Trojaner-Board
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Werbe Pop up´s durch Trojaner/Viren (https://www.trojaner-board.de/90463-werbe-pop-up-s-trojaner-viren.html)

23elazig23 09.09.2010 14:34
Hi,

Habe gerade beim Suchen von DrWeb eine Meldung bekommen :confused:
Eine Windows Datei ist beschädigt oder so, führen sie chkdsk aus. :headbang:

Das habe ich gemacht jetzt steht da... das,dass nur im schreibgeschützen Modus geht, dazu muss ich chkdsk /F eingeben habe ich gemacht, jetzt wird das im nächsten Windows Start gemacht.

Hoffentlich ist es nicht die gleiche datei die schonmal bei mir beschädigt war, bei der mein Pc sich immer wieder selber neugestartet hat, also als ich mein pc gestartet hatte ist nach der Willkommensseite von Xp gleich wieder die Anmeldeseite gekommen.

Kannst du mir bitte weiterhelfen.

Vielen Dank



EDIT : Das war glaub ich die userinit.exe

Chris4You 09.09.2010 14:36
Hi,

lass auf jeden Fall Dr. Web durchlaufen...
Öffnen sich nur Seiten mit Firefox oder auch IE...?

Wir werden noch den MBR prüfen lassen, oder gleich CF losslassen...


Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Ps.: Im Falle der beschädigten Systemdatei:
Rechner vom Netz trennen (Internetstecker ziehen), dann:
1.) Start->ausführen cmd eingeben
2.) sfc /scannow eingeben
3.) XP-CD bereithalten, falls fehlerhafte Dateien gefunden werden
(bei OEM-Rechnern befindet sich i. a. ein entsprechendes Verzeichnis bereits auf der Festplatte)
4.) warten...

23elazig23 09.09.2010 14:43
Zitat:
Zitat von Chris4You (Beitrag 566123)
Hi,

lass auf jeden Fall Dr. Web durchlaufen...
Öffnen sich nur Seiten mit Firefox oder auch IE...?
Nur das was ich gerade benutze


Und kann/wird jetzt meine userinit.exe beschädigt sein ??

Chris4You 09.09.2010 14:45
Hi,

dann läuft noch was mit...
Anweisung für die beschädigte Systemdatei s. letzten post von mir..

chris

23elazig23 09.09.2010 14:47
Zitat:
Zitat von Chris4You (Beitrag 566132)
Hi,

dann läuft noch was mit...
Anweisung für die beschädigte Systemdatei s. letzten post von mir..

chris
Entschuldigung : Wiee bitte das habe ich jetzt nicht verstanden.

Chris4You 09.09.2010 14:49
Hi,

s. oben:
Ps.: Im Falle der beschädigten Systemdatei:
Rechner vom Netz trennen (Internetstecker ziehen), dann:
1.) Start->ausführen cmd eingeben
2.) sfc /scannow eingeben
3.) XP-CD bereithalten, falls fehlerhafte Dateien gefunden werden
(bei OEM-Rechnern befindet sich i. a. ein entsprechendes Verzeichnis bereits auf der Festplatte)
4.) warten...

chris

23elazig23 09.09.2010 14:51
Ok Vielen Dank
Ich warte aber erstmal bis der DrWeb fertig ist.

Edit: Kann das wirklich Stunden dauern ?

23elazig23 09.09.2010 15:13
ENDLICH Hier das Log von Dr.Web


Code:
Speichervorgang: C:\WINDOWS\System32\svchost.exe:1188;;BackDoor.Tdss.565;Beseitigt.;
7531b5d1-5a03b782\dev/s/AdgredY.class;C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17\7531b5d1-5a03b782;Exploit.Java.87;;
7531b5d1-5a03b782\dev/s/DyesyasZ.class;C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17\7531b5d1-5a03b782;Exploit.Java.87;;
7531b5d1-5a03b782\dev/s/LoaderX.class;C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17\7531b5d1-5a03b782;Exploit.Java.87;;
7531b5d1-5a03b782;C:\Dokumente und Einstellungen\Ayhan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17;Archiv enthält infizierte Objekte;Verschoben.;


Ich habe mein Pc jetzt normal gestartet und jetzt kam eine Fehlermeldung:
webtmr.exe ist beschädigt oder nicht lesbar Und irgendwas im Verzeichnis C:\programme\internet explorer ist beschädigt.
Mein Internet Explorer geht auch nicht mehr !

23elazig23 09.09.2010 16:02
Chkdsk wurde auch gelöscht !!

Ich kann glaube ich die Dateien die gelöscht wurden sind wiederherstellen....
Ich zufällig einen Pfad gefunden : C:\found.000 mit mehreren Verzeichnissen :

dir0000.chk, dir0001.chk, dir0002.chk ....... bis ..... dir0043.chk

Kannst du mir vielleicht helfen sie wiederherzustellen ?

Wenn ja, soll ich die Dateien uploaden und in einem Winrar Archiv packen ?

23elazig23 09.09.2010 17:23
Von Aira hab ich auch noch ein Report :

Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 9. September 2010  17:02

Es wird nach 2796454 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : AYHAN-UWBPIOYXR

Versionsinformationen:
BUILD.DAT      : 10.0.0.567    32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE    : 10.0.3.0      433832 Bytes  01.04.2010 11:37:35
AVSCAN.DLL    : 10.0.3.0      56168 Bytes  30.03.2010 10:42:16
LUKE.DLL      : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF  : 7.10.1.0    1372672 Bytes  19.11.2009 18:27:49
VBASE002.VDF  : 7.10.3.1    3143680 Bytes  20.01.2010 16:37:42
VBASE003.VDF  : 7.10.3.75    996864 Bytes  26.01.2010 15:37:42
VBASE004.VDF  : 7.10.4.203  1579008 Bytes  05.03.2010 10:29:03
VBASE005.VDF  : 7.10.6.82    2494464 Bytes  15.04.2010 11:53:40
VBASE006.VDF  : 7.10.7.218  2294784 Bytes  02.06.2010 11:53:46
VBASE007.VDF  : 7.10.9.165  4840960 Bytes  23.07.2010 11:53:58
VBASE008.VDF  : 7.10.9.166      2048 Bytes  23.07.2010 11:53:58
VBASE009.VDF  : 7.10.9.167      2048 Bytes  23.07.2010 11:53:58
VBASE010.VDF  : 7.10.9.168      2048 Bytes  23.07.2010 11:53:58
VBASE011.VDF  : 7.10.9.169      2048 Bytes  23.07.2010 11:53:58
VBASE012.VDF  : 7.10.9.170      2048 Bytes  23.07.2010 11:53:58
VBASE013.VDF  : 7.10.9.198    157696 Bytes  26.07.2010 11:53:58
VBASE014.VDF  : 7.10.9.255    997888 Bytes  29.07.2010 11:54:01
VBASE015.VDF  : 7.10.10.28    139264 Bytes  02.08.2010 11:54:01
VBASE016.VDF  : 7.10.10.52    127488 Bytes  03.08.2010 11:54:01
VBASE017.VDF  : 7.10.10.84    137728 Bytes  06.08.2010 11:54:02
VBASE018.VDF  : 7.10.10.107  176640 Bytes  09.08.2010 11:54:02
VBASE019.VDF  : 7.10.10.130  132608 Bytes  10.08.2010 11:54:03
VBASE020.VDF  : 7.10.10.158  131072 Bytes  12.08.2010 11:54:03
VBASE021.VDF  : 7.10.10.190  136704 Bytes  16.08.2010 11:54:03
VBASE022.VDF  : 7.10.10.217  118272 Bytes  19.08.2010 11:54:04
VBASE023.VDF  : 7.10.10.246  130048 Bytes  23.08.2010 13:51:21
VBASE024.VDF  : 7.10.11.11    144896 Bytes  25.08.2010 13:31:03
VBASE025.VDF  : 7.10.11.33    135168 Bytes  27.08.2010 12:23:09
VBASE026.VDF  : 7.10.11.52    148992 Bytes  31.08.2010 13:32:43
VBASE027.VDF  : 7.10.11.75    124928 Bytes  03.09.2010 15:36:25
VBASE028.VDF  : 7.10.11.92    137728 Bytes  06.09.2010 17:24:03
VBASE029.VDF  : 7.10.11.107  166400 Bytes  08.09.2010 13:03:38
VBASE030.VDF  : 7.10.11.108    2048 Bytes  08.09.2010 13:03:38
VBASE031.VDF  : 7.10.11.119    54784 Bytes  09.09.2010 14:52:40
Engineversion  : 8.2.4.50 
AEVDF.DLL      : 8.1.2.1      106868 Bytes  23.08.2010 11:54:13
AESCRIPT.DLL  : 8.1.3.44    1364346 Bytes  26.08.2010 13:32:59
AESCN.DLL      : 8.1.6.1      127347 Bytes  23.08.2010 11:54:12
AESBX.DLL      : 8.1.3.1      254324 Bytes  23.08.2010 11:54:13
AERDL.DLL      : 8.1.8.2      614772 Bytes  23.08.2010 11:54:11
AEPACK.DLL    : 8.2.3.5      471412 Bytes  23.08.2010 11:54:11
AEOFFICE.DLL  : 8.1.1.8      201081 Bytes  23.08.2010 11:54:10
AEHEUR.DLL    : 8.1.2.21    2883958 Bytes  03.09.2010 15:36:31
AEHELP.DLL    : 8.1.13.3      242038 Bytes  26.08.2010 13:32:39
AEGEN.DLL      : 8.1.3.20      397684 Bytes  26.08.2010 13:32:38
AEEMU.DLL      : 8.1.2.0      393588 Bytes  23.08.2010 11:54:06
AECORE.DLL    : 8.1.16.2      192887 Bytes  23.08.2010 11:54:06
AEBB.DLL      : 8.1.1.0        53618 Bytes  23.08.2010 11:54:05
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL    : 10.0.0.0      44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8      62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0      53096 Bytes  01.04.2010 11:35:44
AVSCPLR.DLL    : 10.0.3.0      83816 Bytes  01.04.2010 11:39:49
AVARKT.DLL    : 10.0.0.14    227176 Bytes  01.04.2010 11:22:11
AVEVTLOG.DLL  : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0      11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL    : 10.0.53.0      98152 Bytes  09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, F:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 9. September 2010  17:02

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'cmd.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOTEPAD.EXE' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'cchservice.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'wintmr.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'webtmr.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '130' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '171' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1693' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Beispielbilder\Www.ToxicSYS.NeT.rar
[0] Archivtyp: RAR
  [FUND]      Ist das Trojanische Pferd TR/Vapsup.abhk
--> Www.ToxicSYS.NeT\Public.dll
  [FUND]      Ist das Trojanische Pferd TR/Vapsup.abhk
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Beispielbilder\Www.ToxicSYS.NeT\Public.dll
    [FUND]      Ist das Trojanische Pferd TR/Vapsup.abhk
C:\Dokumente und Einstellungen\Ayhan\DoctorWeb\Quarantine\7531b5d1-5a03b782
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.2
--> dev/s/DyesyasZ.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.2
--> dev/s/LoaderX.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1
C:\System Volume Information\_restore{5F635806-0DC5-4258-860D-72743CAC1719}\RP203\A0033505.dll
    [FUND]      Ist das Trojanische Pferd TR/Black.Gen2
C:\_OTL\MovedFiles\09092010_132046\C_Dokumente und Einstellungen\LocalService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\42f82403-7a0181d9
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.2
--> dev/s/DyesyasZ.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.2
--> dev/s/LoaderX.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1
Beginne mit der Suche in 'F:\'

Beginne mit der Desinfektion:
C:\_OTL\MovedFiles\09092010_132046\C_Dokumente und Einstellungen\LocalService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\42f82403-7a0181d9
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e4cad41.qua' verschoben!
C:\System Volume Information\_restore{5F635806-0DC5-4258-860D-72743CAC1719}\RP203\A0033505.dll
    [FUND]      Ist das Trojanische Pferd TR/Black.Gen2
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '568d82e4.qua' verschoben!
C:\Dokumente und Einstellungen\Ayhan\DoctorWeb\Quarantine\7531b5d1-5a03b782
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '04d7d801.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Beispielbilder\Www.ToxicSYS.NeT\Public.dll
    [FUND]      Ist das Trojanische Pferd TR/Vapsup.abhk
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '62b79403.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Beispielbilder\Www.ToxicSYS.NeT.rar
    [FUND]      Ist das Trojanische Pferd TR/Vapsup.abhk
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '26d8b93f.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 9. September 2010  18:21
Benötigte Zeit:  1:17:47 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  6833 Verzeichnisse wurden überprüft
 474057 Dateien wurden geprüft
      7 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      5 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 474050 Dateien ohne Befall
  3826 Archive wurden durchsucht
      0 Warnungen
      5 Hinweise
 363579 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden


Entschuldigung fürs spammen habe aber später keine Zeit wollte es einfach loswerden !

23elazig23 09.09.2010 19:21
Und hier der Combofix - log :


Code:
ComboFix 10-09-08.03 - Ayhan 09.09.2010  20:08:59.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1471.948 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Ayhan\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\PriceGong\Data\z.xml
c:\windows\system32\SWCTL.DLL

Infizierte Kopie von c:\windows\system32\drivers\imapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
(((((((((((((((((((((((  Dateien erstellt von 2010-08-09 bis 2010-09-09  ))))))))))))))))))))))))))))))
.

2010-09-09 15:16 . 2008-04-14 05:52    116736    -c--a-w-    c:\windows\system32\dllcache\xrxwiadr.dll
2010-09-09 15:15 . 2001-08-17 11:28    64605    -c--a-w-    c:\windows\system32\dllcache\vvoice.sys
2010-09-09 15:14 . 2001-08-18 02:52    147200    -c--a-w-    c:\windows\system32\dllcache\smidispb.dll
2010-09-09 15:13 . 2001-08-17 11:28    130942    -c--a-w-    c:\windows\system32\dllcache\ptserlv.sys
2010-09-09 15:12 . 2001-08-18 02:54    7168    -c--a-w-    c:\windows\system32\dllcache\mxport.dll
2010-09-09 15:11 . 2008-04-14 05:30    422016    -c--a-w-    c:\windows\system32\dllcache\ltmdmntt.sys
2010-09-09 15:10 . 2001-08-18 02:51    10240    -c--a-w-    c:\windows\system32\dllcache\ibmsgnet.dll
2010-09-09 15:09 . 2001-08-17 10:10    22090    -c--a-w-    c:\windows\system32\dllcache\fem556n5.sys
2010-09-09 15:08 . 2008-04-13 20:06    48640    -c--a-w-    c:\windows\system32\dllcache\cwrwdm.sys
2010-09-09 15:07 . 2001-08-18 02:21    14208    -c--a-w-    c:\windows\system32\dllcache\bulltlp3.sys
2010-09-09 15:06 . 2008-04-13 20:06    10880    -c--a-w-    c:\windows\system32\dllcache\admjoy.sys
2010-09-09 14:47 . 2010-09-09 14:47    --------    d-----w-    c:\windows\msagent
2010-09-09 14:46 . 2010-09-09 14:46    --------    d-----w-    C:\found.000
2010-09-09 11:50 . 2010-09-09 12:16    --------    d-----w-    c:\dokumente und einstellungen\Ayhan\DoctorWeb
2010-09-09 11:20 . 2010-09-09 11:20    --------    d-----w-    C:\_OTL
2010-09-09 09:16 . 2010-09-09 09:19    --------    d-----w-    c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-09-09 09:16 . 2010-09-09 12:25    1324    ----a-w-    c:\windows\system32\d3d9caps.dat
2010-09-09 07:45 . 2010-09-09 07:45    10    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_FA378EE7BB64D5B4ABF6FC4E0B65E622.dll
2010-09-09 07:45 . 2010-09-09 07:45    382    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_28F2473DA1C1CCD4BADBE0C7C31058CC.dll
2010-09-09 07:19 . 2010-09-09 07:19    --------    d-s---w-    c:\dokumente und einstellungen\LocalService\UserData
2010-09-05 20:10 . 2010-09-05 20:10    --------    d-s---w-    c:\dokumente und einstellungen\NetworkService\UserData
2010-09-04 18:07 . 2010-09-04 18:16    --------    d-----w-    c:\programme\GamersFirst
2010-09-04 11:20 . 2010-09-04 11:20    --------    d-----w-    C:\Sounds
2010-09-03 17:08 . 2010-09-04 08:18    --------    d-----w-    c:\dokumente und einstellungen\Ayhan\Lokale Einstellungen\Anwendungsdaten\softonic-de3
2010-09-03 17:08 . 2010-09-03 17:08    --------    d-----w-    c:\programme\Conduit
2010-09-02 19:52 . 2010-08-26 12:45    30528    ----a-w-    c:\windows\system32\TURegOpt.exe
2010-09-02 19:52 . 2010-08-26 12:40    30016    ----a-w-    c:\windows\system32\uxtuneup.dll
2010-09-02 19:51 . 2010-09-02 19:52    --------    d-----w-    c:\programme\TuneUp Utilities 2010
2010-09-02 19:51 . 2010-09-02 19:51    --------    d-sh--w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-08-30 19:12 . 2010-08-30 19:12    56969    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ASPEncoder\Uninstaller.exe
2010-08-28 13:51 . 2010-08-28 20:11    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2010-08-28 13:51 . 2010-08-28 13:51    --------    d-----w-    c:\programme\NVIDIA Corporation
2010-08-28 13:51 . 2006-03-29 06:51    89088    ----a-w-    c:\windows\system32\atl71.dll
2010-08-28 13:51 . 2006-03-29 06:51    60416    ----a-w-    c:\windows\system32\DSETUP.dll
2010-08-28 13:51 . 2006-03-29 06:51    1060864    ----a-w-    c:\windows\system32\MFC71.dll
2010-08-28 13:51 . 2006-03-29 06:50    671744    ----a-w-    c:\windows\system32\DolbyHph.dll
2010-08-28 13:51 . 2006-03-29 06:49    9856    ----a-w-    c:\windows\system32\drivers\pfc.sys
2010-08-26 13:47 . 2010-09-03 17:09    --------    d-----w-    c:\dokumente und einstellungen\Ayhan\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-08-23 13:27 . 2010-08-23 13:27    1251    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_CFD2C1F142D260E3CB8B271543DA9F98.dll
2010-08-23 11:51 . 2010-08-23 11:51    --------    d-----w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Avira
2010-08-23 11:51 . 2010-09-09 14:47    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-08-23 11:51 . 2010-03-01 08:05    124784    ----a-w-    c:\windows\system32\drivers\avipbb.sys
2010-08-23 11:51 . 2010-02-16 12:24    60936    ----a-w-    c:\windows\system32\drivers\avgntflt.sys
2010-08-23 11:51 . 2009-05-11 10:49    45416    ----a-w-    c:\windows\system32\drivers\avgntdd.sys
2010-08-23 11:51 . 2009-05-11 10:49    22360    ----a-w-    c:\windows\system32\drivers\avgntmgr.sys
2010-08-22 14:43 . 2010-08-22 14:47    --------    d-----w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\MP3Find
2010-08-22 14:42 . 2010-08-22 14:52    --------    d-----w-    c:\programme\MP3Find
2010-08-21 12:06 . 2001-08-18 10:00    2435984    ----a-w-    c:\windows\system32\cchservice.exe
2010-08-20 18:09 . 2010-08-20 18:09    --------    d-----w-    c:\programme\Gemeinsame Dateien\Java
2010-08-19 08:38 . 2010-08-19 08:38    --------    d-----w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Malwarebytes
2010-08-19 08:38 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-19 08:38 . 2010-08-21 12:27    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-08-19 08:38 . 2010-08-19 08:38    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-19 08:38 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-08-18 18:37 . 2010-08-18 18:37    1507    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_D33A333FC5212A23D8ECC5D54132E172.dll
2010-08-18 14:54 . 2010-08-18 14:54    --------    d-----w-    c:\windows\system32\wbem\Repository
2010-08-18 12:17 . 2010-08-18 12:17    95024    ----a-w-    c:\windows\system32\drivers\SBREDrv.sys
2010-08-18 12:08 . 2010-08-18 12:08    --------    d-----w-    c:\dokumente und einstellungen\Ayhan\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-08-18 12:03 . 2010-08-18 15:22    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-08-17 18:55 . 2010-08-17 18:55    --------    d-----w-    c:\dokumente und einstellungen\Ayhan\Lokale Einstellungen\Anwendungsdaten\Pando_Temp
2010-08-14 19:46 . 2010-08-14 19:46    --------    d-----w-    c:\dokumente und einstellungen\Ayhan\Lokale Einstellungen\Anwendungsdaten\Help
2010-08-14 17:03 . 2010-08-14 17:04    --------    d-----w-    c:\programme\QuickTime
2010-08-14 17:03 . 2010-08-14 17:03    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-08-14 11:45 . 2010-08-12 06:46    389320    ----a-w-    c:\windows\system32\dllcin64.exe
2010-08-14 11:45 . 2010-08-12 06:46    270376    ----a-w-    c:\windows\system32\dllcin32.exe
2010-08-14 11:45 . 2010-08-03 08:01    48952    ----a-w-    c:\windows\system32\ccinj64.sys
2010-08-14 11:45 . 2010-08-03 08:01    38480    ----a-w-    c:\windows\system32\ccinj32.sys
2010-08-14 11:45 . 2010-08-03 07:54    324608    ----a-w-    c:\windows\system32\wdrvtsk64.dll
2010-08-14 11:45 . 2010-09-09 11:25    --------    d-----w-    c:\windows\system32\scurl
2010-08-11 11:09 . 2010-08-11 11:09    --------    d-----w-    c:\dokumente und einstellungen\Ayhan\Lokale Einstellungen\Anwendungsdaten\Vitalwerks

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-09 17:25 . 2010-03-21 20:21    --------    d-----w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\HPAppData
2010-09-09 16:47 . 2010-08-14 19:43    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-09-09 13:59 . 2001-08-18 10:00    25088    ----a-w-    c:\windows\system32\userinit.exe
2010-09-04 22:28 . 2010-06-15 19:17    --------    d-----w-    c:\programme\uTorrent
2010-09-04 18:11 . 2010-06-15 19:16    --------    d-----w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\uTorrent
2010-09-04 11:20 . 2010-06-26 16:10    --------    d-----w-    c:\programme\LG PC Suite II
2010-09-04 08:13 . 2010-03-21 14:07    --------    d-----w-    c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-09-03 16:48 . 2010-03-19 15:25    1    ----a-w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-02 19:55 . 2010-04-07 18:24    --------    d-----w-    c:\programme\CCleaner
2010-09-02 19:51 . 2010-03-05 21:29    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2010-09-02 19:51 . 2010-03-05 21:29    --------    d-----w-    c:\programme\TuneUp Utilities 2009
2010-08-30 19:18 . 2010-05-14 14:16    57344    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-08-30 19:11 . 2010-07-27 16:20    144696    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-08-30 19:11 . 2010-08-30 19:13    1062184    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-08-30 19:11 . 2010-08-30 19:13    850200    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-08-26 13:48 . 2010-03-19 13:55    --------    d-----w-    c:\programme\Gemeinsame Dateien\System Shared
2010-08-23 19:24 . 2010-03-05 21:27    19464    ----a-w-    c:\dokumente und einstellungen\Ayhan\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-22 15:39 . 2010-06-22 09:55    --------    d-----w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Media Player Classic
2010-08-20 18:09 . 2010-03-19 15:18    --------    d-----w-    c:\programme\Java
2010-08-14 20:12 . 2010-08-05 09:01    --------    d-----w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\IObit
2010-08-12 04:07 . 2010-08-30 19:13    9200    ------w-    c:\windows\system32\drivers\cdralw2k.sys
2010-08-12 04:07 . 2010-08-30 19:13    9072    ------w-    c:\windows\system32\drivers\cdr4_xp.sys
2010-08-12 04:07 . 2010-08-30 19:13    45648    ----a-w-    c:\windows\system32\drivers\PxHelp20.sys
2010-08-12 04:07 . 2010-08-30 19:13    133616    ------w-    c:\windows\system32\pxafs.dll
2010-08-12 04:07 . 2010-08-30 19:13    126448    ------w-    c:\windows\system32\pxinsi64.exe
2010-08-12 04:07 . 2010-08-30 19:13    123888    ------w-    c:\windows\system32\pxcpyi64.exe
2010-08-11 23:10 . 2001-08-18 10:00    516260    ----a-w-    c:\windows\system32\perfh007.dat
2010-08-11 23:10 . 2001-08-18 10:00    100484    ----a-w-    c:\windows\system32\perfc007.dat
2010-08-09 08:54 . 2010-08-09 08:54    503808    ----a-w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-6d319dc4-n\msvcp71.dll
2010-08-09 08:54 . 2010-08-09 08:54    499712    ----a-w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-6d319dc4-n\jmc.dll
2010-08-09 08:54 . 2010-08-09 08:54    348160    ----a-w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-6d319dc4-n\msvcr71.dll
2010-08-09 08:54 . 2010-08-09 08:54    61440    ----a-w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-6613c2e1-n\decora-sse.dll
2010-08-09 08:54 . 2010-08-09 08:54    12800    ----a-w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-6613c2e1-n\decora-d3d.dll
2010-08-05 08:33 . 2010-08-05 08:33    --------    d-----w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Need for Speed World
2010-08-03 11:45 . 2010-08-03 11:45    --------    d-----w-    c:\programme\Microsoft.NET
2010-08-03 08:01 . 2010-03-19 13:55    346584    ----a-w-    c:\windows\system32\wdrvtask.dll
2010-08-03 08:01 . 2010-03-19 13:55    346048    ----a-w-    c:\windows\system32\wdrvhook.dll
2010-07-28 13:16 . 2010-03-30 15:12    762520    ----a-w-    c:\windows\system32\ksupmgr.exe
2010-07-25 21:21 . 2010-07-25 21:21    --------    d-----w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-07-18 10:44 . 2010-06-23 17:21    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\CDRWIN 8 SE
2010-07-17 03:00 . 2010-04-21 17:12    423656    ----a-w-    c:\windows\system32\deployJava1.dll
2010-07-13 11:21 . 2010-07-13 10:35    --------    d-----w-    c:\programme\POI-Warner Medion-Navigator 5 Edition
2010-07-07 09:33 . 2010-06-23 18:06    362136    ----a-w-    c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-07-07 08:50 . 2010-07-06 06:37    32990560    ------w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Engelmann Media\MyTube BigPack Internet Recorder 3\MyTube BigPack Internet Recorder 3 Update.exe
2010-06-30 15:30 . 2010-06-30 15:30    57856    ------w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\GoPal Assistant\Library\67F1C1FD-0F19-4BF3-8601-FB2E2058EE6B\1\module.exe
2010-06-30 15:29 . 2010-06-30 15:29    28672    ------w-    c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\GoPal Assistant\Library\16C9855E-D2F9-4C8C-A864-562E6A4EDD92\AutoRunCE.exe
2010-06-30 12:28 . 2001-08-18 10:00    149504    ----a-w-    c:\windows\system32\schannel.dll
2010-06-24 12:10 . 2001-08-18 10:00    672768    ----a-w-    c:\windows\system32\wininet.dll
2010-06-24 12:10 . 2010-03-05 21:16    81920    ------w-    c:\windows\system32\ieencode.dll
2010-06-24 09:02 . 2001-08-18 10:00    1852032    ----a-w-    c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2001-08-18 10:00    354304    ----a-w-    c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2001-08-18 10:00    80384    ----a-w-    c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2010-03-19 12:51    744448    ----a-w-    c:\windows\PCHEALTH\HELPCTR\Binaries\helpsvc.exe
2010-06-14 07:41 . 2001-08-18 10:00    1172480    ----a-w-    c:\windows\system32\msxml3.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CCWinTray"="c:\windows\tray\wintmr.exe" [2001-08-18 5502872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-10-10 7286784]
"nwiz"="nwiz.exe" [2005-10-10 1519616]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-10-10 86016]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208]
"ChicoSys"="c:\windows\system32\cc32\webtmr.exe" [2001-08-18 5516696]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-04-29 437584]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-08-20 1164584]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableClock"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoCommonGroups"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ksupmgr]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16    357696    ----a-w-    c:\programme\DAEMON Tools Lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 14:44    3883840    ----a-w-    c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Programme\\HP\\HP Software Update\\HPWUCli.exe"=
"c:\\Programme\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"45682:TCP"= 45682:TCP:µTorrent

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.08.2010 13:51 135336]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [19.08.2010 10:38 304464]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [26.08.2010 14:43 1051968]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [19.08.2010 10:38 20952]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [24.02.2010 14:41 10064]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [01.06.2010 21:33 136176]
S2 ksupmgr;File-/Update Service;c:\windows\system32\ksupmgr.exe [30.03.2010 17:12 762520]
S3 Lavasoft Kernexplorer;Lavasoft helper driver; [x]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S3 zlportio;zlportio; [x]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [03.04.2010 11:13 691696]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - Chico

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12    REG_MULTI_SZ      Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt    REG_MULTI_SZ      hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-09-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-09-04 c:\windows\Tasks\Automatische Wartung.job
- c:\programme\TuneUp Utilities 2010\OneClickStarter.exe [2010-08-26 12:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = 85.214.25.180:3128
uInternet Settings,ProxyOverride = local
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
FF - ProfilePath - c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\qvvsicqd.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2431245&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - softonic-de3 Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/firefox
FF - plugin: c:\dokumente und einstellungen\Ayhan\Anwendungsdaten\Mozilla\Firefox\Profiles\qvvsicqd.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\QuickTime\Plugins\npqtplugin8.dll
FF - plugin: c:\programme\QuickTime\Plugins\npqtplugin9.dll
FF - plugin: c:\programme\TVUPlayer\npTVUAx.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: c:\programme\Veetle\VLCBroadcast\npvbp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: browser.cache.memory.capacity - 65536
FF - user.js: browser.chrome.favicons - false
FF - user.js: browser.display.show_image_placeholders - true
FF - user.js: browser.turbo.enabled - true
FF - user.js: browser.urlbar.autocomplete.enabled - true
FF - user.js: browser.urlbar.autofill - true
FF - user.js: browser.xul.error_pages.enabled - true
FF - user.js: content.interrupt.parsing - true
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.maxtextrun - 8191
FF - user.js: content.notify.backoffcount - 5
FF - user.js: content.notify.interval - 600000
FF - user.js: content.notify.ontimer - true
FF - user.js: content.switch.threshold - 600000
FF - user.js: network.http.max-connections - 32
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: network.http.max-persistent-connections-per-proxy - 8
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: network.http.pipelining - true
FF - user.js: network.http.pipelining.firstrequest - true
FF - user.js: network.http.pipelining.maxrequests - 8
FF - user.js: network.http.proxy.pipelining - true
FF - user.js: network.http.request.max-start-delay - 0
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: plugin.expose_full_path - true
FF - user.js: ui.submenuDelay - 0
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-{14DCD95A-EBA3-4BF0-B7EF-533852E99BE6} - c:\programme\InstallShield Installation Information\{14DCD95A-EBA3-4BF0-B7EF-533852E99BE6}\setup.exe
AddRemove-{40034B11-149E-4310-AE89-BB575B02525B} - c:\programme\InstallShield Installation Information\{40034B11-149E-4310-AE89-BB575B02525B}\setup.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-09 20:16
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-09-09  20:19:04
ComboFix-quarantined-files.txt  2010-09-09 18:19

Vor Suchlauf: 12 Verzeichnis(se), 55.169.896.448 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 56.127.877.120 Bytes frei

- - End Of File - - 2CE2A134B9762761D699E870E23B95CD

Chris4You 10.09.2010 07:07
Hi,

TDSS... Die found-Dateien enthalten normalerweise codefragmente und sind nicht so einfach wiederherstellbar...

webtmr.exe gehört zur "Salfeld-Kindersicherung" einfach neu installieren, wie den Internetexplorer.

Weiterhin hattest Du einen Backdoor auf dem Rechner, Neuaufsetzen ist jetzt eigentlich angesagt!

Nochmal auf TDSS prüfen:
TDSS-Killer
Download und Anweisung unter: http://www.trojaner-board.de/82358-tdsskiller-google-umleitungen-tdss-tdl3-alureon-rootkit-entfernen.html#post640150
Entpacke alle Dateien!

Start.bat erstellen:
Start->alle Programme->Zubehör->Editor und kopiere folgenden Text rein:
Code:
@ECHO OFF
TDSSKiller.exe -l report.txt -v
DEL %0
  • Speichern als: start.bat
  • abspeichern unter : Dateityp: alle Dateien
  • speichere die Datei im Ordner wo auch TDSSKiller.exe steht
  • Doppelklick start.bat
TDSSKiller.exe wird gestartet und ein Log erzeugen(report.txt).
Wenn TDSSKiller fertig ist poste den Inhalt der report.txt.


Da nicht sicher ist ob alles erwischt wurde, MAM updaten und Fullscann, alles bereinigen lass und LOg posten.

Danach ein neues OLT-Log mit Customscann:
  • Starte bitte die OTL.exe
  • Vista/Win7-User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox

Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
mv61xx.sys
/md5stop
c:\windows\system32\drivers\*.sys /lockedfiles
c:\windows\system32\*.dll /lockedfiles
%systemroot%\*. /mp /s
%PROGRAMFILES%\*.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button
  • Klick auf OK
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

chris

Chris4You 10.09.2010 09:26
Hi,

es gibt eine neue Version des TDSSKillers, daher wie folgt vorgehen:
Aufruf über den Explorer durch Doppelklick.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

23elazig23 10.09.2010 13:08
Hi,

Code:
Nochmal auf TDSS prüfen:
TDSS-Killer
Download und Anweisung unter: http://www.trojaner-board.de/82358-tdsskiller-google-umleitungen-tdss-tdl3-alureon-rootkit-entfernen.html#post640150
Entpacke alle Dateien!

Start.bat erstellen:
Start->alle Programme->Zubehör->Editor und kopiere folgenden Text rein:

       
Code:

       
@ECHO OFF
TDSSKiller.exe -l report.txt -v
DEL %0

  • Speichern als: start.bat

  • abspeichern unter : Dateityp: alle Dateien

  • speichere die Datei im Ordner wo auch TDSSKiller.exe steht

  • Doppelklick start.bat

TDSSKiller.exe wird gestartet und ein Log erzeugen(report.txt).
Wenn TDSSKiller fertig ist poste den Inhalt der report.txt.

Als ich di Bat Datei ausführen wollte, kam eine Fehlermeldung :

h**p://img836.imageshack.us/f/unbenanntwj.jpg/





EDIT : Soll ich einfach so vorgehen :

Die "TDSSKiller.exe" ausführen und start scan ?

Chris4You 10.09.2010 13:17
Hi,

ja, starten Scann starten und dann Report auswählen, alles abkopieren und hier posten...

chris
Ps: Bin erst wieder Abends online...


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:44 Uhr.
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131