Trojaner-Board - xp antispyware 2009

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - xp antispyware 2009 (https://www.trojaner-board.de/63020-xp-antispyware-2009-a.html)

xp antispyware 2009

Hallo zusammen,

ich habe ein Problem, das anscheinend einige haben wie ich gesehen habe.
Ich verstehe leider nur Bahnhof, wenn die Beschreibungen für die Eliminierung kommen. Ich weiß leider nichtmal wie ich diese Reports ziehe:(
Also, ich habe auch diesen xp antispyware 2009 virus glaube ich. es erscheint in der Taskleiste immer wieder das rote Kreuz und das Programm lässt sich nicht löschen/deinstallieren. Antivir findet immer diverse Trojaner. Was muss ich tun? Hilfe!

Vielen, lieben Dank für die Unterstützung.

So, habe mich jetzt schlau gemacht wie man den Report von antivir bekommt. Das ist er: Ich habe Windows XP

Kann mir jmd helfen??? Danke schön!

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 25. Oktober 2008 21:37

Es wird nach 1704573 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ACER-9EC38315D8

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 16.07.2008 20:15:06
AVSCAN.DLL : 8.1.4.0 48897 Bytes 16.07.2008 20:15:06
LUKE.DLL : 8.1.4.5 164097 Bytes 16.07.2008 20:15:06
LUKERES.DLL : 8.1.4.0 12545 Bytes 16.07.2008 20:15:06
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 19:12:02
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 20:22:08
ANTIVIR2.VDF : 7.0.7.59 4366336 Bytes 19.10.2008 19:18:56
ANTIVIR3.VDF : 7.0.7.75 148480 Bytes 22.10.2008 19:18:58
Engineversion : 8.2.0.5
AEVDF.DLL : 8.1.0.6 102772 Bytes 13.10.2008 20:13:50
AESCRIPT.DLL : 8.1.1.9 319867 Bytes 14.10.2008 20:13:48
AESCN.DLL : 8.1.1.3 123252 Bytes 13.10.2008 20:13:48
AERDL.DLL : 8.1.1.2 438644 Bytes 20.09.2008 18:06:56
AEPACK.DLL : 8.1.2.4 369014 Bytes 13.10.2008 20:13:46
AEOFFICE.DLL : 8.1.0.28 196987 Bytes 13.10.2008 20:13:46
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 20.09.2008 18:06:54
AEHELP.DLL : 8.1.1.2 115062 Bytes 13.10.2008 20:13:44
AEGEN.DLL : 8.1.0.41 319861 Bytes 13.10.2008 20:13:44
AEEMU.DLL : 8.1.0.9 393588 Bytes 13.10.2008 20:13:44
AECORE.DLL : 8.1.2.6 172406 Bytes 13.10.2008 20:13:42
AEBB.DLL : 8.1.0.3 53618 Bytes 13.10.2008 20:13:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 16.07.2008 20:15:06
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.07.2008 20:15:06
AVREP.DLL : 8.0.0.2 98344 Bytes 08.08.2008 09:34:20
AVREG.DLL : 8.0.0.1 33537 Bytes 16.07.2008 20:15:06
AVARKT.DLL : 1.0.0.23 307457 Bytes 31.05.2008 20:13:18
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 16.07.2008 20:15:06
SQLITE3.DLL : 3.3.17.1 339968 Bytes 31.05.2008 20:13:20
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 16.07.2008 20:15:06
NETNT.DLL : 8.0.0.1 7937 Bytes 31.05.2008 20:13:20
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 16.07.2008 20:15:02
RCTEXT.DLL : 8.0.52.0 86273 Bytes 16.07.2008 20:15:02

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 25. Oktober 2008 21:37

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avwsc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'anbmServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPQTRA08.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TS154USB.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRASTK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JUSCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'REALPLAY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FPASSIST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PRISMSVR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EPM-DM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HKCMD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGFXTRAY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '56' Prozesse mit '56' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '78' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Gunda\Lokale Einstellungen\Temp\wrdwn17
[0] Archivtyp: CAB (Microsoft)
--> AVEngn.dll
[FUND] Ist das Trojanische Pferd TR/Fakealert.QF
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49677aa1.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Gunda\Lokale Einstellungen\Temp\wrdwn22
[0] Archivtyp: CAB (Microsoft)
--> Microsoft.VC80.CRT\msvcm80.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\Gunda\Lokale Einstellungen\Temp\wrdwn25
[0] Archivtyp: CAB (Microsoft)
--> wscui.cpl
[FUND] Ist das Trojanische Pferd TR/FakeAV.bak.2
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49677aa9.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Gunda\Lokale Einstellungen\Temp\wrdwn29
[0] Archivtyp: CAB (Microsoft)
--> AVEngn.dll
[FUND] Ist das Trojanische Pferd TR/Fakealert.QF
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49677ab8.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Gunda\Lokale Einstellungen\Temp\wrdwn32
[0] Archivtyp: CAB (Microsoft)
--> wscui.cpl
[FUND] Ist das Trojanische Pferd TR/FakeAV.bak.2
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49677abf.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Gunda\Lokale Einstellungen\Temp\wrdwn36
[0] Archivtyp: CAB (Microsoft)
--> AVEngn.dll
[FUND] Ist das Trojanische Pferd TR/Fakealert.QF
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49677ac8.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Recycled\Dc2082\AVEngn.dll
[FUND] Ist das Trojanische Pferd TR/Fakealert.QF
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49487cce.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Recycled\Dc2082\wscui.cpl
[FUND] Ist das Trojanische Pferd TR/FakeAV.bak.2
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49667cf3.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Recycled\Dc2086\AVEngn.dll
[FUND] Ist das Trojanische Pferd TR/Fakealert.QF
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49487cde.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Recycled\Dc2086\wscui.cpl
[FUND] Ist das Trojanische Pferd TR/FakeAV.bak.2
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49667d04.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <ACERDATA>

Ende des Suchlaufs: Samstag, 25. Oktober 2008 22:07
Benötigte Zeit: 30:42 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

4667 Verzeichnisse wurden überprüft
240247 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
9 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
9 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
240236 Dateien ohne Befall
6570 Archive wurden durchsucht
3 Warnungen
9 Hinweise

... es kommen immer wieder dieselben fehler ... egal wie oft ich die lösche ...

Hi,

folge bitte der Anleitung der Reihenfolge entsprechend:

1.)
Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 1)

Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

2.)
MalwareBytes Anti-Malware:

Lade dir MalwareBytes Anti-Malware
Folge den Anweisungen der Anleitung und poste das Logfile

3.)
ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

mfg

Danke schön :) Hier No. 1: Rest folgt ...

SmitFraudFix v2.367

Scan done at 22:18:19,70, 25.10.2008
Run from C:\Dokumente und Einstellungen\Gunda\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\brastk.exe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 217.237.148.70
DNS Server Search Order: 217.237.150.115

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B991B023-8923-4869-994C-E86A928DAA13}: NameServer=217.237.148.70 217.237.150.115
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B991B023-8923-4869-994C-E86A928DAA13}: NameServer=217.237.148.70 217.237.150.115

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Sieht bis jetzt recht ordentlich aus. ;)

Danke, aber jetzt kommt No. 2;):

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 2

25.10.2008 22:28:41
mbam-log-2008-10-25 (22-28-28).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47951
Laufzeit: 3 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\antispywarexp2009 (Rogue.AntispywareXP) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\antispywarexp2009 (Rogue.AntispywareXP) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antispywarexp 2009 (Rogue.AntispywareXP) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> No action taken.
C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\wini10801.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Gunda\Cookies\umar.exe (Fake.Dropped.Malware) -> No action taken.

Von MalwareBytes bitte alle Funde löschen lassen. :)

so, das ergebnis ... alles wieder heile?
zwischendurch hat sich unaufgefordet antivir mal eingeschaltet ...ist das schlimm? tausend dank für die hilfe

ComboFix 08-10-27.01 - Gunda 2008-10-27 22:15:56.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.62 [GMT 1:00]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Gunda\Cookies\agob.inf
C:\Dokumente und Einstellungen\Gunda\Cookies\amoqege.lib
C:\Dokumente und Einstellungen\Gunda\Cookies\gaboqixyna._dl
C:\Dokumente und Einstellungen\Gunda\Cookies\inide.dl
C:\Dokumente und Einstellungen\Gunda\Cookies\nogaraveh.dat
C:\Dokumente und Einstellungen\Gunda\Cookies\uduwose.bin

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Legacy_TDSSSERV
-------\Service_TDSSserv.sys)

((((((((((((((((((((((( Dateien erstellt von 2008-09-27 bis 2008-10-27 ))))))))))))))))))))))))))))))
.

2008-10-27 21:52 . 2008-10-27 21:52 <DIR> d-------- C:\Programme\CCleaner
2008-10-27 21:44 . 2008-10-27 21:44 <DIR> d--hs---- C:\FOUND.001
2008-10-25 22:24 . 2008-10-25 22:24 <DIR> d-------- C:\Dokumente und Einstellungen\Gunda\Anwendungsdaten\Malwarebytes
2008-10-25 22:24 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-25 22:24 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-25 22:23 . 2008-10-25 22:24 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-25 22:23 . 2008-10-25 22:24 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
2008-10-25 22:18 . 2008-10-25 22:18 4,092 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-25 22:17 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-10-25 22:17 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-10-25 22:17 . 2008-09-08 22:38 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-10-25 22:17 . 2008-10-01 14:51 87,552 --a------ C:\WINDOWS\system32\VACFix.exe
2008-10-25 22:17 . 2008-10-10 07:58 82,944 --a------ C:\WINDOWS\system32\o4Patch.exe
2008-10-25 22:17 . 2008-05-18 20:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-10-25 22:17 . 2008-10-10 07:58 82,944 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-10-25 22:17 . 2008-08-18 11:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
2008-10-25 22:17 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-10-25 22:17 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-10-25 22:17 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-10-24 15:19 . 2008-10-24 15:19 18,948 --a------ C:\Programme\Gemeinsame Dateien\tivucys.dll
2008-10-24 15:19 . 2008-10-24 15:19 17,874 --a------ C:\Programme\Gemeinsame Dateien\veketoloji.scr
2008-10-24 15:19 . 2008-10-24 15:19 17,735 --a------ C:\WINDOWS\emitetyke._dl
2008-10-24 15:19 . 2008-10-24 15:19 16,897 --a------ C:\WINDOWS\system32\zinyby.dat
2008-10-24 15:19 . 2008-10-24 15:19 16,654 --a------ C:\Dokumente und Einstellungen\Gunda\Anwendungsdaten\nezukywyna.scr
2008-10-24 15:19 . 2008-10-24 15:19 15,846 --a------ C:\WINDOWS\qaba.dl
2008-10-24 15:19 . 2008-10-24 15:19 15,382 --a------ C:\WINDOWS\tuborahe.dll
2008-10-24 15:19 . 2008-10-24 15:19 15,081 --a------ C:\Programme\Gemeinsame Dateien\lixygojy.dll
2008-10-24 15:19 . 2008-10-24 15:19 14,747 --a------ C:\WINDOWS\system32\rewosam._sy
2008-10-24 15:19 . 2008-10-24 15:19 14,611 --a------ C:\Programme\Gemeinsame Dateien\ifykyz.sys
2008-10-24 15:19 . 2008-10-24 15:19 14,432 --a------ C:\WINDOWS\system32\ohapacoqof.bat
2008-10-24 15:19 . 2008-10-24 15:19 14,315 --a------ C:\WINDOWS\system32\lucicapewu.inf
2008-10-24 15:19 . 2008-10-24 15:19 13,132 --a------ C:\Programme\Gemeinsame Dateien\cuvor.vbs
2008-10-22 15:04 . 2008-10-22 15:04 <DIR> d-------- C:\Programme\MSXML 4.0
2008-10-22 12:09 . 2008-10-22 12:09 <DIR> d-------- C:\Dokumente und Einstellungen\Gunda\Anwendungsdaten\HPAppData
2008-10-22 12:08 . 2008-10-22 12:08 <DIR> d-------- C:\Dokumente und Einstellungen\Gunda\Anwendungsdaten\HP
2008-10-22 12:05 . 2008-10-22 12:05 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\WEBREG
2008-10-22 12:00 . 2008-10-22 12:00 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Hewlett-Packard
2008-10-22 12:00 . 2007-11-07 04:10 271,704 -ra------ C:\WINDOWS\system32\hpzids01.dll
2008-10-22 12:00 . 2007-12-03 18:57 118,272 --a------ C:\WINDOWS\system32\hpz3l5mu.dll
2008-10-22 12:00 . 2007-01-17 18:37 49,920 -ra------ C:\WINDOWS\system32\drivers\HPZid412.sys
2008-10-22 12:00 . 2007-01-17 18:37 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys
2008-10-22 11:59 . 2007-10-31 12:35 729,088 -ra------ C:\WINDOWS\system32\hpwwiax4.dll
2008-10-22 11:59 . 2007-10-31 12:35 593,920 -ra------ C:\WINDOWS\system32\hpwtscl3.dll
2008-10-22 11:59 . 2007-01-17 18:37 364,544 -ra------ C:\WINDOWS\system32\hppldcoi.dll
2008-10-22 11:59 . 2007-01-17 18:37 309,760 -ra------ C:\WINDOWS\system32\difxapi.dll
2008-10-22 11:59 . 2007-01-17 18:32 294,912 -ra------ C:\WINDOWS\system32\hpovst11.dll
2008-10-22 11:59 . 2007-01-17 18:37 21,568 -ra------ C:\WINDOWS\system32\drivers\HPZius12.sys
2008-10-22 11:55 . 2008-10-22 11:55 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\HP Product Assistant
2008-10-22 11:54 . 2008-10-22 11:54 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\HP
2008-10-22 11:53 . 2008-10-22 11:53 <DIR> d-------- C:\Programme\Hewlett-Packard
2008-10-22 11:53 . 2008-10-22 11:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\HP
2008-10-22 11:53 . 2008-10-22 11:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2008-10-22 11:52 . 2008-10-22 11:52 <DIR> d-------- C:\WINDOWS\yellowtail+1
2008-10-22 11:52 . 2007-11-07 04:04 1,373,528 -ra------ C:\WINDOWS\hpzshl01.exe
2008-10-22 11:52 . 2007-11-07 04:15 1,140,056 -ra------ C:\WINDOWS\hpzmsi01.exe
2008-10-22 11:52 . 2008-04-18 13:57 12,097 -ra------ C:\WINDOWS\hpwscr20.dat
2008-10-22 11:51 . 2008-10-22 11:51 <DIR> d-------- C:\Programme\HP
2008-10-22 11:47 . 2008-10-22 12:02 203,913 --a------ C:\WINDOWS\hpwins20.dat
2008-10-22 11:47 . 2008-01-08 14:42 2,428 -ra------ C:\WINDOWS\hpwmdl20.dat
2008-10-22 11:46 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-10-22 11:46 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
2008-10-22 11:38 . 2004-08-04 05:00 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-10-22 11:38 . 2004-08-04 05:00 31,616 --a------ C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-10-20 22:32 . 2008-10-20 22:32 18,773 --a------ C:\Programme\Gemeinsame Dateien\yhabewi.com
2008-10-20 22:32 . 2008-10-20 22:32 18,436 --a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\ovidyrab.exe
2008-10-20 22:32 . 2008-10-20 22:32 17,206 --a------ C:\Dokumente und Einstellungen\Gunda\Anwendungsdaten\rasavacox.pif
2008-10-20 22:32 . 2008-10-20 22:32 17,045 --a------ C:\WINDOWS\ofod.com
2008-10-20 22:32 . 2008-10-20 22:32 16,651 --a------ C:\Dokumente und Einstellungen\Gunda\Anwendungsdaten\acijy.vbs
2008-10-20 22:32 . 2008-10-20 22:32 15,744 --a------ C:\WINDOWS\ipisucidyg.ban
2008-10-20 22:32 . 2008-10-20 22:32 15,330 --a------ C:\WINDOWS\jefyt.scr
2008-10-20 22:32 . 2008-10-20 22:32 15,078 --a------ C:\Dokumente und Einstellungen\Gunda\Anwendungsdaten\uruqozo.scr
2008-10-20 22:32 . 2008-10-20 22:32 14,669 --a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\noxafasoc.bin
2008-10-20 22:32 . 2008-10-20 22:32 14,277 --a------ C:\Programme\Gemeinsame Dateien\suryjes.sys
2008-10-20 22:32 . 2008-10-20 22:32 14,037 --a------ C:\WINDOWS\system32\ogyqupehon.ban
2008-10-20 22:32 . 2008-10-20 22:32 12,186 --a------ C:\WINDOWS\system32\ygequcinep.vbs
2008-10-20 22:32 . 2008-10-20 22:32 11,794 --a------ C:\WINDOWS\tikodipek.sys
2008-10-20 22:32 . 2008-10-20 22:32 11,407 --a------ C:\Programme\Gemeinsame Dateien\dodojedol.vbs
2008-10-20 20:51 . 2004-08-04 05:00 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys
2008-10-20 20:51 . 2004-08-04 05:00 4,224 --a------ C:\WINDOWS\system32\dllcache\beep.sys
2008-10-20 20:26 . 2008-10-20 20:26 19,850 --a------ C:\WINDOWS\docuj.dat
2008-10-20 20:26 . 2008-10-20 20:26 18,121 --a------ C:\Dokumente und Einstellungen\Gunda\Anwendungsdaten\ripitotu.bin
2008-10-20 20:26 . 2008-10-20 20:26 17,434 --a------ C:\WINDOWS\nypuji.inf
2008-10-20 20:26 . 2008-10-20 20:26 17,198 --a------ C:\WINDOWS\system32\xyler.bin
2008-10-20 20:26 . 2008-10-20 20:26 16,588 --a------ C:\Dokumente und Einstellungen\Gunda\Anwendungsdaten\yneq.sys
2008-10-20 20:26 . 2008-10-20 20:26 14,919 --a------ C:\Dokumente und Einstellungen\Gunda\Anwendungsdaten\rysyd.scr
2008-10-20 20:26 . 2008-10-20 20:26 14,859 --a------ C:\WINDOWS\system32\bazukybyxa.scr
2008-10-20 20:26 . 2008-10-20 20:26 14,707 --a------ C:\WINDOWS\tene.dat
2008-10-20 20:26 . 2008-10-20 20:26 14,609 --a------ C:\WINDOWS\lavynywe.dll
2008-10-20 20:26 . 2008-10-20 20:26 13,960 --a------ C:\WINDOWS\uduhyliva.db
2008-10-20 20:26 . 2008-10-20 20:26 13,877 --a------ C:\Programme\Gemeinsame Dateien\imimufo.exe
2008-10-20 20:26 . 2008-10-20 20:26 13,748 --a------ C:\WINDOWS\system32\wamabyduha.pif
2008-10-20 20:26 . 2008-10-20 20:26 13,422 --a------ C:\Programme\Gemeinsame Dateien\pafa.sys
2008-10-20 20:26 . 2008-10-20 20:26 13,155 --a------ C:\Dokumente und Einstellungen\Gunda\Anwendungsdaten\ihokiwawe.dll
2008-10-20 20:26 . 2008-10-20 20:26 11,821 --a------ C:\WINDOWS\system32\povehiqy.ban
2008-10-20 20:26 . 2008-10-20 20:26 11,585 --a------ C:\WINDOWS\pumoce._dl
2008-10-20 20:13 . 2008-10-20 20:13 164 --a------ C:\WINDOWS\system32\TDSSosvd.dat
2008-10-16 23:44 . 2008-10-16 23:44 <DIR> d--hs---- C:\FOUND.000
2008-10-16 12:44 . 2008-10-16 12:44 0 --a------ C:\WINDOWS\Twunk002.MTX
2008-10-16 12:36 . 2008-10-16 12:36 <DIR> d-------- C:\Programme\Canon
2008-10-16 12:35 . 1998-01-23 12:20 305,664 --a------ C:\WINDOWS\IsUn0407.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-24 14:19 18,641 ----a-w C:\Programme\Gemeinsame Dateien\egecyce._sy
2008-10-24 14:19 11,574 ----a-w C:\Programme\Gemeinsame Dateien\vovy._sy
2008-10-20 21:32 15,034 ----a-w C:\Programme\Gemeinsame Dateien\ycohoz.db
2008-10-15 17:57 332,800 ----a-w C:\WINDOWS\system32\dllcache\netapi32.dll
2008-09-15 16:37 1,846,144 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-15 16:37 1,846,144 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-08-28 11:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-28 11:04 333,056 ----a-w C:\WINDOWS\system32\dllcache\srv.sys
2008-08-19 10:30 18,432 ----a-w C:\WINDOWS\system32\dllcache\iedw.exe
2008-08-14 14:42 2,182,656 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 14:42 2,182,656 ------w C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-08-14 14:42 2,138,624 ------w C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-08-14 14:42 2,060,032 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-14 14:42 2,060,032 ------w C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-08-14 14:42 2,018,304 ------w C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-08-14 10:51 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"Google Update"="C:\Dokumente und Einstellungen\Gunda\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-21 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2003-10-02 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2003-10-02 118784]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-08-12 102400]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-08-12 684032]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 40960]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 413696]
"EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-03-28 188416]
"ePowerManagement"="C:\Acer\ePM\ePM.exe" [2005-03-24 2880512]
"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.EXE" [2004-10-01 262144]
"PRISMSVR.EXE"="C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" [2004-04-26 295001]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2006-06-19 145408]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-16 266497]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2004-11-11 26112]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]
T-Com WLAN Manager.lnk - C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe [2004-06-08 327680]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 4096]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2005-03-24 78208]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 61440]
R3 IPN2220;acer IPN2220 Wireless LAN Card Driver;C:\WINDOWS\system32\DRIVERS\i2220ntx.sys [2004-03-29 140288]
R3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);C:\WINDOWS\system32\DRIVERS\RMSPPPOE.SYS [2002-06-10 31232]
S3 DT154_A02;Sinus 154 data II Driver;C:\WINDOWS\system32\DRIVERS\TS154USB.sys [2004-06-02 379264]
S3 HotSpotFSvc;Hotspot Manager;C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe [ ]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 17280]
S3 TSMPacket;T-DSL Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-brastk - C:\WINDOWS\system32\brastk.exe
SafeBoot-TDSSpqlt.sys

.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com
R0 -: HKLM-Main,Start Page = hxxp://www.google.com
R0 -: HKLM-Main,Window Title = Arcor AG & Co. KG
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-27 22:20:27
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme]
"ImagePath"="\??\C:\DOKUME~1\Gunda\LOKALE~1\Temp\catchme.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme]
"ImagePath"="\??\C:\DOKUME~1\Gunda\LOKALE~1\Temp\catchme.sys"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-27 22:25:15 - PC wurde neu gestartet [Gunda]
ComboFix-quarantined-files.txt 2008-10-27 21:25:08

Vor Suchlauf: 4,804,132,864 Bytes frei
Nach Suchlauf: 4,826,578,944 Bytes frei

250 --- E O F --- 2008-10-22 13:04:04

Noch nicht ganz, ich hab ein ungutes Gefühl:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\WINDOWS\system32\ohapacoqof.bat

C:\Programme\Gemeinsame Dateien\veketoloji.scr

C:\Dokumente und Einstellungen\Gunda\Anwendungsdaten\nezukywyna.scr

C:\Programme\Gemeinsame Dateien\ifykyz.sys

C:\Dokumente und Einstellungen\Gunda\Anwendungsdaten\acijy.vbs

C:\WINDOWS\system32\bazukybyxa.scr

C:\Programme\Gemeinsame Dateien\imimufo.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

1.
Datei veketoloji.scr empfangen 2008.10.27 22:56:25 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 50 und 71 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.27.3 2008.10.27 -
AntiVir 7.9.0.9 2008.10.27 -
Authentium 5.1.0.4 2008.10.27 -
Avast 4.8.1248.0 2008.10.27 -
AVG 8.0.0.161 2008.10.27 -
BitDefender 7.2 2008.10.27 -
CAT-QuickHeal 9.50 2008.10.27 -
ClamAV 0.93.1 2008.10.27 -
DrWeb 4.44.0.09170 2008.10.27 -
eSafe 7.0.17.0 2008.10.27 -
eTrust-Vet 31.6.6168 2008.10.25 -
Ewido 4.0 2008.10.27 -
F-Prot 4.4.4.56 2008.10.27 -
F-Secure 8.0.14332.0 2008.10.27 -
Fortinet 3.113.0.0 2008.10.27 -
GData 19 2008.10.27 -
Ikarus T3.1.1.44.0 2008.10.27 -
K7AntiVirus 7.10.509 2008.10.27 -
Kaspersky 7.0.0.125 2008.10.27 -
McAfee 5415 2008.10.25 -
Microsoft 1.4005 2008.10.27 -
NOD32 3560 2008.10.27 -
Norman 5.80.02 2008.10.27 -
Panda 9.0.0.4 2008.10.27 -
PCTools 4.4.2.0 2008.10.27 -
Prevx1 V2 2008.10.27 -
Rising 21.01.02.00 2008.10.27 -
SecureWeb-Gateway 6.7.6 2008.10.27 -
Sophos 4.35.0 2008.10.27 -
Sunbelt 3.1.1760.1 2008.10.27 -
Symantec 10 2008.10.27 -
TheHacker 6.3.1.1.131 2008.10.27 -
TrendMicro 8.700.0.1004 2008.10.27 -
VBA32 3.12.8.8 2008.10.27 -
ViRobot 2008.10.27.1438 2008.10.27 -
VirusBuster 4.5.11.0 2008.10.27 -
weitere Informationen
File size: 17874 bytes
MD5...: 64648f6e76a2f04223744b4e1add875b
SHA1..: 014528ef26a7db03c5cce57fc13fa921ed140b7d
SHA256: a7b940bf975db73a908f102c50c9fb59c57a826979df127d8829fe41e95fbaa9
SHA512: 86cfdc72ae7c78a26161dcadd11819dca8021b524e026f687e6b6e3dec15cfe1
28683a9c734a93d8c49b2a7a988ccbc679351d6096f12aed9d343eadb645ce66
PEiD..: -
TrID..: File type identification
MPEG Video (100.0%)
PEInfo: -

2.
Datei ohapacoqof.bat empfangen 2008.10.27 22:53:36 (CET)
Status: Beendet

Ergebnis: 0/36 (0.00%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.27.3 2008.10.27 -
AntiVir 7.9.0.9 2008.10.27 -
Authentium 5.1.0.4 2008.10.27 -
Avast 4.8.1248.0 2008.10.27 -
AVG 8.0.0.161 2008.10.27 -
BitDefender 7.2 2008.10.27 -
CAT-QuickHeal 9.50 2008.10.27 -
ClamAV 0.93.1 2008.10.27 -
DrWeb 4.44.0.09170 2008.10.27 -
eSafe 7.0.17.0 2008.10.27 -
eTrust-Vet 31.6.6168 2008.10.25 -
Ewido 4.0 2008.10.27 -
F-Prot 4.4.4.56 2008.10.27 -
F-Secure 8.0.14332.0 2008.10.27 -
Fortinet 3.113.0.0 2008.10.27 -
GData 19 2008.10.27 -
Ikarus T3.1.1.44.0 2008.10.27 -
K7AntiVirus 7.10.509 2008.10.27 -
Kaspersky 7.0.0.125 2008.10.27 -
McAfee 5415 2008.10.25 -
Microsoft 1.4005 2008.10.27 -
NOD32 3560 2008.10.27 -
Norman 5.80.02 2008.10.27 -
Panda 9.0.0.4 2008.10.27 -
PCTools 4.4.2.0 2008.10.27 -
Prevx1 V2 2008.10.27 -
Rising 21.01.02.00 2008.10.27 -
SecureWeb-Gateway 6.7.6 2008.10.27 -
Sophos 4.35.0 2008.10.27 -
Sunbelt 3.1.1760.1 2008.10.27 -
Symantec 10 2008.10.27 -
TheHacker 6.3.1.1.131 2008.10.27 -
TrendMicro 8.700.0.1004 2008.10.27 -
VBA32 3.12.8.8 2008.10.27 -
ViRobot 2008.10.27.1438 2008.10.27 -
VirusBuster 4.5.11.0 2008.10.27 -
weitere Informationen
File size: 14432 bytes
MD5...: e8f5360d9c5192a32176a623a3c11c11
SHA1..: 41ed468a963bbd825eb73497e3eecb97516b365b
SHA256: 844e85be9a5362fd287d91e09676c050d1e08d64d297a21d8655ce37eecf38a9
SHA512: 531b2a38a37b8871700f0dc0d573ca9ca9c26c6643449b1b92a83b9642945cc5
d8eb42abfa8f5df4f69435d567d241d026ee30f245aa7fbcf6bb1bebe932abe1
PEiD..: -
TrID..: File type identification
MPEG Video (100.0%)
PEInfo: -
packers (F-Prot): ARJ

3.
atei nezukywyna.scr empfangen 2008.10.27 23:01:38 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/36 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.27.3 2008.10.27 -
AntiVir 7.9.0.9 2008.10.27 -
Authentium 5.1.0.4 2008.10.27 -
Avast 4.8.1248.0 2008.10.27 -
AVG 8.0.0.161 2008.10.27 -
BitDefender 7.2 2008.10.27 -
CAT-QuickHeal 9.50 2008.10.27 -
ClamAV 0.93.1 2008.10.27 -
DrWeb 4.44.0.09170 2008.10.27 -
eSafe 7.0.17.0 2008.10.27 -
eTrust-Vet 31.6.6168 2008.10.25 -
Ewido 4.0 2008.10.27 -
F-Prot 4.4.4.56 2008.10.27 -
F-Secure 8.0.14332.0 2008.10.27 -
Fortinet 3.113.0.0 2008.10.27 -
GData 19 2008.10.27 -
Ikarus T3.1.1.44.0 2008.10.27 -
K7AntiVirus 7.10.509 2008.10.27 -
Kaspersky 7.0.0.125 2008.10.27 -
McAfee 5415 2008.10.25 -
Microsoft 1.4005 2008.10.27 -
NOD32 3560 2008.10.27 -
Norman 5.80.02 2008.10.27 -
Panda 9.0.0.4 2008.10.27 -
PCTools 4.4.2.0 2008.10.27 -
Prevx1 V2 2008.10.27 -
Rising 21.01.02.00 2008.10.27 -
SecureWeb-Gateway 6.7.6 2008.10.27 -
Sophos 4.35.0 2008.10.27 -
Sunbelt 3.1.1760.1 2008.10.27 -
Symantec 10 2008.10.27 -
TheHacker 6.3.1.1.131 2008.10.27 -
TrendMicro 8.700.0.1004 2008.10.27 -
VBA32 3.12.8.8 2008.10.27 -
ViRobot 2008.10.27.1438 2008.10.27 -
VirusBuster 4.5.11.0 2008.10.27 -
weitere Informationen
File size: 16654 bytes
MD5...: deb848470ed541bf7a390bf98477fab6
SHA1..: a802960139872a4e35597098c3c2143770429d11
SHA256: 1a38fa541eca17b8c76950749228f962f537c3ec5385f405c7c6d11f28842714
SHA512: fd2a0c7b68b7584987da72a116e0447db2b4d8d7040b00eeda4f8c8f12199aaf
cc1131041df9d9deef1542b3d6ceaa99d3a1f424afeec79920cd75d9db6ecec7
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -

4.
Datei ifykyz.sys empfangen 2008.10.27 23:05:33 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 45 und 64 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.27.3 2008.10.27 -
AntiVir 7.9.0.9 2008.10.27 -
Authentium 5.1.0.4 2008.10.27 -
Avast 4.8.1248.0 2008.10.27 -
AVG 8.0.0.161 2008.10.27 -
BitDefender 7.2 2008.10.27 -
CAT-QuickHeal 9.50 2008.10.27 -
ClamAV 0.93.1 2008.10.27 -
DrWeb 4.44.0.09170 2008.10.27 -
eSafe 7.0.17.0 2008.10.27 -
eTrust-Vet 31.6.6176 2008.10.28 -
Ewido 4.0 2008.10.27 -
F-Prot 4.4.4.56 2008.10.27 -
F-Secure 8.0.14332.0 2008.10.27 -
Fortinet 3.113.0.0 2008.10.27 -
GData 19 2008.10.27 -
Ikarus T3.1.1.44.0 2008.10.27 -
K7AntiVirus 7.10.509 2008.10.27 -
Kaspersky 7.0.0.125 2008.10.27 -
McAfee 5415 2008.10.25 -
Microsoft 1.4005 2008.10.27 -
NOD32 3560 2008.10.27 -
Norman 5.80.02 2008.10.27 -
Panda 9.0.0.4 2008.10.27 -
PCTools 4.4.2.0 2008.10.27 -
Prevx1 V2 2008.10.27 -
Rising 21.01.02.00 2008.10.27 -
SecureWeb-Gateway 6.7.6 2008.10.27 -
Sophos 4.35.0 2008.10.27 -
Sunbelt 3.1.1760.1 2008.10.27 -
Symantec 10 2008.10.27 -
TheHacker 6.3.1.1.131 2008.10.27 -
TrendMicro 8.700.0.1004 2008.10.27 -
VBA32 3.12.8.8 2008.10.27 -
ViRobot 2008.10.27.1438 2008.10.27 -
VirusBuster 4.5.11.0 2008.10.27 -
weitere Informationen
File size: 14611 bytes
MD5...: 7584b19ce3fa41669ef142474a02a718
SHA1..: b02f78c58e9ef245ac8e62399eee9a7ef5e4cd9d
SHA256: 727f6813d77e0c9caad9a27a89d753753487ac94e344a15f1a085c3918e8de58
SHA512: 875a9cca9e547716dead007e11b06ae943684bd9e2c9465102a9f6ff76055b96
6acabfce4b7bfe9035a818150df60644d09f3d09f4d04d1382476e36b1ca4901
PEiD..: -
TrID..: File type identification
MPEG Video (100.0%)
PEInfo: -

5.
Datei acijy.vbs empfangen 2008.10.27 23:09:49 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 45 und 64 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.27.3 2008.10.27 -
AntiVir 7.9.0.9 2008.10.27 -
Authentium 5.1.0.4 2008.10.27 -
Avast 4.8.1248.0 2008.10.27 -
AVG 8.0.0.161 2008.10.27 -
BitDefender 7.2 2008.10.27 -
CAT-QuickHeal 9.50 2008.10.27 -
ClamAV 0.93.1 2008.10.27 -
DrWeb 4.44.0.09170 2008.10.27 -
eSafe 7.0.17.0 2008.10.27 -
eTrust-Vet 31.6.6176 2008.10.28 -
Ewido 4.0 2008.10.27 -
F-Prot 4.4.4.56 2008.10.27 -
F-Secure 8.0.14332.0 2008.10.27 -
Fortinet 3.113.0.0 2008.10.27 -
GData 19 2008.10.27 -
Ikarus T3.1.1.44.0 2008.10.27 -
K7AntiVirus 7.10.509 2008.10.27 -
Kaspersky 7.0.0.125 2008.10.27 -
McAfee 5415 2008.10.25 -
Microsoft 1.4005 2008.10.27 -
NOD32 3560 2008.10.27 -
Norman 5.80.02 2008.10.27 -
Panda 9.0.0.4 2008.10.27 -
PCTools 4.4.2.0 2008.10.27 -
Prevx1 V2 2008.10.27 -
Rising 21.01.02.00 2008.10.27 -
SecureWeb-Gateway 6.7.6 2008.10.27 -
Sophos 4.35.0 2008.10.27 -
Sunbelt 3.1.1760.1 2008.10.27 -
Symantec 10 2008.10.27 -
TheHacker 6.3.1.1.131 2008.10.27 -
TrendMicro 8.700.0.1004 2008.10.27 -
VBA32 3.12.8.8 2008.10.27 -
ViRobot 2008.10.27.1438 2008.10.27 -
VirusBuster 4.5.11.0 2008.10.27 -
weitere Informationen
File size: 16651 bytes
MD5...: c285962e8f41cc01ed8e782c2154c567
SHA1..: eed93a3430c00c003b1efd8e466abef06f7b11d2
SHA256: 95a62a9d561e3052f55c35a0f70d6ee3b2b17e6f38a30ef0269a9c06ddb4bffa
SHA512: d25da1db361da106cd54c9c09c0676b6ed692fdb784c1b22efe120c1612e4e5d
e40e8ec826e12495eeef62183dcb687c94f265d10bd8aa0787f76905980a04b1
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -

Kannst du mir noch per Mail diese Dateien in einem passwortgeschütztem (PW: infected) .zip-Archiv zukommen lassen?

Zitat:

C:\WINDOWS\system32\ohapacoqof.bat
C:\Dokumente und Einstellungen\Gunda\Anwendungsdaten\acijy.vbs
C:\WINDOWS\system32\bazukybyxa.scr

Danke

6.
Datei bazukybyxa.scr empfangen 2008.10.27 23:12:44 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.27.3 2008.10.27 -
AntiVir 7.9.0.9 2008.10.27 -
Authentium 5.1.0.4 2008.10.27 -
Avast 4.8.1248.0 2008.10.27 -
AVG 8.0.0.161 2008.10.27 -
BitDefender 7.2 2008.10.27 -
CAT-QuickHeal 9.50 2008.10.27 -
ClamAV 0.93.1 2008.10.27 -
DrWeb 4.44.0.09170 2008.10.27 -
eSafe 7.0.17.0 2008.10.27 -
eTrust-Vet 31.6.6176 2008.10.28 -
Ewido 4.0 2008.10.27 -
F-Prot 4.4.4.56 2008.10.27 -
F-Secure 8.0.14332.0 2008.10.27 -
Fortinet 3.113.0.0 2008.10.27 -
GData 19 2008.10.28 -
Ikarus T3.1.1.44.0 2008.10.27 -
K7AntiVirus 7.10.509 2008.10.27 -
Kaspersky 7.0.0.125 2008.10.27 -
McAfee 5415 2008.10.25 -
Microsoft 1.4005 2008.10.27 -
NOD32 3560 2008.10.27 -
Norman 5.80.02 2008.10.27 -
Panda 9.0.0.4 2008.10.27 -
PCTools 4.4.2.0 2008.10.27 -
Prevx1 V2 2008.10.27 -
Rising 21.01.02.00 2008.10.27 -
SecureWeb-Gateway 6.7.6 2008.10.27 -
Sophos 4.35.0 2008.10.27 -
Sunbelt 3.1.1760.1 2008.10.27 -
Symantec 10 2008.10.27 -
TheHacker 6.3.1.1.131 2008.10.27 -
TrendMicro 8.700.0.1004 2008.10.27 -
VBA32 3.12.8.8 2008.10.27 -
ViRobot 2008.10.27.1438 2008.10.27 -
VirusBuster 4.5.11.0 2008.10.27 -
weitere Informationen
File size: 14859 bytes
MD5...: 38fe54c5f72c638eb817af8d6f7fa2d9
SHA1..: 10f2d8377cafb663a04593b23eaf7ae75265fd3c
SHA256: 16ea63f4abe62e39a55e80e8d10661733e9d8743043311897ca7016240692ede
SHA512: f88ce92fb6bc32abd5d483c7cbcb04c91b50dc73badf3b85f2f86dc0b57b5c36
e31ef312f8ad881f65b1d438b696fc4e22caf7d49e53adc931ebdef5208e1d38
PEiD..: -
TrID..: File type identification
MPEG Video (100.0%)
PEInfo: -

7. fertig :) und nü?

Datei imimufo.exe empfangen 2008.10.27 23:15:54 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.27.3 2008.10.27 -
AntiVir 7.9.0.9 2008.10.27 -
Authentium 5.1.0.4 2008.10.27 -
Avast 4.8.1248.0 2008.10.27 -
AVG 8.0.0.161 2008.10.27 -
BitDefender 7.2 2008.10.27 -
CAT-QuickHeal 9.50 2008.10.27 -
ClamAV 0.93.1 2008.10.27 -
DrWeb 4.44.0.09170 2008.10.27 -
eSafe 7.0.17.0 2008.10.27 -
eTrust-Vet 31.6.6176 2008.10.28 -
Ewido 4.0 2008.10.27 -
F-Prot 4.4.4.56 2008.10.27 -
F-Secure 8.0.14332.0 2008.10.27 -
Fortinet 3.113.0.0 2008.10.27 -
GData 19 2008.10.28 -
Ikarus T3.1.1.44.0 2008.10.27 -
K7AntiVirus 7.10.509 2008.10.27 -
Kaspersky 7.0.0.125 2008.10.27 -
McAfee 5415 2008.10.25 -
Microsoft 1.4005 2008.10.27 -
NOD32 3560 2008.10.27 -
Norman 5.80.02 2008.10.27 -
Panda 9.0.0.4 2008.10.27 -
PCTools 4.4.2.0 2008.10.27 -
Prevx1 V2 2008.10.27 -
Rising 21.01.02.00 2008.10.27 -
SecureWeb-Gateway 6.7.6 2008.10.27 -
Sophos 4.35.0 2008.10.27 -
Sunbelt 3.1.1760.1 2008.10.27 -
Symantec 10 2008.10.27 -
TheHacker 6.3.1.1.131 2008.10.27 -
TrendMicro 8.700.0.1004 2008.10.27 -
VBA32 3.12.8.8 2008.10.27 -
ViRobot 2008.10.27.1438 2008.10.27 -
VirusBuster 4.5.11.0 2008.10.27 -
weitere Informationen
File size: 13877 bytes
MD5...: 04c81e247e21ad0fc39019e088616a94
SHA1..: 36430654e73e51716808802616b28481b90ba21f
SHA256: 27fd73faaac4a4953e6361846d519c62fd68d6a4cfab8e225226bf1c48334564
SHA512: ef4bdbaa47d667c4e667ce07d011031c57003683fe4629d9d442198f15bfb515
f2229a0424e060812333667ca0148f405de7ae46fdceb9f068e8cf54338d6d8e
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -

Das Ergebnis der Analyse ist erstaunlich bis erschreckend. :confused:
Schau dir bitte noch meinen Post an => Klick
Soweit, so gut.

Am Schluss noch dieses Tool nutzen:

SDFix anwenden:

Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
http://img.bleepingcomputer.com/swr-...ix-install.jpg
Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
Gib ein Y ein, um den Reinigungsprozess zu beginnen.
Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

Und dann das:

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Damit ist Combofix und alle weiteren Programme entfernt wurden.

klar, kann ich gerne machen... aber wie geht das? find hier nichtmal die option nen anhang zu machen ... sorry, bin wohl echt nen bißchen unfähig

Du hast Post (PN). ;)

so, ... das ding... jetzt mach ich noch das hijack ding ...;)

SDFix: Version 1.238
Run by Gunda on 27.10.2008 at 23:44

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\antiv.exe - Deleted
C:\WINDOWS\SYSTEM32\TDSSOSVD.DAT - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-27 23:48:05
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 7 Oct 2004 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK32.dll"
Thu 7 Oct 2004 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
Thu 7 Oct 2004 1,024 ...HR --- "C:\WINDOWS\system32\ntiembed.dll"
Sun 10 Sep 2006 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Fri 9 Feb 2007 6,491 A.SH. --- "C:\Dokumente und Einstellungen\Gunda\Anwendungsdaten\Roxio\Dragon\DiscInfoCache\QSI______CDRW_DVD_SBW242C_UQ81_300_DICV018_DRGV2050108.TMP"

Finished!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:54:54, on 27.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\QTTask.exe
C:\acer\epm\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\LManager.EXE
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Gunda\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Gunda\Lokale Einstellungen\Temporary Internet Files\Content.IE5\34WUM8F4\HiJackThis[1].exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.EXE
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Gunda\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B991B023-8923-4869-994C-E86A928DAA13}: NameServer = 217.237.148.70 217.237.150.115
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

--
End of file - 7235 bytes

Sieht gut aus, bis auf das dein System immernoch veraltet ist. ;)
SP3 und Internet Explorer 7 solltest du unbedingt updaten!

cool, tausend tausend dank!!!!
was auch immer sp ist ,,, ich update es ,,,(was ist das?)
das andere kenn ich sogar ;)

Kein Problem. :)
SP3 = Service Pack 3 und das bekommst du hier => Klick

habe alles brav gemacht und geschickt ... das sp lade ich auch noch runter...
danke schön:)

Kein Problem,

gute Nacht :juul: