d5174047a9af708c) C:\WINDOWS\system32\Drivers\BUSB2902.sys
2011/05/07 18:42:26.0468 3732        btaudio        (4b43dfe1c1fbb305a1dc5504ef9bb34e) C:\WINDOWS\system32\drivers\btaudio.sys
2011/05/07 18:42:26.0578 3732        BTDriver        (2f9f111d31aa3fbbe5781d829a4524e6) C:\WINDOWS\system32\DRIVERS\btport.sys
2011/05/07 18:42:26.0656 3732        BTKRNL          (b4355289cb2ebcc91ae995f916d271b7) C:\WINDOWS\system32\DRIVERS\btkrnl.sys
2011/05/07 18:42:26.0718 3732        BTWDNDIS        (485020a1e1fc5c51a800ca69c618d881) C:\WINDOWS\system32\DRIVERS\btwdndis.sys
2011/05/07 18:42:26.0765 3732        btwhid          (949eca9c56f657c06d3166d51f3226c7) C:\WINDOWS\system32\DRIVERS\btwhid.sys
2011/05/07 18:42:26.0812 3732        btwmodem        (5922bae0cd84924b9cd7e6bb515ee070) C:\WINDOWS\system32\DRIVERS\btwmodem.sys
2011/05/07 18:42:26.0859 3732        BTWUSB          (fac7e5965162c70d184dfe92b4bcbd1b) C:\WINDOWS\system32\Drivers\btwusb.sys
2011/05/07 18:42:26.0906 3732        cbidf2k        (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/05/07 18:42:27.0015 3732        CCDECODE        (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/05/07 18:42:27.0296 3732        Cdaudio        (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/05/07 18:42:27.0328 3732        Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/05/07 18:42:27.0359 3732        Cdrom          (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\drivers\Cdrom.sys
2011/05/07 18:42:27.0437 3732        CmBatt          (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
2011/05/07 18:42:27.0593 3732        Compbatt        (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
2011/05/07 18:42:27.0734 3732        CVirtA          (b5ecadf7708960f1818c7fa015f4c239) C:\WINDOWS\system32\DRIVERS\CVirtA.sys
2011/05/07 18:42:27.0796 3732        CVPNDRVA        (57310c245810b26e378de9e6b22db598) C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
2011/05/07 18:42:27.0890 3732        Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/05/07 18:42:27.0953 3732        dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/05/07 18:42:28.0000 3732        dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/05/07 18:42:28.0031 3732        dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/05/07 18:42:28.0062 3732        DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/05/07 18:42:28.0109 3732        DNE            (86d52c32a308f84bbc626bff7c1fb710) C:\WINDOWS\system32\DRIVERS\dne2000.sys
2011/05/07 18:42:28.0171 3732        drmkaud        (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/05/07 18:42:28.0250 3732        Fastfat        (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/05/07 18:42:28.0281 3732        Fdc            (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2011/05/07 18:42:28.0312 3732        Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/05/07 18:42:28.0343 3732        Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/05/07 18:42:28.0390 3732        FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
2011/05/07 18:42:28.0453 3732        FPAV_RTP        (ba50532419b00de2e99b8913a5abf3f6) C:\WINDOWS\system32\DRIVERS\FStopW.sys
2011/05/07 18:42:28.0484 3732        Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/05/07 18:42:28.0593 3732        FTDIBUS        (b7aa8283ec551d3a3b924e520e0621a7) C:\WINDOWS\system32\drivers\ftdibus.sys
2011/05/07 18:42:28.0640 3732        Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/05/07 18:42:28.0671 3732        FTSER2K        (596d31583ce332b5514520d74837f434) C:\WINDOWS\system32\drivers\ftser2k.sys
2011/05/07 18:42:28.0703 3732        Gpc            (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/05/07 18:42:28.0750 3732        HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/05/07 18:42:28.0796 3732        HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/05/07 18:42:28.0890 3732        HTTP            (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/05/07 18:42:29.0000 3732        i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/05/07 18:42:29.0281 3732        ialm            (0f68e2ec713f132ffb19e45415b09679) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
2011/05/07 18:42:29.0375 3732        Imapi          (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\drivers\Imapi.sys
2011/05/07 18:42:29.0687 3732        IntcAzAudAddService (c73a4a48fbb3d00c7dbc6fe4f5e3675f) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2011/05/07 18:42:29.0828 3732        intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/05/07 18:42:29.0859 3732        Ip6Fw          (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
2011/05/07 18:42:29.0890 3732        IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/05/07 18:42:29.0921 3732        IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/05/07 18:42:29.0968 3732        IpNat          (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/05/07 18:42:30.0000 3732        IPSec          (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/05/07 18:42:30.0031 3732        IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/05/07 18:42:30.0078 3732        isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/05/07 18:42:30.0125 3732        Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/05/07 18:42:30.0156 3732        kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/05/07 18:42:30.0187 3732        kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/05/07 18:42:30.0234 3732        KSecDD          (1705745d900dabf2d89f90ebaddc7517) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/05/07 18:42:30.0265 3732        Ktp            (9ea9d6ba04629cb14260f46ff8bbd65a) C:\WINDOWS\system32\DRIVERS\ETD.sys
2011/05/07 18:42:30.0296 3732        L1e            (303627228dd739d98289679901a38c8f) C:\WINDOWS\system32\DRIVERS\l1e51x86.sys
2011/05/07 18:42:30.0343 3732        LBeepKE        (ca63fe81705ad660e482bef210bf2c73) C:\WINDOWS\system32\Drivers\LBeepKE.sys
2011/05/07 18:42:30.0421 3732        LHidFilt        (b68309f25c5787385da842eb5b496958) C:\WINDOWS\system32\DRIVERS\LHidFilt.Sys
2011/05/07 18:42:30.0468 3732        LMouFilt        (63d3b1d3cd267fcc186a0146b80d453b) C:\WINDOWS\system32\DRIVERS\LMouFilt.Sys
2011/05/07 18:42:30.0578 3732        LUsbFilt        (0c62957912d4df1e4ba9795e6be3ed38) C:\WINDOWS\system32\Drivers\LUsbFilt.Sys
2011/05/07 18:42:30.0625 3732        mnmdd          (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/05/07 18:42:30.0671 3732        Modem          (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/05/07 18:42:30.0703 3732        Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/05/07 18:42:30.0750 3732        mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/05/07 18:42:30.0781 3732        MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/05/07 18:42:30.0812 3732        MPE            (c0f8e0c2c3c0437cf37c6781896dc3ec) C:\WINDOWS\system32\DRIVERS\MPE.sys
2011/05/07 18:42:30.0890 3732        MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/05/07 18:42:30.0953 3732        MRxSmb          (68755f0ff16070178b54674fe5b847b0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/05/07 18:42:30.0984 3732        Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/05/07 18:42:31.0031 3732        MSKSSRV        (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/05/07 18:42:31.0078 3732        MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/05/07 18:42:31.0109 3732        MSPQM          (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/05/07 18:42:31.0156 3732        mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/05/07 18:42:31.0187 3732        MSTEE          (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/05/07 18:42:31.0234 3732        Mup            (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/05/07 18:42:31.0281 3732        NABTSFEC        (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/05/07 18:42:31.0343 3732        NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/05/07 18:42:31.0437 3732        NdisIP          (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/05/07 18:42:31.0468 3732        NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/05/07 18:42:31.0515 3732        Ndisuio        (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/05/07 18:42:31.0562 3732        NdisWan        (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/05/07 18:42:31.0593 3732        NDProxy        (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/05/07 18:42:31.0640 3732        NetBIOS        (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/05/07 18:42:31.0687 3732        NetBT          (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/05/07 18:42:31.0765 3732        Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/05/07 18:42:31.0843 3732        Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/05/07 18:42:31.0906 3732        Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/05/07 18:42:31.0937 3732        NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/05/07 18:42:31.0984 3732        NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/05/07 18:42:32.0031 3732        Parport        (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys
2011/05/07 18:42:32.0078 3732        PartMgr        (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/05/07 18:42:32.0109 3732        ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/05/07 18:42:32.0156 3732        PCI            (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/05/07 18:42:32.0234 3732        PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/05/07 18:42:32.0281 3732        Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/05/07 18:42:32.0531 3732        PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/05/07 18:42:32.0578 3732        PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/05/07 18:42:32.0609 3732        Ptilink        (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/05/07 18:42:32.0796 3732        RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/05/07 18:42:32.0843 3732        Rasl2tp        (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/05/07 18:42:32.0890 3732        RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/05/07 18:42:32.0921 3732        Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/05/07 18:42:32.0968 3732        Rdbss          (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/05/07 18:42:33.0000 3732        RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/05/07 18:42:33.0046 3732        RDPWD          (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/05/07 18:42:33.0093 3732        ROOTMODEM      (d8b0b4ade32574b2d9c5cc34dc0dbbe7) C:\WINDOWS\system32\Drivers\RootMdm.sys
2011/05/07 18:42:33.0140 3732        RRamdisk        (3762a37c7ddd4afce6bd75aef790a920) C:\WINDOWS\system32\DRIVERS\rramdisk.sys
2011/05/07 18:42:33.0218 3732        RT80x86        (162d6aee49372b9ce17c418cc5cde7b5) C:\WINDOWS\system32\DRIVERS\RT2860.sys
2011/05/07 18:42:33.0265 3732        Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/05/07 18:42:33.0312 3732        Ser2pl          (e42f03d1081c4f60d3db6c38235b1456) C:\WINDOWS\system32\DRIVERS\ser2pl.sys
2011/05/07 18:42:33.0343 3732        Serenum        (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/05/07 18:42:33.0390 3732        Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\drivers\Serial.sys
2011/05/07 18:42:33.0421 3732        Sfloppy        (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/05/07 18:42:33.0500 3732        SLIP            (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/05/07 18:42:33.0562 3732        splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/05/07 18:42:33.0609 3732        sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/05/07 18:42:33.0656 3732        Srv            (5252605079810904e31c332e241cd59b) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/05/07 18:42:33.0718 3732        streamip        (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/05/07 18:42:33.0750 3732        swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/05/07 18:42:33.0781 3732        swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/05/07 18:42:33.0937 3732        sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/05/07 18:42:34.0000 3732        Tcpip          (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/05/07 18:42:34.0031 3732        TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/05/07 18:42:34.0078 3732        TDTCP          (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/05/07 18:42:34.0109 3732        TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/05/07 18:42:34.0203 3732        truecrypt      (db0815523ac07445a2f09dcd2acea8c3) C:\WINDOWS\system32\drivers\truecrypt.sys
2011/05/07 18:42:34.0234 3732        Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/05/07 18:42:34.0312 3732        Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/05/07 18:42:34.0375 3732        usbaudio        (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
2011/05/07 18:42:34.0406 3732        usbccgp        (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/05/07 18:42:34.0437 3732        usbehci        (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/05/07 18:42:34.0468 3732        usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/05/07 18:42:34.0578 3732        usbscan        (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/05/07 18:42:34.0609 3732        usbstor        (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/05/07 18:42:34.0656 3732        usbuhci        (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/05/07 18:42:34.0687 3732        usbvideo        (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys
2011/05/07 18:42:34.0718 3732        VgaSave        (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/05/07 18:42:34.0796 3732        VolSnap        (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/05/07 18:42:34.0828 3732        vsdatant        (27b3dd12a19eec50220df15b64913dda) C:\WINDOWS\system32\vsdatant.sys
2011/05/07 18:42:34.0890 3732        Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/05/07 18:42:34.0937 3732        Wdf01000        (d918617b46457b9ac28027722e30f647) C:\WINDOWS\system32\Drivers\wdf01000.sys
2011/05/07 18:42:35.0031 3732        wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/05/07 18:42:35.0078 3732        WinDriver6      (451f905bc7bff9e1cff2e7ae76196b2c) C:\WINDOWS\system32\drivers\windrvr6.sys
2011/05/07 18:42:35.0187 3732        WSTCODEC        (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/05/07 18:42:35.0515 3732        ================================================================================
2011/05/07 18:42:35.0515 3732        Scan finished
2011/05/07 18:42:35.0515 3732        ================================================================================

cosinus 07.05.2011 17:51
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

problemkind2 07.05.2011 18:42
Hier die log.txt, die sich automatisch geöffnet hat.

Code:
ComboFix 11-05-06.05 - Leo 07.05.2011  19:23:28.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2039.975 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Leo\Desktop\CoFi.exe
AV: F-PROT Antivirus for Windows *Disabled/Outdated* {3F8BAFFE-D251-4DC6-ACF9-81FDF61FB9C9}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\lsprst7.dll
c:\windows\system32\ssprs.dll
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-04-07 bis 2011-05-07  ))))))))))))))))))))))))))))))
.
.
2011-05-07 17:03 . 2011-05-07 17:04        --------        d-----w-        d:\programme\CCleaner
2011-05-07 07:23 . 2011-05-07 07:23        --------        d-----w-        C:\_OTL
2011-04-29 09:14 . 2004-07-16 20:42        176128        ----a-w-        c:\dokumente und einstellungen\Leo\TaskbarRepairToolPlus!.exe
2011-04-28 13:39 . 2011-04-28 13:39        --------        d-----w-        c:\dokumente und einstellungen\Leo\Anwendungsdaten\Malwarebytes
2011-04-28 13:38 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-28 13:38 . 2011-04-28 13:38        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-28 13:38 . 2011-04-28 13:38        --------        d-----w-        d:\programme\Malwarebytes' Anti-Malware
2011-04-28 13:38 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-04-27 08:39 . 2011-04-27 08:39        --------        d-----w-        c:\dokumente und einstellungen\Leo\.gnubg
2011-04-27 08:37 . 2011-04-27 08:39        --------        d-----w-        d:\programme\gnubg
2011-04-17 16:27 . 2011-05-06 12:20        --------        d-----w-        c:\windows\Sun
2011-04-17 16:26 . 2011-04-17 16:26        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2011-04-17 16:25 . 2011-04-17 16:24        73728        ----a-w-        c:\windows\system32\javacpl.cpl
2011-04-17 16:25 . 2011-04-17 16:24        472808        ----a-w-        c:\windows\system32\deployJava1.dll
2011-04-17 16:24 . 2011-04-17 16:24        --------        d-----w-        d:\programme\Java
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-07 14:34 . 2008-09-04 22:41        15523560        ----a-w-        d:\programme\U1 Setup.exe
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-31 16806912]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"AsusTray"="d:\programme\EeePC\ACPI\AsTray.exe" [2008-07-23 98304]
"AsusACPIServer"="d:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-07-23 479232]
"AsusEPCMonitor"="d:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208]
"ETDWare"="d:\programme\Elantech\ETDCtrl.exe" [2008-08-12 335872]
"ArcSoft Connection Service"="c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2008-01-16 72192]
"F-PROT Antivirus Tray application"="d:\programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe" [2009-08-27 1597832]
"EvtMgr6"="d:\programme\Logitech\SetPointP\SetPoint.exe" [2010-06-26 1311312]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
AutoRun OSCleaner.lnk - d:\programme\ASUS\Asus OS Cleaner\AsOSCleaner.exe [2008-9-4 118784]
BTTray.lnk - d:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-7-30 604776]
SuperHybridEngine.exe.lnk - d:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-9-4 303104]
VPN Client.lnk - c:\windows\Installer\{4C271126-C295-4828-A901-5910AE0C258B}\Icon3E5562ED7.ico [2009-6-23 6144]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"= "d:\programme\Qualcomm\Eudora\EuShlExt.dll" [2005-08-09 86016]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2010-05-06 09:29        64592        ----a-w-        c:\programme\Gemeinsame Dateien\LogiShrd\Bluetooth\LBTWLgn.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\FPAVServer]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"d:\\programme\\Skype\\Plugin Manager\\skypePM.exe"=
"d:\\programme\\Opera\\opera.exe"=
"d:\\programme\\Skype\\Phone\\Skype.exe"=
.
R0 FPAV_RTP;FPAV_RTP;c:\windows\system32\drivers\FStopW.sys [06.04.2010 02:09 682840]
R0 RRamdisk;Ramdisk Driver;c:\windows\system32\drivers\rramdisk.sys [06.01.2009 16:20 10368]
R2 FPAVServer;F-PROT Antivirus for Windows system;d:\programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe [27.08.2009 16:26 75424]
R2 LBeepKE;Logitech Beep Suppression Driver;c:\windows\system32\drivers\LBeepKE.sys [02.08.2010 17:44 10448]
S3 BCMIDI;BCMIDI;c:\windows\system32\drivers\bumidi.sys [22.06.2010 20:55 22944]
S3 BEHRINGER_2902;usb-audio.de driver for BEHRINGER USB AUDIO;c:\windows\system32\drivers\BUSB2902.sys [16.04.2009 22:50 340480]
S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [04.09.2008 23:38 625024]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - klmd25
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~4\Office10\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - d:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - d:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-MsnMsgr - c:\program files\Windows Live\Messenger\MsnMsgr.Exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-07 19:35
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(972)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
.
Zeit der Fertigstellung: 2011-05-07  19:38:06
ComboFix-quarantined-files.txt  2011-05-07 17:38
.
Vor Suchlauf: 1.177.927.680 Bytes frei
Nach Suchlauf: 1.137.205.248 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 79EBEF0BECA0ED5B1242838D4B6D6C36

cosinus 07.05.2011 19:24
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

problemkind2 07.05.2011 20:01
Anbei alle drei logfiles im zip.

cosinus 07.05.2011 20:24
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

problemkind2 07.05.2011 21:43
Malwarebytes hat nichts mehr gefunden, SuperAntiSpy das hier gesucht und entfernt:

Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/07/2011 at 10:37 PM

Application Version : 4.52.1000

Core Rules Database Version : 7011
Trace Rules Database Version: 4823

Scan type      : Complete Scan
Total Scan Time : 00:38:38

Memory items scanned      : 486
Memory threats detected  : 0
Registry items scanned    : 6992
Registry threats detected : 0
File items scanned        : 44727
File threats detected    : 1

Trojan.Agent/Gen-FakeAV
        D:\PROGRAMME\WINRAR\DEFAULT.SFX

cosinus 07.05.2011 21:44
Keine Sorge, das ist nur ein Fehlalarm. Poste bitte das andere Log auch noch.

problemkind2 07.05.2011 21:51
Danke für die viele Hilfe!

Noch ein paar Fragen, damit es gegen Ende nicht untergeht:

1. Sind zur Zeit der "Infektion" eingesteckte USB-Datenträger ggf. auch infiziert worden? Muß ich diese überprüfen?

2. Sind möglicherweise private Daten ins Netz gewandert? Sollte ich z.B. Passwörter von meinen diversen Internet-Accounts ändern?


Und hier noch der Antimalware Scan:

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6528

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

07.05.2011 21:52:11
mbam-log-2011-05-07 (21-52-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|R:\|)
Durchsuchte Objekte: 182393
Laufzeit: 20 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 07.05.2011 22:33
Zitat:
1. Sind zur Zeit der "Infektion" eingesteckte USB-Datenträger ggf. auch infiziert worden? Muß ich diese überprüfen?
Deaktivier die automatische Wiedergabe von allen Laufwerken! Das reduziert das Risiko auf ein Minimum bei infizierten Wechseldatenträgern! => Einstellungen für automatische Wiedergabe ändern

Zitat:
2. Sind möglicherweise private Daten ins Netz gewandert? Sollte ich z.B. Passwörter von meinen diversen Internet-Accounts ändern?
Willst du die Frage anders stellen? Möglicherweise kann immer irgendas passiert sein :D
Willkommen in der realen Welt, nirgends gibt es 100% Sicherheit oder glaubst du das sei in der Computerwelt anders? :dummguck:

Aber: SASW hatte nur einen Fehlalarm, MBAM hat garnichts mehr gefunden, sind noch Probleme da oder ist der Rechner wieder ok?

problemkind2 07.05.2011 22:46
Also von meiner Warte aus: Der Rechner verhält sich normal.

Die automatische Wiedergabe bei mir ist schon länger abgestellt. Ich will nur einfach keine anderen Rechner mit meinen Wechselmedien infizieren, weil ich mit denen immer an der Uni unterwegs bin. Ich lass die dann einfach mal per Antimalwarbytes scannen, ist das ausreichend?

Und zu "was passiert" - möglicherweise - das ist schon klar. Ich meinte mit meiner Frage eher: "Mein" Trojaner, war das einer, der primär zum ausschnüffeln von Daten diente, oder gings da in erster Line einfach um den Kauf dieser Fake-Software? Kanns mir schon denken: Man weiß es einfach nicht :)

Wie verhindert man in Zukunft diese Drive-by-Infektionen? Ich hatte noch nichtmal was angeklickt...

Nochmals herzlichen Dank für die Hilfe!

cosinus 07.05.2011 23:39
Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?




Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131