Trojaner TR/TCPParams.D.2 - wie entfernen?

#1 Hallo,

ich habe hier den Leptop von einer Freundin vor mir und versuche selbigen Trojaner von dem Gerät zu entfernen.
Es handelt sich um ein IBM ThinkPad mit Windows XP (unzureichende Updates...)

Hier ein paar Logs:

Zitat

"Administrator" - 2007-07-02 19:26:02 - ComboFix 07-06-27.7 NTFS [SAFE MODE]


((((((((((((((((((((((((( Files Created from 2007-06-02 to 2007-07-02 )))))))))))))))))))))))))))))))


2007-07-02 19:25 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-07-02 19:21 524,288 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-07-02 19:21 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-07-02 19:21 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen�
2007-07-02 19:21 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-07-02 19:21 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-07-02 19:21 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-07-02 19:21 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-07-02 19:21 <DIR> d-------- C:\WINDOWS\CSC
2007-07-02 19:21 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-07-01 00:23 120,832 -r-hs---- C:\WINDOWS\system32\FrameWork.exe
2007-06-16 02:08 <DIR> d-------- C:\WINDOWS\system32\bits
2007-06-15 15:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-06-13 13:07 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2007-06-13 13:07 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2007-06-13 13:07 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2007-06-13 13:07 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2007-06-13 13:03 <DIR> d-------- C:\WINDOWS\system32\SoftwareDistribution
2007-06-13 13:00 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-06-13 13:00 33,624 --a------ C:\WINDOWS\system32\wups.dll
2007-06-13 13:00 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-06-13 13:00 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-06-13 13:00 194,840 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-06-13 13:00 174,872 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-06-13 13:00 <DIR> d-------- C:\WINDOWS\SoftwareDistribution
2007-06-13 12:02 83,536 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-06-13 12:02 59,984 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-06-13 12:02 52,304 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-06-13 12:02 39,248 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys
2007-06-13 12:02 26,064 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-06-13 12:01 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-06-13 12:01 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-06-13 12:01 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-06-13 12:01 <DIR> d-------- C:\Programme\Spyware Doctor
2007-06-13 12:01 <DIR> d-------- C:\DOKUME~1\user\ANWEND~1\PC Tools
2007-06-13 12:00 <DIR> d-------- C:\DOKUME~1\user\ANWEND~1\Google
2007-06-13 11:57 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-06-13 11:57 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-06-13 11:56 <DIR> d-------- C:\Programme\Picasa2
2007-06-13 11:51 <DIR> d-------- C:\Programme\Norton Security Scan
2007-06-13 11:50 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
2007-06-13 11:49 <DIR> d-------- C:\Programme\Google
2007-06-13 11:49 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google Updater
2007-06-08 19:08 17,144 --a------ C:\DOKUME~1\user\ANWEND~1\GDIPFONTCACHEV1.DAT


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-13 11:00:39 -------- d--h--w C:\Programme\WindowsUpdate
2007-06-13 09:59:34 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-07 20:48:31 0 ----a-w C:\WINDOWS\system32\winupdates.exe
2007-05-05 01:46:04 -------- d-----w C:\Programme\VideoLAN
2007-05-04 00:46:07 1,140 ----a-w C:\WINDOWS\mozver.dat
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-10 19:34:39 48,552 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-04-10 19:34:39 317,168 ----a-w C:\WINDOWS\system32\perfh007.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar1.dll [2007-06-13 11:50]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll [2007-06-13 11:49]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrackPointSrv"="tp4mon.exe" [2001-08-18 05:55 C:\WINDOWS\system32\tp4mon.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-02-28 00:25]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 11:22]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 17:39]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 18:01]
"SetDefPrt"="C:\Programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 19:02]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 18:42]
"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-06-13 11:50]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-05-17 12:02]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"FrameWork 2.5"="FrameWork.exe" [2007-07-01 00:23 C:\WINDOWS\system32\FrameWork.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 12:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"FrameWork 2.5"=FrameWork.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdauxservice]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdcoreservice]


HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}
rundll32 iesetup.dll,IEAccessUserInst

Contents of the 'Scheduled Tasks' folder
2007-06-30 11:07:44 C:\WINDOWS\tasks\Norton Security Scan.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-02 19:27:09
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-02 19:27:41

--- E O F ---

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 19:31:42, on 02.07.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HJS.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FrameWork 2.5] FrameWork.exe
O4 - HKLM\..\RunServices: [FrameWork 2.5] FrameWork.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

Zitat

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4089-E310

Verzeichnis von C:\WINDOWS\system32

02.07.2007 19:21 324.036 iklog.log
01.07.2007 10:52 2.184 wpa.dbl
01.07.2007 00:23 120.832 FrameWork.exe
23.06.2007 18:32 0 TFTP796
19.06.2007 16:17 0 TFTP3076
19.06.2007 16:15 0 TFTP1520
07.05.2007 22:48 0 winupdates.exe
16.04.2007 22:47 33.624 wups.dll
16.04.2007 22:47 30.040 wuapi.dll.mui
16.04.2007 22:47 30.040 wuaucpl.cpl.mui
16.04.2007 22:45 1.710.936 wuaueng.dll
16.04.2007 22:45 549.720 wuapi.dll
16.04.2007 22:45 325.976 wucltui.dll
16.04.2007 22:45 216.408 wuaucpl.cpl
16.04.2007 22:45 203.096 wuweb.dll
16.04.2007 22:45 92.504 cdm.dll
16.04.2007 22:45 43.352 wups2.dll
16.04.2007 22:45 53.080 wuauclt.exe
16.04.2007 22:45 20.824 wuaueng.dll.mui
16.04.2007 22:44 34.136 wucltui.dll.mui
10.04.2007 21:34 40.326 perfc009.dat
10.04.2007 21:34 311.938 perfh009.dat
10.04.2007 21:34 317.168 perfh007.dat
10.04.2007 21:34 48.552 perfc007.dat
10.04.2007 21:34 723.744 PerfStringBackup.INI
02.04.2007 14:21 428.032 swreg.exe
09.03.2007 19:55 30 brss01a.ini
09.03.2007 19:55 184 brsvc01a.bsi
09.03.2007 19:49 50 bridf05a.dat

1819 Datei(en) 281.440.773 Bytes
0 Verzeichnis(se), 16.126.455.808 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4089-E310

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

02.07.2007 19:32 88.819 datfind.txt
02.07.2007 19:27 6.959 log.txt
2 Datei(en) 95.778 Bytes
0 Verzeichnis(se), 16.126.496.768 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4089-E310

Verzeichnis von C:\WINDOWS

02.07.2007 19:27 76.400 ntbtlog.txt
02.07.2007 19:23 178.506 setupact.log
02.07.2007 19:23 234.988 setupapi.log
02.07.2007 19:21 0 0.log
02.07.2007 19:21 2.048 bootstat.dat
02.07.2007 19:20 32.586 SchedLgU.Txt
02.07.2007 19:20 314 wiadebug.log
02.07.2007 19:10 50 wiaservc.log
01.07.2007 14:04 919.955 WindowsUpdate.log
16.06.2007 02:09 63.705 iis6.log
16.06.2007 02:09 19.968 comsetup.log
16.06.2007 02:09 10.350 ntdtcsetup.log
16.06.2007 02:09 15.793 tsoc.log
16.06.2007 02:09 1.374 imsins.log
16.06.2007 02:09 5.522 KB842773.log
16.06.2007 02:09 1.489 ocmsn.log
16.06.2007 02:09 17.777 ocgen.log
16.06.2007 02:09 1.435 msgsocm.log
16.06.2007 02:09 27.119 FaxSetup.log
16.06.2007 02:09 13.766 msmqinst.log
13.06.2007 12:15 1.374 imsins.BAK
13.06.2007 12:15 6.810 KB893803v2.log
13.06.2007 12:01 62 SpywareDoctor5Install.log
05.06.2007 05:24 87.552 catchme.exe
08.05.2007 10:21 65.536 DUMP33d5.tmp
04.05.2007 02:46 1.140 mozver.dat
09.03.2007 19:55 27 BRPP2KA.INI
09.03.2007 19:55 425 BRWMARK.INI
09.03.2007 19:49 92 brpcfx.ini
09.03.2007 19:49 205 Brpfx04a.ini

87 Datei(en) 6.736.437 Bytes
0 Verzeichnis(se), 16.126.492.672 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4089-E310

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4089-E310

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.02.2007 00:30 65 desktop.ini

5 Datei(en) 525.276 Bytes
0 Verzeichnis(se), 16.126.488.576 Bytes frei
.