Trojaner-Board
Seite 3 von 4 12 3 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   trojan dropper.SEH oder W32/Agent.HZTR (https://www.trojaner-board.de/70492-trojan-dropper-seh-w32-agent-hztr.html)

john.doe 01.03.2009 13:18
Zitat:
Okay, Avira deinstalliert - bin nun schutzlos
Nein, bist du nicht, ich bin ja noch da. Avira kannst du wieder installieren. OK, mit ComboFix ist leider nichts zu wollen, dann nehmen wir eben

Systemdetails mit RSIT prüfen
  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas

Jeanny74 01.03.2009 13:31
Code:
Logfile of random's system information tool 1.05 (written by random/random)
Run by user at 2009-03-01 13:29:42
Microsoft® Windows Vista™ Home Premium  Service Pack 1
System drive C: has 65 GB (65%) free of 100 GB
Total RAM: 2046 MB (63% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:29, on 2009-03-01
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\user\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\user.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O13 - Gopher Prefix:
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - https://account.maxdome.de/presentation/script/HWTest.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-24-0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

--
End of file - 5608 bytes

======Scheduled tasks folder======

C:\Windows\tasks\Ad-Aware Update (Weekly).job
C:\Windows\tasks\User_Feed_Synchronization-{FD9B0677-31DC-48C0-A9B6-CA07857BA5DD}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{053F9267-DC04-4294-A72C-58F732D338C0}]
HP Print Clips - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll [2007-03-02 177768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Program Files\Java\jre6\bin\ssv.dll [2009-01-18 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-01-18 34816]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]
"TkBellExe"=C:\Program Files\Common Files\Real\Update_OB\realsched.exe [2008-05-09 185896]
"HP Software Update"=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [2007-03-11 49152]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-01-18 136600]
"QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2008-11-04 413696]
"iTunesHelper"=C:\Program Files\iTunes\iTunesHelper.exe [2008-11-20 290088]
"avgnt"=C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-19 1233920]
"swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2008-05-16 68856]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-19 125952]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PSEXESVC]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\fotobuch.de AG\Designer 2.0\Designer.exe"="C:\Program Files\fotobuch.de AG\Designer 2.0\Designer.exe:*:Designer.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 2 months======

2009-03-01 13:29:42 ----D---- C:\rsit
2009-03-01 13:27:14 ----D---- C:\ProgramData\Avira
2009-03-01 13:27:14 ----D---- C:\Program Files\Avira
2009-03-01 13:05:32 ----A---- C:\Windows\zip.exe
2009-03-01 13:05:32 ----A---- C:\Windows\VFIND.exe
2009-03-01 13:05:32 ----A---- C:\Windows\SWXCACLS.exe
2009-03-01 13:05:32 ----A---- C:\Windows\SWSC.exe
2009-03-01 13:05:32 ----A---- C:\Windows\SWREG.exe
2009-03-01 13:05:32 ----A---- C:\Windows\sed.exe
2009-03-01 13:05:32 ----A---- C:\Windows\NIRCMD.exe
2009-03-01 13:05:32 ----A---- C:\Windows\grep.exe
2009-03-01 13:05:32 ----A---- C:\Windows\fdsv.exe
2009-03-01 13:05:29 ----A---- C:\Windows\system32\CF22943.exe
2009-03-01 13:05:26 ----A---- C:\Windows\system32\swsc.exe
2009-03-01 12:43:24 ----D---- C:\Windows\ERDNT
2009-03-01 12:43:24 ----D---- C:\Qoobox
2009-03-01 00:13:41 ----D---- C:\ProgramData\SUPERAntiSpyware.com
2009-03-01 00:13:27 ----D---- C:\Users\user\AppData\Roaming\SUPERAntiSpyware.com
2009-03-01 00:13:27 ----D---- C:\Program Files\SUPERAntiSpyware
2009-02-28 23:28:43 ----A---- C:\lopR.txt
2009-02-28 23:28:11 ----D---- C:\Lop SD
2009-02-28 23:16:16 ----D---- C:\PerfLogs
2009-02-28 22:58:12 ----A---- C:\Windows\system32\SPWizUI.dll
2009-02-28 22:58:12 ----A---- C:\Windows\system32\SPReview.exe
2009-02-28 20:24:17 ----A---- C:\cleannavi.txt
2009-02-27 23:50:20 ----D---- C:\Program Files\CCleaner
2009-02-27 23:03:42 ----D---- C:\Program Files\Trend Micro
2009-02-27 23:01:56 ----D---- C:\Users\user\AppData\Roaming\Malwarebytes
2009-02-27 23:01:54 ----SHD---- C:\$RECYCLE.BIN
2009-02-27 23:01:50 ----D---- C:\ProgramData\Malwarebytes
2009-02-27 23:01:50 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-02-27 22:07:16 ----A---- C:\fixnavi.txt
2009-02-27 22:04:46 ----D---- C:\Program Files\Navilog1
2009-02-16 06:07:29 ----A---- C:\Windows\system32\EncDec.dll
2009-02-16 06:07:28 ----A---- C:\Windows\system32\psisdecd.dll
2009-02-12 08:05:03 ----A---- C:\Windows\system32\mshtml.dll
2009-02-12 08:05:03 ----A---- C:\Windows\system32\ieframe.dll
2009-02-12 08:05:02 ----A---- C:\Windows\system32\wininet.dll
2009-02-12 08:05:02 ----A---- C:\Windows\system32\urlmon.dll
2009-02-12 08:05:02 ----A---- C:\Windows\system32\msfeeds.dll
2009-02-12 08:05:01 ----A---- C:\Windows\system32\mstime.dll
2009-02-12 08:05:01 ----A---- C:\Windows\system32\jsproxy.dll
2009-02-12 08:05:01 ----A---- C:\Windows\system32\iertutil.dll
2009-01-30 20:23:21 ----D---- C:\ProgramData\Lavasoft
2009-01-30 20:23:21 ----D---- C:\Program Files\Lavasoft
2009-01-18 14:59:55 ----A---- C:\Windows\system32\javaws.exe
2009-01-18 14:59:55 ----A---- C:\Windows\system32\javaw.exe
2009-01-18 14:59:55 ----A---- C:\Windows\system32\java.exe
2009-01-18 14:59:55 ----A---- C:\Windows\system32\deploytk.dll
2009-01-18 11:48:36 ----D---- C:\ProgramData\wmp

======List of files/folders modified in the last 2 months======

2009-03-01 13:29:45 ----D---- C:\Windows\Temp
2009-03-01 13:29:45 ----D---- C:\Windows\Prefetch
2009-03-01 13:27:14 ----RD---- C:\Program Files
2009-03-01 13:27:14 ----HD---- C:\ProgramData
2009-03-01 13:27:14 ----D---- C:\Windows\system32\drivers
2009-03-01 13:26:26 ----SHD---- C:\System Volume Information
2009-03-01 13:24:37 ----SHD---- C:\Windows\Installer
2009-03-01 13:24:37 ----D---- C:\Windows\System32
2009-03-01 13:14:16 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-03-01 13:14:15 ----D---- C:\Windows\inf
2009-03-01 13:09:12 ----D---- C:\Windows\Minidump
2009-03-01 13:09:12 ----D---- C:\Windows
2009-03-01 13:05:29 ----D---- C:\Windows\system32\de-DE
2009-03-01 12:03:57 ----D---- C:\Program Files\Common Files
2009-03-01 10:24:00 ----D---- C:\Windows\Logs
2009-03-01 00:35:41 ----D---- C:\Windows\Microsoft.NET
2009-03-01 00:35:38 ----RSD---- C:\Windows\assembly
2009-03-01 00:00:34 ----D---- C:\Windows\Debug
2009-02-28 23:42:03 ----D---- C:\Windows\system32\Tasks
2009-02-28 23:40:10 ----D---- C:\Windows\rescache
2009-02-28 23:25:58 ----D---- C:\Windows\system32\catroot
2009-02-28 23:25:57 ----D---- C:\Windows\system32\catroot2
2009-02-28 23:25:51 ----SHD---- C:\Boot
2009-02-28 23:25:51 ----ASH---- C:\Program Files\desktop.ini
2009-02-28 23:19:15 ----D---- C:\Program Files\Windows Sidebar
2009-02-28 23:19:15 ----D---- C:\Program Files\Windows Calendar
2009-02-28 23:19:14 ----D---- C:\Program Files\Movie Maker
2009-02-28 23:19:12 ----D---- C:\Program Files\Windows Mail
2009-02-28 23:19:11 ----D---- C:\Program Files\Windows Media Player
2009-02-28 23:19:11 ----D---- C:\Program Files\Internet Explorer
2009-02-28 23:19:10 ----D---- C:\Program Files\Windows Collaboration
2009-02-28 23:19:08 ----D---- C:\Program Files\Windows Journal
2009-02-28 23:19:07 ----D---- C:\Program Files\Windows Photo Gallery
2009-02-28 23:18:58 ----D---- C:\Program Files\Windows Defender
2009-02-28 23:18:58 ----D---- C:\Program Files\Common Files\System
2009-02-28 23:18:57 ----D---- C:\Windows\servicing
2009-02-28 23:18:56 ----D---- C:\Windows\ehome
2009-02-28 23:18:34 ----D---- C:\Windows\MSAgent
2009-02-28 23:18:32 ----D---- C:\Windows\L2Schemas
2009-02-28 23:18:32 ----D---- C:\Windows\IME
2009-02-28 23:18:32 ----D---- C:\Windows\DigitalLocker
2009-02-28 23:18:31 ----D---- C:\Windows\system32\com
2009-02-28 23:18:31 ----D---- C:\Windows\PolicyDefinitions
2009-02-28 23:18:30 ----D---- C:\Windows\system32\XPSViewer
2009-02-28 23:18:30 ----D---- C:\Windows\system32\ko-KR
2009-02-28 23:18:30 ----D---- C:\Windows\system32\en-US
2009-02-28 23:18:30 ----D---- C:\Windows\system32\da-DK
2009-02-28 23:18:24 ----D---- C:\Windows\system32\it-IT
2009-02-28 23:18:23 ----D---- C:\Windows\system32\oobe
2009-02-28 23:18:23 ----D---- C:\Windows\system32\el-GR
2009-02-28 23:18:22 ----D---- C:\Windows\system32\sysprep
2009-02-28 23:18:22 ----D---- C:\Windows\system32\migration
2009-02-28 23:18:16 ----D---- C:\Windows\system32\AdvancedInstallers
2009-02-28 23:18:15 ----D---- C:\Windows\system32\sv-SE
2009-02-28 23:18:15 ----D---- C:\Windows\system32\SLUI
2009-02-28 23:18:15 ----D---- C:\Windows\system32\setup
2009-02-28 23:18:15 ----D---- C:\Windows\system32\ru-RU
2009-02-28 23:18:15 ----D---- C:\Windows\system32\pt-PT
2009-02-28 23:18:15 ----D---- C:\Windows\system32\ias
2009-02-28 23:18:15 ----D---- C:\Windows\system32\hu-HU
2009-02-28 23:18:15 ----D---- C:\Windows\system32\he-IL
2009-02-28 23:18:15 ----D---- C:\Windows\system32\fr-FR
2009-02-28 23:18:15 ----D---- C:\Windows\system32\fi-FI
2009-02-28 23:18:15 ----D---- C:\Windows\system32\cs-CZ
2009-02-28 23:18:14 ----D---- C:\Windows\system32\zh-CN
2009-02-28 23:18:13 ----D---- C:\Windows\system32\zh-TW
2009-02-28 23:18:13 ----D---- C:\Windows\system32\ro-RO
2009-02-28 23:18:13 ----D---- C:\Windows\system32\pl-PL
2009-02-28 23:18:13 ----D---- C:\Windows\system32\manifeststore
2009-02-28 23:18:13 ----D---- C:\Windows\system32\ja-JP
2009-02-28 23:18:13 ----D---- C:\Windows\system32\es-ES
2009-02-28 23:18:08 ----D---- C:\Windows\system32\tr-TR
2009-02-28 23:18:07 ----D---- C:\Windows\system32\wbem
2009-02-28 23:18:04 ----D---- C:\Windows\system32\nl-NL
2009-02-28 23:18:04 ----D---- C:\Windows\system32\nb-NO
2009-02-28 23:18:04 ----D---- C:\Windows\system32\ar-SA
2009-02-28 23:18:02 ----D---- C:\Windows\system32\migwiz
2009-02-28 23:18:00 ----D---- C:\Windows\system32\pt-BR
2009-02-28 23:16:27 ----RSD---- C:\Windows\Fonts
2009-02-28 23:16:27 ----D---- C:\Windows\AppPatch
2009-02-28 23:16:20 ----D---- C:\Windows\winsxs
2009-02-28 23:16:20 ----D---- C:\Windows\Boot
2009-02-28 23:16:17 ----D---- C:\Windows\system32\Boot
2009-02-28 23:09:23 ----D---- C:\Windows\system32\WDI
2009-02-28 23:06:28 ----A---- C:\Windows\system32\ifxcardm.dll
2009-02-28 23:06:19 ----A---- C:\Windows\system32\axaltocm.dll
2009-02-28 21:20:55 ----DC---- C:\Windows\system32\DRVSTORE
2009-02-28 21:20:37 ----AD---- C:\ProgramData\TEMP
2009-02-28 21:03:38 ----D---- C:\Program Files\Google
2009-02-28 21:03:19 ----D---- C:\ProgramData\Google
2009-02-27 22:22:27 ----D---- C:\Program Files\Vuze
2009-02-23 14:29:28 ----D---- C:\Users\user\AppData\Roaming\HP
2009-02-22 21:24:45 ----D---- C:\Users\user\AppData\Roaming\DivX
2009-02-22 21:23:30 ----D---- C:\Program Files\DivX
2009-02-06 08:08:08 ----D---- C:\Program Files\Mozilla Firefox
2009-02-04 00:21:12 ----A---- C:\Windows\system32\mrt.exe
2009-01-30 20:25:04 ----D---- C:\Windows\Tasks
2009-01-18 14:59:24 ----D---- C:\Program Files\Java

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys [2007-02-27 11840]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2008-10-30 75072]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R3 avgntflt;avgntflt; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [2008-05-20 52032]
R3 bcm4sbxp;Broadcom 440x 10/100-integrierter Controller-XP-Treiber; C:\Windows\system32\DRIVERS\bcm4sbxp.sys [2006-11-02 45056]
R3 Dot4;MS IEEE-1284.4-Treiber; C:\Windows\system32\DRIVERS\Dot4.sys [2008-01-19 131584]
R3 Dot4Print;Druckerklassentreiber für IEEE-1284.4; C:\Windows\system32\DRIVERS\Dot4Prt.sys [2008-01-19 16384]
R3 dot4usb;MS Dot4USB Filter Dot4USB Filter; C:\Windows\system32\DRIVERS\dot4usb.sys [2008-01-19 36864]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\system32\DRIVERS\GEARAspiWDM.sys [2008-04-17 15464]
R3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
R3 R300;R300; C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-02 2028032]
R3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-19 35328]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]
S3 catchme;catchme; \??\C:\Users\user\AppData\Local\Temp\catchme.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]
R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-11-07 132424]
R2 hpqddsvc;HP CUE DeviceDiscovery Service; C:\Windows\system32\svchost.exe [2008-01-19 21504]
R2 Net Driver HPZ12;Net Driver HPZ12; C:\Windows\System32\svchost.exe [2008-01-19 21504]
R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\Windows\System32\svchost.exe [2008-01-19 21504]
R3 hpqcxs08;hpqcxs08; C:\Windows\system32\svchost.exe [2008-01-19 21504]
R3 iPod Service;iPod-Dienst; C:\Program Files\iPod\bin\iPodService.exe [2008-11-20 536872]
S3 gusvc;Google Updater Service; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-10-07 168432]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]

-----------------EOF-----------------

Jeanny74 01.03.2009 13:32
Code:
info.txt logfile of random's system information tool 1.05 2009-03-01 13:29:46

======Uninstall list======

-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
32 Bit HP CIO Components Installer-->MsiExec.exe /I{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}
Acrobat.com-->C:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR Application Installer.exe -uninstall com.adobe.mauby 4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
Acrobat.com-->MsiExec.exe /I{77DCDCE3-2DED-62F3-8154-05E745472D07}
Adobe AIR-->C:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR Updater.exe -arp:uninstall
Adobe AIR-->MsiExec.exe /I{00203668-8170-44A0-BE44-B632FA4D780F}
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A90000000001}
Apple Mobile Device Support-->MsiExec.exe /I{EC4455AB-F155-4CC1-A4C5-88F3777F9886}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
CEP - Color Enable Package-->"C:\PROGRA~1\EAGAME~1\zCEP_Uninstaller\unins000.exe"
Designer 2.0-->"C:\Program Files\fotobuch.de AG\Designer 2.0\unins000.exe"
Die Sims 2-->C:\Program Files\EA GAMES\Die Sims 2\EAUninstall.exe
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Favorit-->c:\users\user\appdata\local\ysvpbm.bat
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
HP Customer Participation Program 9.0-->C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Imaging Device Functions 9.0-->C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP OCR Software 9.0-->C:\Program Files\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat
HP Photosmart All-In-One Software 9.0-->C:\Program Files\HP\Digital Imaging\{B46AC30C-22D2-4610-B041-1DA7BB29EB57}\setup\hpzscr01.exe -datfile hposcr21.dat
HP Photosmart Essential 2.01-->C:\Program Files\HP\Digital Imaging\PhotoSmartEssential\hpzscr01.exe -datfile hpqbud13.dat
HP Product Assistant-->MsiExec.exe /I{36FDBE6E-6684-462B-AE98-9A39A1B200CC}
HP Smart Web Printing-->MsiExec.exe /X{415CDA53-9100-476F-A7B2-476691E117C7}
HP Solution Center 9.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
HP Update-->MsiExec.exe /X{FE57DE70-95DE-4B64-9266-84DA811053DB}
HPSSupply-->MsiExec.exe /X{487B0B9B-DCD4-440D-89A0-A6EDE1A545A3}
IrfanView (remove only)-->C:\Program Files\IrfanView\iv_uninstall.exe
iTunes-->MsiExec.exe /I{318AB667-3230-41B5-A617-CB3BF748D371}
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Works-->MsiExec.exe /I{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}
Mozilla Firefox (3.0.6)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Navilog1 3.7.5-->"C:\Program Files\Navilog1\unins000.exe"
OnlineFotoservice-->"C:\Program Files\OnlineFotoservice\OnlineFotoservice\uninstall.exe"
OpenOffice.org 3.0-->MsiExec.exe /I{04B45310-A5FE-4425-BFCA-1A6D8920DE74}
QuickTime-->MsiExec.exe /I{F958CA02-BB40-4007-894B-258729456EE4}
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\Windows\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR-->C:\Program Files\WinRAR\uninstall.exe

======Security center information======

AS: Windows-Defender

System event log

Computer Name: user-PC
Event Code: 3004
Message: Vom Windows-Defender-Echtzeitschutz-Agent wurden Änderungen erkannt. Microsoft empfiehlt, die Software, die diese Änderungen vorgenommen hat, zu analysieren, um potenzielle Risiken festzustellen. Sie können anhand der Informationen über die Funktionsweise dieser Programme entscheiden, ob die Software ausgeführt werden kann oder vom Computer entfernt werden soll. Lassen Sie nur Änderungen zu, wenn das Programm oder der Softwareherausgeber vertrauenswürdig ist. Windows-Defender kann Änderungen, die Sie zugelassen haben, nicht mehr rückgängig machen.
 Weitere Informationen finden Sie im Folgenden:
Nicht zutreffend
        Scan-ID: {E29F9C19-C6A3-4148-8F60-781706468DC4}
          Benutzer: user-PC\user
        Name: Unknown
        ID:
        Schweregrad-ID:
        Kategorie-ID:
        Gefundener Pfad: clsid:HKLM\SOFTWARE\CLASSES\CLSID\{45AC2688-0253-4ED8-97DE-B5370FA7D48A};regkey:HKLM\SOFTWARE\CLASSES\CLSID\{45AC2688-0253-4ED8-97DE-B5370FA7D48A};regkey:HKLM\Software\Classes\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning;contextmenu:HKLM\Software\Classes\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning;file:C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll
        Warnungsart: Nicht klassifizierte Software
        Feststellungstyp: 
Record Number: 89638
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090301122730.000000-000
Event Type: Warnung
User:

Computer Name: user-PC
Event Code: 6
Message: Der Dateisystemfilter "avgntflt" (6.0, 2008-05-19T12:17:12.000Z) wurde erfolgreich geladen und im Filter-Manager registriert.
Record Number: 89639
Source Name: Microsoft-Windows-FilterManager
Time Written: 20090301122728.876611-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: user-PC
Event Code: 17
Message: AVGNTFLT successfully loaded
Record Number: 89640
Source Name: avgntflt
Time Written: 20090301122728.876611-000
Event Type: Informationen
User:

Computer Name: user-PC
Event Code: 3005
Message: Zum Schutz dieses Computers vor Spyware und möglicherweise unerwünschter Software wurden vom Windows-Defender-Echtzeitschutz-Agent Maßnahmen ergriffen.
 Weitere Informationen finden Sie hier:
Nicht zutreffend
        Scan-ID: {E29F9C19-C6A3-4148-8F60-781706468DC4}
          Benutzer: user-PC\user
        Name: Unknown
        ID:
        Schweregrad-ID:
        Kategorie-ID:
        Warnungsart: Nicht klassifizierte Software
        Aktion: Ignorieren
Record Number: 89641
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090301122730.000000-000
Event Type: Informationen
User:

Computer Name: user-PC
Event Code: 7036
Message: Dienst "Avira AntiVir Personal - Free Antivirus Guard" befindet sich jetzt im Status "Ausgeführt".
Record Number: 89642
Source Name: Service Control Manager
Time Written: 20090301122731.000000-000
Event Type: Informationen
User:

Application event log

Computer Name: user-PC
Event Code: 1034
Message: Das Produkt wurde durch Windows Installer deinstalliert. Produktname: Bonjour. Produktversion: 1.0.106. Produktsprache: 1031. Erfolg- bzw. Fehlerstatus der Deinstallation: 0.
Record Number: 19336
Source Name: MsiInstaller
Time Written: 20090301122437.000000-000
Event Type: Informationen
User: user-PC\user

Computer Name: user-PC
Event Code: 8194
Message: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005. Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.

Vorgang:
  Generatordaten werden gesammelt

Kontext:
  Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
  Generatorname: System Writer
  Generatorinstanz-ID: {453f356e-8f88-41bb-b23e-5efdd4615898}
Record Number: 19337
Source Name: VSS
Time Written: 20090301122623.000000-000
Event Type: Fehler
User:

Computer Name: user-PC
Event Code: 8194
Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Users\user\AppData\Local\Temp\RarSFX0\basic\setup.exe ; Beschreibung = Avira AntiVir Personal - 2009-03-01 13:26).
Record Number: 19338
Source Name: System Restore
Time Written: 20090301122629.000000-000
Event Type: Informationen
User:

Computer Name: user-PC
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!
Record Number: 19339
Source Name: Avira AntiVir
Time Written: 20090301122731.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: user-PC
Event Code: 8194
Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Users\user\AppData\Local\Temp\RarSFX0\basic\setup.exe ; Beschreibung = Avira AntiVir Personal - 2009-03-01 13:26).
Record Number: 19340
Source Name: System Restore
Time Written: 20090301122737.000000-000
Event Type: Informationen
User:

Security event log

Computer Name: user-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:        \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys       
Record Number: 35232
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090301122945.099811-000
Event Type: Überwachung gescheitert
User:

Computer Name: user-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:        \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys       
Record Number: 35233
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090301122945.131011-000
Event Type: Überwachung gescheitert
User:

Computer Name: user-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:        \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys       
Record Number: 35234
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090301122945.146611-000
Event Type: Überwachung gescheitert
User:

Computer Name: user-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:        \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys       
Record Number: 35235
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090301122945.177811-000
Event Type: Überwachung gescheitert
User:

Computer Name: user-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:        \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys       
Record Number: 35236
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090301122945.209011-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\QuickTime\QTSystem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 67 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=4302
"NUMBER_OF_PROCESSORS"=2
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_07\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_07\lib\ext\QTJava.zip

-----------------EOF-----------------

john.doe 01.03.2009 14:09
Soso, Windows Defender hat festgestellt, dass Avira ganz böse ist. http://www.cosgan.de/images/smilie/froehlich/a065.gif

Naja, halte ich mich mit meinen Kommentaren mal lieber zurück. Hattest du mal irgendwelche P2P-Software, wie Azureus, BitTorrent, Emule oder sonstige Virenschleudern auf deinem Rechner?

1.) Mache bitte einen Mausklick rechts auf folgende Datei und wähle Bearbeiten:
Zitat:
c:\users\user\appdata\local\ysvpbm.bat
Poste den Inhalt dieser Datei.

2.) Solltest du Microsoft Works (bäh) nicht benutzen, dann deinstalliere es. Dasselbe gilt für Designer 2.0 (bähbäh).

3.) Lasse SourceForge.net: JavaRa: Downloading ... laufen.

4.) Installiere Download der Java-Software von Sun Microsystems.

5.) Lösche folgende Datei:
Code:
C:\Windows\tasks\Ad-Aware Update (Weekly).job
6.) Einige Reste (Catchme, Process Explorer) deuten auf versuchte Selbstheilung hin. Ohne ComboFix weiß ich allerdings nicht, wie die Reste zu beseitigen sind.

7.) Schädlinge im Ordner der Systemwiederherstellung:

(Systemwiederherstellung kann nun wieder aktiviert werden.)


8.)
Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Damit wird Combofix und alle weiteren Programme entfernt.

9.) Starte HJT => Do a system scan only => Markiere:
Code:
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
=> Fix checked

10.) Mache einen Neustart und poste ein neues HJT-Log.

ciao, andreas

Jeanny74 01.03.2009 19:30
So, wieder da, dann werde ich mal Stück für Stück deiner Liste abarbeiten - übrigens hängt mein PC beim hochfahren gleich beim booten, ging grad wieder nicht aufs erste Mal...

Ich hatte mal Vuze auf dem Rechner, ist glaub ich so ein BitTorrent-Zeug, oder?

zu1) weiß nicht genau was ich dir hier posten soll??
Allgemein:
Ort c:\users\user\appdata\local
Größe 87 Bytes (87 Bytes)
Größe auf Datenträger 4.00 KB (4,096 Bytes)

Erstellt: ‎2009-‎01-‎18, ‏‎11:48
Geändert: ‎2009-‎02-‎28, ‏‎20:18
Letzter Zugriff: ‎2009-‎01-‎18, ‏‎11:48

john.doe 01.03.2009 19:35
Mausklick rechts war schon richtig, doch statt Eigenschaften sollst du Bearbeiten wählen. Dann öffnet sich Notepad, dort [Strg]a, [Strg]c drücken, zu Trojaner-Board wechseln, auf Antworten klicken und dann [Strg]v.

ciao, andreas

Jeanny74 01.03.2009 19:50
Okay, das erklärt einiges:rolleyes:

@echo Uninstalling the software...
@"c:\users\user\appdata\local\wgcwo.exe" -uninstall

john.doe 01.03.2009 19:52
Die kannst du gleich löschen.

ciao, andreas

Jeanny74 01.03.2009 20:12
Ich habe die Systemwiederherstellung deaktiviert. Muss ich das mit dem abgesicherten Modus auch machen? Denn ich habe Vista und nicht XP und die Beschreibung greift hier nicht

john.doe 01.03.2009 20:27
Zitat:
Muss ich das mit dem abgesicherten Modus auch machen?
Nein.

ciao, andreas

Jeanny74 01.03.2009 20:45
alles ausgeführt:taenzer:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:29, on 2009-03-01
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\user\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\user.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O13 - Gopher Prefix:
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - https://account.maxdome.de/presentation/script/HWTest.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-24-0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

--
End of file - 5608 bytes

john.doe 01.03.2009 20:56
Vista :pfui:

Start => Ausführen => msconfig (eintippeln) => OK =>
Karte: Tools => Benutzerkontoschutz deaktivieren => OK

Fixe nochmal alle Einträge => Neustart => Neues HJT-Log

Und von Azureus in Zukunft die Hände weg.

ciao, andreas

Jeanny74 01.03.2009 21:04
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:29, on 2009-03-01
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\user\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\user.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O13 - Gopher Prefix:
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - https://account.maxdome.de/presentation/script/HWTest.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-24-0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

--
End of file - 5608 bytes

john.doe 01.03.2009 21:07
Ich gebs auf. :schmoll:

Alle Programme, die wir eingesetzt haben, deinstallieren/löschen. MalwareBytes kannst du anstelle von Spyware Doctor behalten.

Benutzerkontosteuerung und Systemwiederherstellung anschalten.

Viel Spaß und keine Schädlinge mehr,
Andreas

Jeanny74 01.03.2009 21:11
Du gibst auf?? Wieso, funktioniert irgendwas nicht wie gewollt?

Jedenfalls vielen, vielen Dank für deine Hilfe!


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:47 Uhr.
Seite 3 von 4 12 3 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131