Trojaner-Board - Trojaner auf dem Laptop

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner auf dem Laptop (https://www.trojaner-board.de/72278-trojaner-laptop.html)

Trojaner auf dem Laptop

Hallo,
Ich weiß zwar nicht wie aber irgendwie habe ich mir ein Trojaner eingefangen.
Antivir meldet den Trojaner als "Worm/Koobface.HC.16".
Desweiteren kommt nun bei mir immer so eine Meldung. siehe Screenshot.
Hijackthis sagt das hier

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:15:01, on 21.04.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

D:\Programme\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

D:\Programme\KGB\Mpk.exe

C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe

C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\RUNDLL32.EXE

D:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe

C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

C:\Programme\Lexmark 3600-4600 Series\lxdxmon.exe

C:\Programme\Lexmark 3600-4600 Series\ezprint.exe

C:\DOKUME~1\Rene\LOKALE~1\Temp\RtkBtMnt.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe

D:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe

C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe

C:\WINDOWS\system32\lxdxcoms.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

D:\Programme\RapidSolution\Scramby\ScrambyServer.exe

D:\Programme\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\TrueCrypt\TrueCrypt.exe

d:\Programme\TVersity\Media Server\MediaServer.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

D:\Programme\DAEMON Tools Lite\daemon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe

D:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe

D:\PROGRA~1\MICROS~1\Office12\OUTLOOK.EXE

D:\games\icytower1.3\icytower13.exe

D:\games\icytower1.3\icytower13.exe

D:\games\icytower1.3\icytower13.exe

D:\games\icytower1.3\icytower13.exe

c:\windows\pp06.exe

C:\WINDOWS\System32\dll32.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Malwarebytes' Anti-Malware\mbam.exe

C:\Programme\Internet Explorer\iexplore.exe

c:\windows\freddy40.exe

c:\windows\mstre18.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\mspaint.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll

O2 - BHO: 219198 helper - {5B452B01-12C9-4286-81D9-2308AEB3CD94} - C:\WINDOWS\system32\219198\219198.dll (file missing)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

O4 - HKLM\..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "D:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe

O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

O4 - HKLM\..\Run: [lxdxmon.exe] "C:\Programme\Lexmark 3600-4600 Series\lxdxmon.exe"

O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 3600-4600 Series\ezprint.exe"

O4 - HKLM\..\Run: [BVRPLiveUpdate] C:\Programme\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOKUME~1\ALLUSE~1\ANWEND~1\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT

O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sysldtray] c:\windows\ld08.exe

O4 - HKLM\..\Run: [pp] c:\windows\pp06.exe

O4 - HKLM\..\Run: [sysmstray] c:\windows\mstre18.exe

O4 - HKLM\..\Run: [sysfbtray] c:\windows\freddy40.exe

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon

O4 - HKCU\..\Run: [dll32] dll32

O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] d:\Programme\KGB\Mpk.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: EPGService - Hauppauge Computer Works - D:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: Imapi Helper - Alex Feinman - D:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: lxdxCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdxserv.exe

O23 - Service: lxdx_device -   - C:\WINDOWS\system32\lxdxcoms.exe

O23 - Service: NBService - Nero AG - D:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Scramby Server (ScrambyServer) - RapidSolution Software AG - D:\Programme\RapidSolution\Scramby\ScrambyServer.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TVersityMediaServer - Unknown owner - d:\Programme\TVersity\Media Server\MediaServer.exe

O23 - Service: websrvx - Unknown owner - C:\Programme\websrvx\websrvx.exe
 

--

End of file - 14094 bytes

Malwarebytes sagt das

Code:

Malwarebytes' Anti-Malware 1.36

Datenbank Version: 2019

Windows 5.1.2600 Service Pack 3
 

21.04.2009 19:50:09

mbam-log-2009-04-21 (19-50-05).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 353462

Laufzeit: 2 hour(s), 18 minute(s), 20 second(s)
 

Infizierte Speicherprozesse: 3

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 3

Infizierte Registrierungswerte: 5

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 1

Infizierte Dateien: 13
 

Infizierte Speicherprozesse:

c:\WINDOWS\pp06.exe (Worm.Koobface) -> No action taken.

C:\WINDOWS\system32\dll32.exe (Trojan.Agent) -> No action taken.

c:\WINDOWS\ld08.exe (Trojan.KoobFace) -> No action taken.
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\Interface\{f7d09218-46d7-4d3d-9b7f-315204cd0836} (Trojan.BHO) -> No action taken.

HKEY_CLASSES_ROOT\Typelib\{e63648f7-3933-440e-b4f6-a8584dd7b7eb} (Trojan.BHO) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\websrvx (Trojan.Downloader) -> No action taken.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pp (Worm.Koobface) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysfbtray (Trojan.KoobFace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysmstray (Trojan.KoobFace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray (Backdoor.Bot) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dll32 (Trojan.KoobFace) -> No action taken.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

C:\Programme\websrvx (Trojan.Downloader) -> No action taken.
 

Infizierte Dateien:

c:\WINDOWS\pp06.exe (Worm.Koobface) -> No action taken.

C:\Programme\websrvx\websrvx.exe (Trojan.Downloader) -> No action taken.

C:\WINDOWS\freddy40.exe (Trojan.KoobFace) -> No action taken.

C:\WINDOWS\msmark2.dat (Trojan.KoobFace) -> No action taken.

C:\WINDOWS\t55ft2803f44.dat (Trojan.KoobFace) -> No action taken.

C:\WINDOWS\t55ft2829f44.dat (Trojan.KoobFace) -> No action taken.

C:\WINDOWS\t55ft2832f44.dat (Trojan.KoobFace) -> No action taken.

C:\WINDOWS\t55ft3242f44.dat (Trojan.KoobFace) -> No action taken.

C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temp\jopaxx_1240349380.exe (Trojan.KoobFace) -> No action taken.

c:\WINDOWS\mstre18.exe (Trojan.KoobFace) -> No action taken.

C:\WINDOWS\system32\dll32.exe (Trojan.Agent) -> No action taken.

c:\WINDOWS\ld08.exe (Backdoor.Bot) -> No action taken.

C:\WINDOWS\9g2234wesdf3dfgjf23 (Trojan.KoobFace) -> No action taken.

Wie kann ich den Trojaner entfernen ?

Hallo 007Rene und :hallo:

Das hier sieht nach einem alt-bekannten Keylogger aus:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

D:\Programme\KGB\Mpk.exe

C:\WINDOWS\system32\lxdxcoms.exe

c:\windows\freddy40.exe

C:\Programme\websrvx\websrvx.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Navilog1 - von IL-MAFIOSO

Bitte lade Dir Navilog1 herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.
(Anleitung von Myrtille)

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Datei lxdxcoms.exe empfangen 2009.04.21 21:01:21 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/39 (0%)

Code:

Antivirus Version letzte aktualisierung Ergebnis 

a-squared 4.0.0.101 2009.04.21 - 

AhnLab-V3 5.0.0.2 2009.04.21 - 

AntiVir 7.9.0.148 2009.04.21 - 

Antiy-AVL 2.0.3.1 2009.04.21 - 

Authentium 5.1.2.4 2009.04.21 - 

Avast 4.8.1335.0 2009.04.21 - 

AVG 8.5.0.287 2009.04.21 - 

BitDefender 7.2 2009.04.21 - 

CAT-QuickHeal 10.00 2009.04.21 - 

ClamAV 0.94.1 2009.04.21 - 

Comodo 1124 2009.04.21 - 

DrWeb 4.44.0.09170 2009.04.21 - 

eSafe 7.0.17.0 2009.04.21 - 

eTrust-Vet 31.6.6440 2009.04.20 - 

F-Prot 4.4.4.56 2009.04.21 - 

F-Secure 8.0.14470.0 2009.04.21 - 

Fortinet 3.117.0.0 2009.04.21 - 

GData 19 2009.04.21 - 

Ikarus T3.1.1.49.0 2009.04.21 - 

K7AntiVirus 7.10.710 2009.04.21 - 

Kaspersky 7.0.0.125 2009.04.21 - 

McAfee 5591 2009.04.21 - 

McAfee+Artemis 5591 2009.04.21 - 

McAfee-GW-Edition 6.7.6 2009.04.21 - 

Microsoft 1.4602 2009.04.21 - 

NOD32 4025 2009.04.21 - 

Norman 6.00.06 2009.04.21 - 

nProtect 2009.1.8.0 2009.04.21 - 

Panda 10.0.0.14 2009.04.21 - 

PCTools 4.4.2.0 2009.04.21 - 

Prevx1 V2 2009.04.21 - 

Rising 21.26.14.00 2009.04.21 - 

Sophos 4.40.0 2009.04.21 - 

Sunbelt 3.2.1858.2 2009.04.21 - 

Symantec 1.4.4.12 2009.04.21 - 

TheHacker 6.3.4.0.312 2009.04.21 - 

TrendMicro 8.700.0.1004 2009.04.21 - 

ViRobot 2009.4.21.1702 2009.04.21 - 

VirusBuster 4.6.5.0 2009.04.21 - 

weitere Informationen 

File size: 594600 bytes 

MD5...: 21c843a23992ba690dd09f252bc91ce0 

SHA1..: c03675acfa7ed9590d998aa94771cedba0904b83 

SHA256: a5c2123f00775b3214652b7a6bae370fc0ee317d8d84a90554b0dfca06c1d74d 

SHA512: c3b630eab633dd81ea68838bd51237d6074ad1bbfe98811caa95dc976382086b

4c53c42f9536bcff9cc887979f9a8b4d8be834b59c505c4cd34c3182dfc46f05 

ssdeep: 12288:ps5uukwLpPWXEH1RLWkM5YTnoY7fg1UXzrZebK:GgUVRqF5+o11UXzrZeb

K

 

PEiD..: - 

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%) 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x369cd

timedatestamp.....: 0x47bca0a3 (Wed Feb 20 21:50:27 2008)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x6abf4 0x6b000 6.61 387d2dd5c0f7284adf357935a18818ae

.rdata 0x6c000 0x1c5e2 0x1d000 5.09 9b91ca788bd3a0ea004c79af8e82e011

.data 0x89000 0x10984 0x6000 4.58 3fbb24b4497f70dd7e4463aaec0e56da

.rsrc 0x9a000 0x3d4 0x1000 3.70 c9c69d3d9e3207e7bec870b10bd26da5
 

( 4 imports ) 

> KERNEL32.dll: ExpandEnvironmentStringsA, GetModuleFileNameA, GetLocalTime, CreateFileA, lstrcpynA, MultiByteToWideChar, lstrcatA, lstrcpyA, FormatMessageA, WideCharToMultiByte, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, DeleteFileA, GetWindowsDirectoryA, GetCurrentThreadId, WriteFile, SetFilePointer, GetFileSize, GetCurrentProcessId, SetLastError, GetCurrentProcess, GetVersionExA, GetExitCodeProcess, WaitForSingleObject, SetPriorityClass, CreateProcessA, SetThreadPriority, SetEvent, ResetEvent, CreateEventA, OpenEventA, ReleaseMutex, CreateMutexA, InterlockedIncrement, InterlockedDecrement, InterlockedExchange, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetComputerNameA, RaiseException, RtlUnwind, HeapFree, HeapAlloc, GetProcessHeap, GetStartupInfoA, ExitThread, CreateThread, LCMapStringA, LCMapStringW, GetCPInfo, ExitProcess, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, HeapSize, GetACP, GetOEMCP, GetStdHandle, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetSystemTimeAsFileTime, VirtualAlloc, HeapReAlloc, GetConsoleCP, GetConsoleMode, FlushFileBuffers, GetLocaleInfoA, GetStringTypeA, GetStringTypeW, GetUserDefaultLCID, EnumSystemLocalesA, IsValidLocale, IsValidCodePage, GetLocaleInfoW, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetStdHandle, ReadFile, CreateFileW, SetEndOfFile, GetCommandLineA, GetTickCount, Sleep, TerminateThread, CloseHandle, GetSystemDirectoryA, GetModuleHandleA, LoadLibraryA, FreeLibrary, GetProcAddress, IsDebuggerPresent, GetLastError

> USER32.dll: SendMessageA, FindWindowA

> WINSPOOL.DRV: DeleteMonitorA

> ADVAPI32.dll: InitializeSecurityDescriptor, RegEnumValueA, RegCreateKeyExA, RegDeleteKeyA, RegSetValueExA, RegDeleteValueA, RegQueryValueExA, RegOpenKeyExA, RegEnumKeyExA, RegCloseKey, AllocateAndInitializeSid, SetKernelObjectSecurity, GetSecurityDescriptorDacl, SetSecurityInfo, InitializeAcl, AddAccessAllowedAce, ControlService, CloseServiceHandle, OpenServiceA, OpenSCManagerA, StartServiceA, SetSecurityDescriptorDacl, IsValidSid, GetLengthSid, GetAce, FreeSid
 

( 0 exports ) 

 

PDFiD.: - 

RDS...: NSRL Reference Data Set

Code:

Datei freddy40.exe empfangen 2009.04.21 21:14:40 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 
 
 

Ergebnis: 29/38 (76.32%)

Laden der Serverinformationen... 

Ihre Datei wartet momentan auf Position: 3.

Geschätzte Startzeit ist zwischen 50 und 72 Sekunden.

Dieses Fenster bis zum Abschluss des Scans nicht schließen. 

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt. 

 Filter Drucken der Ergebnisse  Datei existiert nicht oder dessen Lebensdauer wurde überschritten 

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.  Email:  

  
 

Antivirus Version letzte aktualisierung Ergebnis 

a-squared 4.0.0.101 2009.04.21 Worm.Win32.Koobface!IK 

AhnLab-V3 5.0.0.2 2009.04.21 Win32/Koobface.worm.28160.B 

AntiVir 7.9.0.148 2009.04.21 Worm/Koobface.GQ 

Antiy-AVL 2.0.3.1 2009.04.21 - 

Authentium 5.1.2.4 2009.04.21 - 

Avast 4.8.1335.0 2009.04.21 Win32:Trojan-gen {Other} 

AVG 8.5.0.287 2009.04.21 SHeur2.AAPV 

BitDefender 7.2 2009.04.21 Gen:Worm.Koobface 

CAT-QuickHeal 10.00 2009.04.21 Trojan.Agent.ATV 

ClamAV 0.94.1 2009.04.21 Worm.Koobface-18 

Comodo 1124 2009.04.21 TrojWare.Win32.Trojan.Agent.Gen 

DrWeb 4.44.0.09170 2009.04.21 - 

eSafe 7.0.17.0 2009.04.21 Win32.Net.WormKoobfa 

eTrust-Vet 31.6.6440 2009.04.20 Win32/Koobface.BE 

F-Prot 4.4.4.56 2009.04.21 - 

Fortinet 3.117.0.0 2009.04.21 W32/Koobfa 

GData 19 2009.04.21 Gen:Worm.Koobface 

Ikarus T3.1.1.49.0 2009.04.21 Worm.Win32.Koobface 

K7AntiVirus 7.10.710 2009.04.21 Net-Worm.Win32.Koobface.gq 

Kaspersky 7.0.0.125 2009.04.21 Net-Worm.Win32.Koobface.gq 

McAfee 5591 2009.04.21 W32/Koobface.worm 

McAfee+Artemis 5591 2009.04.21 Generic!Artemis 

McAfee-GW-Edition 6.7.6 2009.04.21 Worm.Koobface.GQ 

Microsoft 1.4602 2009.04.21 Worm:Win32/Koobface.A 

NOD32 4025 2009.04.21 probably a variant of Win32/Genetik 

Norman 6.00.06 2009.04.21 - 

nProtect 2009.1.8.0 2009.04.21 Worm/W32.Koobface.28160.B 

Panda 10.0.0.14 2009.04.21 W32/Boface.AS.worm 

PCTools 4.4.2.0 2009.04.21 - 

Rising 21.26.14.00 2009.04.21 Trojan.DL.Win32.Undef.eai 

Sophos 4.40.0 2009.04.21 W32/Koobfa-Gen 

Sunbelt 3.2.1858.2 2009.04.21 - 

Symantec 1.4.4.12 2009.04.21 W32.Koobface.A 

TheHacker 6.3.4.0.312 2009.04.21 - 

TrendMicro 8.700.0.1004 2009.04.21 PAK_Generic.001 

VBA32 3.12.10.2 2009.04.21 Net-Worm.Win32.Koobface.gq 

ViRobot 2009.4.21.1702 2009.04.21 - 

VirusBuster 4.6.5.0 2009.04.21 Worm.Koobface.DV 

weitere Informationen 

File size: 28160 bytes 

MD5...: 244665a1619ffa90950ee21204392d77 

SHA1..: ad7713275af5597daba01b72e8e7e14ded51eac1 

SHA256: 68345f2b674c6058fb9f93b306a5f287e281ee2e44e5637fa4e711bb1344932d 

SHA512: 4842a9145e335e60e1575f4a17cd366a303d49b361c5baeefc0935ad898b07c4

fd179fbeeb0fb51cb0d2f56694e6a728b178ff437db33b995cccbba819bb4168 

ssdeep: 384:qaQhBz2ZlpQDgKSyfgl3iAMdrEDeEb/4sjcCApMdBs8JG1qhcAa9o3iI6hzA

Cnmx:qaQBmpQDXZ4l3ZVL4CBz5BZQbOy

 

PEiD..: - 

TrID..: File type identification

UPX compressed Win32 Executable (39.5%)

Win32 EXE Yoda's Crypter (34.3%)

Win32 Executable Generic (11.0%)

Win32 Dynamic Link Library (generic) (9.8%)

Generic Win/DOS Executable (2.5%) 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x123d0

timedatestamp.....: 0x49e31b5f (Mon Apr 13 11:00:47 2009)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0xc000 0x7000 0x6600 7.89 b040f80023da1d20d9c49260bdaa1bdb

UPX2 0x13000 0x1000 0x400 2.86 42309be2e0f9692affa82a03a8fdcd6b
 

( 10 imports ) 

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess

> ADVAPI32.dll: RegOpenKeyA

> MSVCP60.dll: __0_Lockit@std@@QAE@XZ

> MSVCRT.dll: atoi

> ole32.dll: CoInitialize

> OLEAUT32.dll: -

> SHELL32.dll: StrStrA

> SHLWAPI.dll: SHDeleteKeyA

> USER32.dll: CharToOemA

> WS2_32.dll: -
 

( 0 exports ) 

 

PDFiD.: - 

RDS...: NSRL Reference Data Set

- 

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=244665a1619ffa90950ee21204392d77' target='_blank'>http://www.threatexpert.com/report.aspx?md5=244665a1619ffa90950ee21204392d77</a> 

packers (Kaspersky): PE_Patch.UPX, UPX 

packers (F-Prot): UPX

Code:

Datei websrvx.exe empfangen 2009.04.21 21:21:23 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 
 
 

Ergebnis: 16/40 (40%)

Laden der Serverinformationen... 

Ihre Datei wartet momentan auf Position: 2.

Geschätzte Startzeit ist zwischen 44 und 63 Sekunden.

Dieses Fenster bis zum Abschluss des Scans nicht schließen. 

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt. 

 Filter Drucken der Ergebnisse  Datei existiert nicht oder dessen Lebensdauer wurde überschritten 

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.  Email:  

  
 

Antivirus Version letzte aktualisierung Ergebnis 

a-squared 4.0.0.101 2009.04.21 - 

AhnLab-V3 5.0.0.2 2009.04.21 - 

AntiVir 7.9.0.148 2009.04.21 BDS/Backdoor.Gen 

Antiy-AVL 2.0.3.1 2009.04.21 - 

Authentium 5.1.2.4 2009.04.21 - 

Avast 4.8.1335.0 2009.04.21 - 

AVG 8.5.0.287 2009.04.21 - 

BitDefender 7.2 2009.04.21 Generic.Malware.Fdld!.61AF579D 

CAT-QuickHeal 10.00 2009.04.21 - 

ClamAV 0.94.1 2009.04.21 - 

Comodo 1124 2009.04.21 - 

DrWeb 4.44.0.09170 2009.04.21 - 

eSafe 7.0.17.0 2009.04.21 Suspicious File 

eTrust-Vet 31.6.6440 2009.04.20 - 

F-Prot 4.4.4.56 2009.04.21 - 

F-Secure 8.0.14470.0 2009.04.21 Trojan-Downloader.Win32.Zlob.bddu 

Fortinet 3.117.0.0 2009.04.21 - 

GData 19 2009.04.21 Generic.Malware.Fdld!.61AF579D 

Ikarus T3.1.1.49.0 2009.04.21 - 

K7AntiVirus 7.10.710 2009.04.21 - 

Kaspersky 7.0.0.125 2009.04.21 Trojan-Downloader.Win32.Zlob.bddu 

McAfee 5591 2009.04.21 New Malware.ai 

McAfee+Artemis 5591 2009.04.21 New Malware.ai 

McAfee-GW-Edition 6.7.6 2009.04.21 Trojan.Backdoor.Backdoor.Gen 

Microsoft 1.4602 2009.04.21 Trojan:Win32/Koobface.gen!D 

NOD32 4025 2009.04.21 probably a variant of Win32/TrojanProxy.Small.NCJ 

Norman 6.00.06 2009.04.21 - 

nProtect 2009.1.8.0 2009.04.21 - 

Panda 10.0.0.14 2009.04.21 - 

PCTools 4.4.2.0 2009.04.21 - 

Prevx1 V2 2009.04.21 Medium Risk Malware Dropper 

Rising 21.26.14.00 2009.04.21 Trojan.Win32.Nodef.ekn 

Sophos 4.40.0 2009.04.21 Mal/TinyDL-T 

Sunbelt 3.2.1858.2 2009.04.21 - 

Symantec 1.4.4.12 2009.04.21 Trojan Horse 

TheHacker 6.3.4.0.312 2009.04.21 - 

TrendMicro 8.700.0.1004 2009.04.21 PAK_Generic.001 

VBA32 3.12.10.2 2009.04.21 - 

ViRobot 2009.4.21.1702 2009.04.21 - 

VirusBuster 4.6.5.0 2009.04.21 - 

weitere Informationen 

File size: 9728 bytes 

MD5...: 02980fd74106fc8c322386c857b61269 

SHA1..: 347e56b3006a2437ad0d10bacee6548ca75a4a0e 

SHA256: bac96fd0adae5af57f47c9fd295516fe140d09961c25e85c164864d10b8eb56e 

SHA512: ca8ccafbf202109f1a001d6c11b6edce6d17c3adf0b4536fddd02335395c4f03

307151acb64d5c2cb954eb1503a263274f85f7a732282a3471cff45f1371612e 

ssdeep: 192:32ZCGxjJAj8eJ6s0IsdA2563wrIA7YgUiNHv8fTfz:K9JAj9qIs225jI3Wo

 

PEiD..: - 

TrID..: File type identification

UPX compressed Win32 Executable (39.5%)

Win32 EXE Yoda's Crypter (34.3%)

Win32 Executable Generic (11.0%)

Win32 Dynamic Link Library (generic) (9.8%)

Generic Win/DOS Executable (2.5%) 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x7be0

timedatestamp.....: 0x49ec2855 (Mon Apr 20 07:46:29 2009)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x6000 0x2000 0x1e00 7.78 aaaecc90c7dbaf8854e37a759e141fae

UPX2 0x8000 0x1000 0x400 2.28 ba95264f2381bc6ad466c10e398842d7
 

( 8 imports ) 

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess

> ADVAPI32.dll: SetServiceStatus

> iphlpapi.dll: IcmpSendEcho

> MSVCRT.dll: exit

> ole32.dll: CoInitialize

> OLEAUT32.dll: -

> USER32.dll: PeekMessageA

> WS2_32.dll: -
 

( 0 exports ) 

 

PDFiD.: - 

RDS...: NSRL Reference Data Set

- 

packers (F-Prot): UPX 

Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=04EF1EB100F4985626580006322B7F00656C9E85' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=04EF1EB100F4985626580006322B7F00656C9E85</a>

Navilog

Code:

Search Navipromo version 3.7.6 began on 21.04.2009 at 21:24:42,59
 

!!! Warning, this report may include legitimate files/programs !!!

!!! Post this report on the forum you are being helped !!!

!!! Don't continue with removal unless instructed by an authorized helper !!!
 

Fix running from C:\Programme\navilog1
 

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO
 

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3

X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T7300  @ 2.00GHz )

BIOS : ZD1 v1.3708 3G08

USER : Rene ( Administrator )

BOOT : Normal boot
 

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Not Activated)
 
 

C:\ (Local Disk) - NTFS - Total:78 Go (Free:35 Go)

D:\ (Local Disk) - NTFS - Total:154 Go (Free:63 Go)

E:\ (CD or DVD)

G:\ (CD or DVD)

Z:\ (CD or DVD)
 
 

Search done in normal mode
 
 

*** Search folders in "C:\WINDOWS" ***
 
 

*** Search folders in "C:\Programme" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
 
 

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Rene\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Rene\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Rene\startm~1\progra~1" *** 
 
 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***

for more info : http://www.gmer.net
 
 
 

*** Search with GenericNaviSearch ***

!!! Possibility of legitimate files in the result !!!

!!! Must always be checked before manually deleting !!!
 

* Scan in "C:\WINDOWS\system32" *
 

* Scan in "C:\Dokumente und Einstellungen\Rene\lokale~1\anwend~1" * 
 
 
 

*** Search files *** 
 
 
 

*** Search specific Registry keys ***

!! Following keys are not certainly all infected !!
 
 

*** Complementary Search ***

(Search specific files)
 

1)Search new Instant Access files :
 
 

2)Heuristic Search :
 

* In "C:\WINDOWS\system32" :
 
 

* In "C:\Dokumente und Einstellungen\Rene\lokale~1\anwend~1" : 
 
 

3)Certificates Search :
 

Egroup certificate not found !

Electronic-Group certificate not found !

Montorgueil certificate not found !

OOO-Favorit certificate not found !

Sunny-Day-Design-Ltd certificate not found !
 

4)Search others known folders and files :
 
 
 

*** Search completed on 21.04.2009 at 21:43:06,34 ***

Combofix

Code:

ComboFix 09-04-21.A8 - Rene 21.04.2009 21:54.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1070 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Rene\Desktop\ComboFix.exe

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\ld08.exe

c:\windows\msmark2.dat

c:\windows\pp06.exe

c:\windows\system32\nfr.assembly

c:\windows\system32\nfr.gpref
 

.

(((((((((((((((((((((((   Dateien erstellt von 2009-03-21 bis 2009-04-21  ))))))))))))))))))))))))))))))

.
 

2009-04-21 19:48 . 2009-04-21 19:48        --------        d-----w        c:\programme\CCleaner

2009-04-21 19:23 . 2009-04-21 19:44        --------        d-----w        c:\programme\Navilog1

2009-04-21 17:07 . 2009-04-21 17:07        2        ---h--w        c:\windows\t55ft3242f44.dat

2009-04-21 17:07 . 2009-04-21 17:07        1        ---h--w        c:\windows\f23567.dat

2009-04-21 17:07 . 2009-04-21 17:07        --------        d-----w        c:\programme\websrvx

2009-04-21 17:07 . 2009-04-21 17:07        26624        ---h--w        c:\windows\mstre18.exe

2009-04-21 17:07 . 2009-04-21 17:07        2        ---h--w        c:\windows\t55ft2832f44.dat

2009-04-21 17:07 . 2009-04-21 17:07        28160        ---h--w        c:\windows\freddy40.exe

2009-04-21 17:07 . 2009-04-21 17:07        2        ---h--w        c:\windows\t55ft2803f44.dat

2009-04-21 15:30 . 2009-04-21 15:30        --------        d-----w        c:\dokumente und einstellungen\Rene\Anwendungsdaten\Malwarebytes

2009-04-21 15:30 . 2009-04-06 13:32        15504        ----a-w        c:\windows\system32\drivers\mbam.sys

2009-04-21 15:30 . 2009-04-06 13:32        38496        ----a-w        c:\windows\system32\drivers\mbamswissarmy.sys

2009-04-21 15:30 . 2009-04-21 15:30        --------        d-----w        c:\programme\Malwarebytes' Anti-Malware

2009-04-21 15:30 . 2009-04-21 15:30        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-04-21 15:24 . 2009-04-21 15:24        --------        d-----r        c:\dokumente und einstellungen\LocalService\Favoriten

2009-04-21 15:24 . 2009-04-21 15:24        --------        d-sh--w        c:\dokumente und einstellungen\LocalService\IETldCache

2009-04-21 15:12 . 2009-04-21 15:12        --------        d-----w        c:\programme\Adobe Media Player

2009-04-21 15:09 . 2009-04-21 15:09        --------        d-----w        c:\programme\Gemeinsame Dateien\Adobe AIR

2009-04-21 15:07 . 2009-04-21 15:07        1        ----a-w        c:\windows\9g2234wesdf3dfgjf23

2009-04-21 15:07 . 2009-04-21 15:07        2        ---h--w        c:\windows\t55ft2829f44.dat

2009-04-21 15:07 . 2009-04-21 15:24        --------        d-----w        c:\windows\system32\219198

2009-04-21 15:07 . 2009-04-21 15:07        14848        ----a-w        c:\windows\system32\dll32.exe

2009-04-19 15:46 . 2009-04-19 15:46        --------        d-----w        c:\programme\YouTube Downloader

2009-04-19 15:38 . 2009-04-19 15:38        --------        d-----w        c:\programme\AskBarDis

2009-04-19 15:38 . 2009-04-19 15:38        --------        d-----w        c:\programme\Gemeinsame Dateien\DVDVideoSoft

2009-04-19 15:38 . 2009-04-19 15:38        --------        d-----w        c:\programme\DVDVideoSoft

2009-04-12 16:10 . 2001-08-18 02:54        5632        ----a-w        c:\windows\system32\ptpusb.dll

2009-04-12 16:10 . 2008-04-14 05:52        159232        ----a-w        c:\windows\system32\ptpusd.dll

2009-04-12 15:28 . 2009-04-12 15:28        --------        d-----w        c:\programme\iPod

2009-04-12 15:28 . 2009-04-12 15:28        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}

2009-04-12 15:25 . 2009-03-26 13:23        1900544        ----a-w        c:\windows\system32\usbaaplrc.dll

2009-04-07 13:58 . 2009-04-07 13:58        --------        d-sh--w        c:\dokumente und einstellungen\Rene\IECompatCache

2009-04-07 13:57 . 2009-04-07 13:57        --------        d-sh--w        c:\dokumente und einstellungen\Rene\PrivacIE

2009-04-07 10:47 . 2009-04-07 10:47        --------        d-sh--w        c:\dokumente und einstellungen\Rene\IETldCache

2009-04-07 10:23 . 2009-04-07 10:23        --------        d-----w        c:\windows\ie8updates

2009-04-07 10:22 . 2009-04-07 10:23        --------        dc-h--w        c:\windows\ie8

2009-04-07 10:20 . 2009-02-28 04:55        105984        -c----w        c:\windows\system32\dllcache\iecompat.dll

2009-03-28 13:38 . 2009-03-28 13:38        --------        d--h--w        c:\windows\PIF
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-21 19:43 . 2009-04-21 19:24        2501        ----a-w        C:\fixnavi.txt

2009-04-21 15:19 . 2008-05-24 17:59        81400        ----a-w        c:\dokumente und einstellungen\Rene\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-04-21 15:14 . 2008-05-24 10:12        --------        d-----w        c:\programme\Gemeinsame Dateien\Adobe

2009-04-21 14:55 . 2009-02-27 13:23        --------        d-----w        c:\dokumente und einstellungen\Rene\Anwendungsdaten\Download Manager

2009-04-21 11:24 . 2008-05-28 11:04        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater

2009-04-21 08:54 . 2008-04-14 12:00        81316        ----a-w        c:\windows\system32\perfc007.dat

2009-04-21 08:54 . 2008-04-14 12:00        452554        ----a-w        c:\windows\system32\perfh007.dat

2009-04-21 08:49 . 2009-01-19 19:34        --------        d-sh--w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MPK

2009-04-15 19:46 . 2008-05-24 16:23        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help

2009-04-14 08:09 . 2008-12-08 12:52        --------        d-----w        c:\programme\Avanquest update

2009-04-12 16:22 . 2008-05-24 16:19        --------        d-----w        c:\dokumente und einstellungen\Rene\Anwendungsdaten\Apple Computer

2009-04-12 15:31 . 2008-07-02 09:04        --------        d-----w        c:\programme\Apple Software Update

2009-04-12 15:28 . 2008-05-24 16:18        --------        d-----w        c:\programme\Gemeinsame Dateien\Apple

2009-04-12 15:23 . 2008-05-24 16:19        --------        d-----w        c:\programme\Bonjour

2009-03-26 13:23 . 2008-05-24 16:18        36864        ----a-w        c:\windows\system32\drivers\usbaapl.sys

2009-03-19 20:53 . 2009-03-19 20:53        --------        d-----w        c:\programme\OpenXML-ODF Translator

2009-03-19 14:32 . 2006-09-19 12:44        23400        ----a-w        c:\windows\system32\drivers\GEARAspiWDM.sys

2009-03-09 17:15 . 2008-09-30 11:57        --------        d-----w        c:\dokumente und einstellungen\Rene\Anwendungsdaten\teamspeak2

2009-03-08 02:34 . 2008-04-14 12:00        914944        ----a-w        c:\windows\system32\wininet.dll

2009-03-08 02:34 . 2008-04-14 12:00        43008        ----a-w        c:\windows\system32\licmgr10.dll

2009-03-08 02:33 . 2008-04-14 12:00        18944        ----a-w        c:\windows\system32\corpol.dll

2009-03-08 02:33 . 2008-04-14 12:00        420352        ----a-w        c:\windows\system32\vbscript.dll

2009-03-08 02:32 . 2008-04-14 12:00        72704        ----a-w        c:\windows\system32\admparse.dll

2009-03-08 02:32 . 2008-04-14 12:00        71680        ----a-w        c:\windows\system32\iesetup.dll

2009-03-08 02:31 . 2008-04-14 12:00        34816        ----a-w        c:\windows\system32\imgutil.dll

2009-03-08 02:31 . 2008-04-14 12:00        48128        ----a-w        c:\windows\system32\mshtmler.dll

2009-03-08 02:31 . 2008-04-14 12:00        45568        ----a-w        c:\windows\system32\mshta.exe

2009-03-08 02:22 . 2008-04-14 12:00        156160        ----a-w        c:\windows\system32\msls31.dll

2009-03-06 14:19 . 2008-04-14 12:00        286720        ----a-w        c:\windows\system32\pdh.dll

2009-02-27 20:08 . 2009-02-27 20:08        0        ---ha-w        c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf

2009-02-27 20:08 . 2009-02-27 20:08        0        ---ha-w        c:\windows\system32\drivers\Msft_Kernel_ggsemc_01007.Wdf

2009-02-27 20:03 . 2009-02-27 20:03        1107296        ----a-w        c:\windows\system32\WdfCoInstaller01007.dll

2009-02-27 20:03 . 2008-10-12 20:11        24616        ----a-w        c:\windows\system32\drivers\ggsemc.sys

2009-02-27 20:03 . 2008-10-12 20:11        13224        ----a-w        c:\windows\system32\drivers\ggflt.sys

2009-02-27 06:16 . 2008-08-12 13:38        --------        d-----w        c:\programme\Microsoft Silverlight

2009-02-09 14:04 . 2008-04-14 12:00        1846912        ----a-w        c:\windows\system32\win32k.sys

2009-02-09 11:21 . 2008-04-14 07:30        2026496        ----a-w        c:\windows\system32\ntkrnlpa.exe

2009-02-09 11:21 . 2008-04-14 12:00        2147840        ----a-w        c:\windows\system32\ntoskrnl.exe

2009-02-09 11:21 . 2008-04-14 12:00        111104        ----a-w        c:\windows\system32\services.exe

2009-02-09 10:51 . 2008-04-14 12:00        736768        ----a-w        c:\windows\system32\lsasrv.dll

2009-02-09 10:51 . 2008-04-14 12:00        401408        ----a-w        c:\windows\system32\rpcss.dll

2009-02-09 10:51 . 2008-04-14 12:00        678400        ----a-w        c:\windows\system32\advapi32.dll

2009-02-09 10:51 . 2008-04-14 12:00        740352        ----a-w        c:\windows\system32\ntdll.dll

2009-02-06 10:39 . 2008-04-14 12:00        35328        ----a-w        c:\windows\system32\sc.exe

2009-02-03 19:57 . 2008-04-14 12:00        56832        ----a-w        c:\windows\system32\secur32.dll

2008-08-12 13:32 . 2008-08-12 13:32        191072        ----a-w        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat

1996-12-02 16:44 . 1996-12-02 16:44        582144        ----a-w        c:\programme\Gemeinsame Dateien\dao350.dll

2006-05-03 10:06 . 2008-06-06 17:09        163328        --sh--r        c:\windows\system32\flvDX.dll

2007-02-21 11:47 . 2008-06-06 17:09        31232        --sh--r        c:\windows\system32\msfDX.dll

2007-12-17 13:43 . 2008-06-06 17:09        27648        --sh--w        c:\windows\system32\Smab0.dll

.
 

------- Sigcheck -------
 

[-] 2008-05-23 21:22        1571840        451D0981F4CCA5697307AF90D799BDC3        c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]

2008-08-26 08:32        279944        ----a-w        c:\programme\AskBarDis\bar\bin\askBar.dll
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
 

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]

[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"dll32"="dll32" [X]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"TrueCrypt"="c:\programme\TrueCrypt\TrueCrypt.exe" [2008-05-24 1106112]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 147456]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-28 68856]

"DAEMON Tools Lite"="d:\programme\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]

"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

"Google Update"="c:\dokumente und einstellungen\Rene\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-07 133104]

"Sony Ericsson PC Suite"="d:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 360448]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]

"SynTPStart"="c:\programme\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]

"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2007-06-29 707080]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"GrooveMonitor"="d:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]

"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-04-04 421888]

"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]

"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-28 8531968]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-10-28 81920]

"Sony Ericsson PC Suite"="d:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]

"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 90112]

"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 94208]

"lxdxmon.exe"="c:\programme\Lexmark 3600-4600 Series\lxdxmon.exe" [2008-03-20 668328]

"EzPrint"="c:\programme\Lexmark 3600-4600 Series\ezprint.exe" [2008-03-20 107176]

"QuickTime Task"="d:\programme\QuickTime\qttask.exe" [2009-01-05 413696]

"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" [2009-04-02 342312]

"sysfbtray"="c:\windows\freddy40.exe" [2009-04-21 28160]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-01-29 16859648]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-10-28 1626112]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]

"Mpk.exe"="d:\programme\KGB\Mpk.exe" [2008-01-24 897024]
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           autocheck autochk /r \??\h:\0autocheck autochk /r \??\i:\0autocheck autochk *\0lsdelete
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acer Empowering Technology.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acer Empowering Technology.lnk

backup=c:\windows\pss\Acer Empowering Technology.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoStart IR.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AutoStart IR.lnk

backup=c:\windows\pss\AutoStart IR.lnkCommon Startup
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"d:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"d:\\Programme\\Counter-Strike 1.6\\hl.exe"=

"d:\\Programme\\Counter-Strike Source\\hl2.exe"=

"d:\\Programme\\Steam\\steamapps\\counterfany63\\counter-strike\\hl.exe"=

"d:\\Programme\\Steam\\steamapps\\007rene\\counter-strike source\\hl2.exe"=

"d:\\Programme\\HLSW\\hlsw.exe"=

"d:\\Programme\\QIP\\qip.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

"d:\\Programme\\ICQLite\\ICQLite.exe"=

"d:\\Programme\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe"=

"d:\\Programme\\ICQ6\\ICQ.exe"=

"d:\\Support\\Downloads\\World Of Warcraft\\WoW-BurningCrusade-deDE-Installer-downloader.exe"=

"d:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=

"c:\\WINDOWS\\system32\\lxdxcoms.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdxpswx.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdxjswx.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdxtime.exe"=

"c:\\Programme\\Lexmark 3600-4600 Series\\lxdxmon.exe"=

"c:\\Programme\\Lexmark 3600-4600 Series\\Wireless\\lxdxwpss.exe"=

"c:\\WINDOWS\\system32\\lxdxcfg.exe"=

"c:\\Programme\\Lexmark 3600-4600 Series\\lxdxlscn.exe"=

"c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=

"c:\\WINDOWS\\system32\\java.exe"=

"d:\\Programme\\Activision\\Quantum of Solace(TM)\\JB_LiveEngine_s.exe"=

"d:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=

"d:\\Programme\\TVersity\\Media Server\\MediaServer.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"d:\\Programme\\iTunes\\iTunes.exe"=
 

R2 ALIWEHCD;Belkin All-In-One Print Server Enhanced Controller;c:\windows\system32\Drivers\mfpec.sys [2006-07-24 53152]

R2 lxdxCATSCustConnectService;lxdxCATSCustConnectService;c:\windows\System32\spool\DRIVERS\W32X86\3\\lxdxserv.exe [2008-02-28 98984]

R2 websrvx;websrvx;c:\programme\websrvx\websrvx.exe [2009-04-21 9728]

R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2009-02-27 13224]

R3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\Drivers\hcw95bda.sys [2008-04-17 560640]

R3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\DRIVERS\hcw95rc.sys [2008-04-17 15616]

R3 SCREAMINGBDRIVER;Screaming Bee Audio; [x]

S2 EPGService;EPGService;d:\progra~1\WinTV\EPG Services\System\EPGService.exe [2008-04-09 436224]

S2 lxdx_device;lxdx_device;c:\windows\system32\lxdxcoms.exe [2008-02-28 594600]

S2 ScrambyServer;Scramby Server;d:\programme\RapidSolution\Scramby\ScrambyServer.exe [2008-02-15 675840]

S3 hidshim;Service for HID-KMDF Shim layer;c:\windows\system32\DRIVERS\hidshim.sys [2007-07-11 5632]

S3 scramby_out;Scramby Output;c:\windows\system32\drivers\scramby_out.sys [2007-08-08 23840]

S3 winbondhidcir;Winbond HID CIR Receiver;c:\windows\system32\DRIVERS\winbondhidcir.sys [2007-07-11 21504]

S3 WUSBVBus;MFP Server Detector;c:\windows\system32\DRIVERS\mfpvbus.sys [2006-08-03 9472]
 
 

--- Andere Dienste/Treiber im Speicher ---
 

*NewlyCreated* - WEBSRVX
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

Inhalt des "geplante Tasks" Ordners
 

2009-04-12 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34]
 

2009-04-21 c:\windows\Tasks\Google Software Updater.job

- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-05-28 15:08]
 

2009-04-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1482476501-1123561945-1177238915-1003.job

- c:\dokumente und einstellungen\Rene\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-07 17:01]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

BHO-{5B452B01-12C9-4286-81D9-2308AEB3CD94} - (no file)
 
 

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://google.de/

uInternet Settings,ProxyOverride = *.local

IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000

Name-Space Handler: ftp\* - {419A0123-4312-1122-A0C0-434FDA6DA542} - d:\programme\CoreFTP\pftpns.dll

FF - ProfilePath - c:\dokumente und einstellungen\Rene\Anwendungsdaten\Mozilla\Firefox\Profiles\iz7fyowz.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: network.proxy.http - localhost

FF - prefs.js: network.proxy.http_port - 7171

FF - prefs.js: network.proxy.type - 1

FF - plugin: c:\dokumente und einstellungen\Rene\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.141.5\npGoogleOneClick7.dll

FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll

FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll

FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll

FF - plugin: d:\programme\iTunes\Mozilla Plugins\npitunes.dll

FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin.dll

FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin2.dll

FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin3.dll

FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin4.dll

FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin5.dll

FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin6.dll

FF - plugin: d:\programme\VideoLAN\VLC\npvlc.dll

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-21 21:55

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2009-04-21 21:58

ComboFix-quarantined-files.txt  2009-04-21 19:57
 

Vor Suchlauf: 16 Verzeichnis(se), 38.756.139.008 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 39.675.035.648 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
 

282        --- E O F ---        2009-04-15 19:48