Grundsätzliche Frage zu Trojaner/Wurm und Lösungswegen!

#1 Grüß Euch liebes Forum!

Habe gestern Euer Board "grob" angerissen und denke ihr seit die besten im web.

Drum platziere ich mein kurzes Problem hier bei euch.

Und ja, ich las die "wie gehe ich vor und wie poste ich die eröffnung!".

Problem:
Seit zirka 5 Tagen Trojan-Downloader.WIN32.Agent.erf und diesen durch Zufall entdeckt als ich leider per MSN Messenger einem "vertrauten" () verwandten ein Fotoalbum öffnete welches
Backdoor.W32.Sdbot.bzo enthielt.

Der Systemscan per Kaspersky ermittelte obige Schadprogramme.

Gesamt wurde auch noch ein WIN32.small.azl und ein WIN32.AGENT.gt gefunden.

Habe natürlich manuell die lokalisierten Dateien gelöscht, klar und per Hijack die Einträge gefixt.

Da ich aber parallel Zeit hatte Euer Forum zu "genießen" (dies natürlich immer nachts - halbtod - nach Mitternacht, stelle ich mir jetzt grundsätzlich die Frage...


Macht es überhaupt Sinn, ein System, welches mit den oben genannten Dateien "kontaminiert" ist, derart (wie ich in Seitenlangen Threads hier lese) intensiv durch zu scannen, das alle Techniken der File und Eintragsanalyse angewandt wurden und das System danach als "sicher" weiterverwendet werden kann oder

sind all diese Arbeiten, elendig zeitintensiv und

mit dem Ergebniss einigermaßen sicher behaftet?

Konkret: Was meint ihr, soll ich den Rechner gemäß Euren hochpräzisen, sehr sehr feinen Methoden abarbeiten oder

soll ich ihn FORMATIEREN.

Es ist meine Workstation mit der ich mein Geld verdiene und mit der ich über Remotesoftware meinen Firmenrechner gelegentlich steuere!

Ein ganz herzliches Dankeschön.

Michael

#2 Hi,

in dem Fall meinen eindeutige Meinung:
Sauber neu aufsetzten!
Da ja schon "nachträglich" einige neue, äh, Tierchen Zugang gefunden haben, dürfte das der sicherste Weg sein!

Chris

#3 Du solltest MSN entfernen denn diese viren verbreiten sich via dein Adressbuch http://board.protecus.de/t30786.htm
__________
MfG Argus

#4 Grüß Euch!

Chris, danke.

Arnold. Danke. MSN entfernt.

Kann das System aber nicht sofort neu aufsetzen, da mir die Zeit für dieses Gerät fehlt.

Eine Frage bitte:


hier eine kopie des RVAXO.

----------------RVAXO.exe first run-------------

Files found:

C:\WINDOWS\usnsvc.exe

Uninstallers Rogue scanners:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------


Diesen usnv** findet er immer wieder.

Ich sehe dieses Teil aber nicht unter c:\\windows.

Wie bekomme ich dieses Trojan/Wurm los?

Weiterhin hat das Programm Runthi.bat ein "Backuphosts.bak" entfernt und ein "Carlson" (was immer das auch sein mag).

Besteht die Gefahr, dass grundlegende Windowssystemdateien verändert wurden?


Ein Portscanner. Kann ich mit den geöffneten Ports wirklich was anfangen, oder können diese auch bei ein em nicht infizierten System offen sein und sind somit kein Indiz für einen schadhaften Rechner?

Je mehr ich mich damit beschäftige, desto unsicherer werde ich bezüglich meiner anderen 3+1 Rechner.

Die Arbeit dies Gerät neu aufzusetzen kostet mich bestimmt 8 Stunden konzentrierter Arbeit.

Wenn ich dann nur marginal mehr Jungfräulicher Sicherheit habe, dann kann ich auch mit diesem "Zustand unbekannt" System leben. ?!

Danke Euch vielmals

Michael

#5 Hier faengt es an http://board.protecus.de/t23188.htm

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Edit:
Ueber C:\WINDOWS\usnsvc.exe folgendes,normaler weisse steht usnsvc.exe
unter C:\Programme\MSN Messenger\usnsvc.exe
__________
MfG Argus

#6 Danke Arnold!! Vielen Dank.

OK. Zieh ich mich mal aus! ;-)

(Das mit den verborgenen Dateien dachte ich wusste ich, aber geschützte Ausblenden, das war aktiviert) - allerdings finde ich trotzdem kein usnsvcirgendwas :-(

1)ATF cleaning erledigt
2) Hier das Combo logfile.

ComboFix 07-11-01.1 - Virtual Reality 2007-11-01 16:36:11.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Virtual Reality\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-10-01 bis 2007-11-01 ))))))))))))))))))))))))))))))
.

2007-11-01 14:36 <DIR> d-------- C:\RVAXO
2007-11-01 14:36 16,384 --a------ C:\WINDOWS\system32\Restart.exe
2007-11-01 14:17 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-01 02:19 <DIR> d-------- C:\Programme\LPS
2007-11-01 01:36 0 --a------ C:\WINDOWS\system32\SBRC.dat
2007-11-01 01:36 0 --a------ C:\WINDOWS\system32\SBFC.dat
2007-11-01 01:18 <DIR> d-------- C:\Dokumente und Einstellungen\Virtual Reality\Anwendungsdaten\Sunbelt Software
2007-11-01 01:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2007-11-01 01:17 <DIR> d-------- C:\Programme\Sunbelt Software
2007-11-01 00:13 <DIR> d-------- C:\Programme\EsetOnlineScanner
2007-10-31 23:18 <DIR> d-------- C:\Dokumente und Einstellungen\Virtual Reality\Anwendungsdaten\Grisoft
2007-10-31 23:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-10-31 23:18 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-31 23:01 <DIR> d-------- C:\WINDOWS\ERUNT
2007-10-31 22:51 <DIR> d-------- C:\BackUpMSNCleaner
2007-10-31 22:50 <DIR> d-------- C:\BendeBoy
2007-10-31 22:50 49,152 --a------ C:\WINDOWS\system32\nircmd.exe
2007-10-31 22:50 11,254 --a------ C:\WINDOWS\system32\locate.com
2007-10-31 22:43 365,357 --a------ C:\WINDOWS\system32\RVAXO.bat
2007-10-31 22:43 69,632 --a------ C:\WINDOWS\system32\remove.exe
2007-10-31 22:37 <DIR> d-------- C:\Programme\Hijack This
2007-10-31 00:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-10-30 00:12 <DIR> d--h----- C:\WINDOWS\PIF
2007-10-30 00:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-10-29 23:58 45,056 --a------ C:\WINDOWS\system32\ftp.exe
2007-10-29 23:58 45,056 --a------ C:\WINDOWS\system32\dllcache\ftp.exe
2007-10-29 23:58 17,408 --a------ C:\WINDOWS\system32\tftp.exe
2007-10-29 23:58 17,408 --a------ C:\WINDOWS\system32\dllcache\tftp.exe
2007-10-29 18:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2007-10-26 23:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-10-26 23:35 <DIR> d-------- C:\Programme\QuickTime
2007-10-12 16:43 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-10-10 19:59 582,656 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-06 21:42 278,528 --a------ C:\WINDOWS\system32\livesnth.dll
2007-10-04 21:52 <DIR> d-------- C:\Programme\Lavasoft
2007-10-04 21:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-10-04 21:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-01 00:23 --------- d-----w C:\Programme\Premiere TV Guide 1.0
2007-10-29 17:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-10-29 17:58 --------- d-----w C:\Programme\Nokia
2007-10-29 17:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Nokia
2007-10-29 17:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2007-10-29 17:33 --------- d-----w C:\Programme\Winamp
2007-10-27 10:24 --------- d-----w C:\Programme\Java
2007-10-26 22:45 --------- d-----w C:\Programme\Apple Software Update
2007-10-26 22:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-10-13 15:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2007-10-11 19:10 --------- d-----w C:\Dokumente und Einstellungen\Virtual Reality\Anwendungsdaten\OfficeUpdate12
2007-09-27 18:43 --------- d-----w C:\Programme\AutoCAD 2002 Deu
2007-09-27 07:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Autodesk Shared
2007-09-27 07:11 --------- d-----w C:\Programme\WexTech
2007-09-27 07:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Wextech Shared
2007-09-27 07:11 --------- d-----w C:\Programme\Gemeinsame Dateien\LHSPF
2007-09-27 07:10 --------- d-----w C:\Programme\Volo View Express
2007-09-25 22:24 --------- d-----w C:\Dokumente und Einstellungen\Virtual Reality\Anwendungsdaten\Skype
2007-09-18 17:28 --------- d-----w C:\Programme\Skype
2007-09-18 17:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-09-18 17:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-09-04 21:35 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-09-04 21:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2007-09-04 09:54 --------- d-----w C:\Programme\FRITZ!fax
2007-08-27 10:26 27,120 ----a-w C:\WINDOWS\system32\SBBD.exe
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-21 06:16 683,520 ------w C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-08-20 09:55 824,832 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2007-08-20 09:55 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2007-08-20 09:55 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
2007-08-20 09:55 6,058,496 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2007-08-20 09:55 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-08-20 09:55 477,696 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-08-20 09:55 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-08-20 09:55 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll
2007-08-20 09:55 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-08-20 09:55 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-08-20 09:55 3,584,512 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-08-20 09:55 27,648 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-08-20 09:55 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
2007-08-20 09:55 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2007-08-20 09:55 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-08-20 09:55 214,528 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-08-20 09:55 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2007-08-20 09:55 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-08-20 09:55 132,608 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-08-20 09:55 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll
2007-08-20 09:55 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2007-08-20 09:55 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll
2007-08-20 09:55 1,152,000 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-08-17 10:20 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-08-17 10:19 63,488 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-08-17 10:19 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-08-17 07:34 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2007-08-08 15:30 19,456 ----a-w C:\WINDOWS\system32\OnlineScannerLang.dll
2007-08-02 17:11 253,952 ----a-w C:\WINDOWS\system32\OnlineScannerDLLA.dll
2007-08-02 17:11 241,664 ----a-w C:\WINDOWS\system32\OnlineScannerDLLW.dll
2007-03-11 20:56 92,064 ----a-w C:\Dokumente und Einstellungen\Virtual Reality\mqdmmdm.sys
2007-03-11 20:56 9,232 ----a-w C:\Dokumente und Einstellungen\Virtual Reality\mqdmmdfl.sys
2007-03-11 20:56 79,328 ----a-w C:\Dokumente und Einstellungen\Virtual Reality\mqdmserd.sys
2007-03-11 20:56 66,656 ----a-w C:\Dokumente und Einstellungen\Virtual Reality\mqdmbus.sys
2007-03-11 20:56 6,208 ----a-w C:\Dokumente und Einstellungen\Virtual Reality\mqdmcmnt.sys
2007-03-11 20:56 5,936 ----a-w C:\Dokumente und Einstellungen\Virtual Reality\mqdmwhnt.sys
2007-03-11 20:56 4,048 ----a-w C:\Dokumente und Einstellungen\Virtual Reality\mqdmcr.sys
2007-03-11 20:56 25,600 ----a-w C:\Dokumente und Einstellungen\Virtual Reality\usbsermptxp.sys
2007-03-11 20:56 22,768 ----a-w C:\Dokumente und Einstellungen\Virtual Reality\usbsermpt.sys
2006-10-21 19:01 251 ----a-w C:\Programme\wt3d.ini
2006-09-22 15:50 88,064 ----a-w C:\Programme\INTERN
2006-11-07 22:30:01 88 --sh--r C:\WINDOWS\system32\C05B8B8DEA.sys
2006-11-05 22:29:32 56 --sh--r C:\WINDOWS\system32\EA8D8B5BC0.sys
2006-11-07 22:30:03 6,580 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 14:01]
"IAAnotif"="C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-06-17 07:56]
"MBMon"="CTMBHA.DLL" [2005-05-19 03:54 C:\WINDOWS\system32\CTMBHA.DLL]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00]
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 15:30]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 15:30]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-09-08 05:20]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-10 14:00 C:\WINDOWS\system32\bthprops.cpl]
"AS01_Netgear"="C:\Programme\NETGEAR\WG311 Wireless Smart Configuration\Utility\NetgearAG.exe" [2003-12-19 12:49]
"StatusClient 2.6"="C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" [2004-02-27 18:29]
"TomcatStartup 2.5"="C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe" [2004-05-20 17:40]
"PMX Daemon"="ICO.EXE" [2006-06-09 12:47 C:\WINDOWS\system32\ico.exe]
"CTSysVol"="C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-09-15 09:47]
"SigmatelSysTrayApp"="stsystra.exe" [2005-03-22 17:20 C:\WINDOWS\stsystra.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 11:22]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 18:51]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 14:10]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"Logitech Hardware Abstraction Layer"="C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE" [2007-01-11 18:15]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-11 18:15 C:\WINDOWS\KHALMNPR.Exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-10-29 18:58]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-08-27 12:09]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SetDefaultMIDI"="MIDIDef.exe" [2004-12-22 11:40 C:\WINDOWS\MIDIDEF.EXE]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00]
"Creative Detector"="C:\Programme\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 18:23]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Nokia.PCSync"=C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
SetPoint.lnk - C:\Programme\SetPoint\SetPoint.exe [2007-08-30 21:14:02]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
PCANotify.dll 2001-11-02 09:50 24636 C:\WINDOWS\system32\PCANotify.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Dell Network Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Dell Network Assistant.lnk
backup=C:\WINDOWS\pss\Dell Network Assistant.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Z800 3DVisor Software Utility.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Z800 3DVisor Software Utility.lnk
backup=C:\WINDOWS\pss\Z800 3DVisor Software Utility.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Photo Downloader]
C:\Programme\Corel\Corel Photo Album 6\MediaDetect.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMXLauncher]
C:\Programme\Dell\Media Experience\DMXLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 10.0]
"C:\Programme\Norton Ghost\Agent\GhostTray.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys
R3 AWINDIS5;AWINDIS5 Protocol Driver;\??\C:\WINDOWS\system32\AWINDIS5.SYS
R3 NETGEAR_WG311_SERVICE;NETGEAR WG311 Wireless PCI Adapter Service;C:\WINDOWS\system32\DRIVERS\wg311nd5.sys
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver;C:\WINDOWS\system32\drivers\WmBEnum.sys
R3 WmXlCore;Logitech WingMan Translation Layer Driver;C:\WINDOWS\system32\drivers\WmXlCore.sys
S3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;C:\WINDOWS\system32\DRIVERS\avmbtpar.sys
S3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;C:\WINDOWS\system32\DRIVERS\avmbtser.sys
S3 AVMBTSND;AVM Bluetooth Audio Driver;C:\WINDOWS\system32\drivers\avmbtsnd.sys
S3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys
S3 BFHU_CFG;AVM BlueFRITZ!USB 2.0 HCI Config Switch Driver;C:\WINDOWS\system32\DRIVERS\bfhu_cfg.sys
S3 bfhubase;BlueFRITZ! USB 2.5;C:\WINDOWS\system32\drivers\bfhu_bus.sys
S3 C-Dilla;C-Dilla;\??\C:\WINDOWS\system32\drivers\CDANT.SYS
S3 CAPI_CIP;AVM Bluetooth CAPI-Controller;C:\WINDOWS\system32\DRIVERS\capi_cip.sys
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys
S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;C:\WINDOWS\system32\DRIVERS\netbfpan.sys
S3 Tk3dU9M1;eMagin Z800 3DVisor Sub Driver;C:\WINDOWS\system32\Drivers\Tk3dU9M1.sys
S3 Tk3dU9S1;eMagin Z800 3D Visor Driver ;C:\WINDOWS\system32\Drivers\Tk3dU9U1.sys
S3 WmFilter;Logitech Gaming HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys
S3 WmHidLo;Logitech Gaming USB Filter Driver;C:\WINDOWS\system32\drivers\WmHidLo.sys
S3 WmVirHid;Logitech Virtual Hid Device Driver;C:\WINDOWS\system32\drivers\WmVirHid.sys

*Newly Created Service* - AVGASCLN
*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-10-26 22:45:17 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-01 16:39:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-01 16:40:42
C:\ComboFix2.txt ... 2007-11-01 14:23
.
--- E O F ---


Die anderen Dinge folgen.

dankeschön.


Hijack This log file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:49:19, on 01.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\NETGEAR\WG311 Wireless Smart Configuration\Utility\NetgearAG.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\WINDOWS\system32\ICO.EXE
C:\DOKUME~1\VIRTUA~1\LOKALE~1\Temp\clclean.0001
C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://board.protecus.de/t23188.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.mcafee.com/apps/msk/de/redir.asp?affid=105-87&installtype=force&dtag=29qpf2j&systempopup=true
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [MBMon] Rundll32 CTMBHA.DLL,MBMon
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AS01_Netgear] C:\Programme\NETGEAR\WG311 Wireless Smart Configuration\Utility\NetgearAG.exe -hide
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [PMX Daemon] ICO.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: SetPoint.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.astonmartin.com/configurator/v8vantage_load.html
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file:///C:/Programme/AutoCAD%202002%20Deu/InstFred.ocx
O16 - DPF: {4BDAF1F5-6D21-42F9-AAB9-CE0050407803} (GameDesire Uninstaller) - http://67.15.101.3/g_bin/ginuser_ger_2_0_0_4.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - https://god.t-online.de/download/game-od.ocx
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1192126660218
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file:///C:/Programme/AutoCAD%202002%20Deu/AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file:///C:/Programme/AutoCAD%202002%20Deu/InstBanr.ocx
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file:///C:/Programme/AutoCAD%202002%20Deu/AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{051DF2B6-D231-4B6D-875A-A37B7461F71A}: NameServer = 192.168.178.1,192.168.178.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{142D61CB-6916-4FDC-AFB8-4A8F8C97F8E1}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E29FFBB-853A-468F-9550-0B6C0BE17E01}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{051DF2B6-D231-4B6D-875A-A37B7461F71A}: NameServer = 192.168.178.1,192.168.178.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel® Quick Resume Technology Drivers (ELService) - Intel Corporation - C:\Programme\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 12042 bytes

Die anderen Dinge folgen

Und hier der grausam undurchschaubare Rest:

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 885A-80BC

Verzeichnis von C:\WINDOWS\system32

01.11.2007 14:07 50.257 nvapps.xml
01.11.2007 14:07 2.206 wpa.dbl
01.11.2007 01:36 0 SBFC.dat
01.11.2007 01:36 0 SBRC.dat
31.10.2007 21:35 365.357 RVAXO.bat
29.10.2007 18:58 185.688 rmoc3260.dll
29.10.2007 18:58 5.632 pndx5032.dll
29.10.2007 18:58 6.656 pndx5016.dll
29.10.2007 18:58 278.528 pncrt.dll
28.10.2007 08:14 60.808 perfc009.dat
28.10.2007 08:14 402.592 perfh009.dat
28.10.2007 08:14 72.322 perfc007.dat
28.10.2007 08:14 416.508 perfh007.dat
28.10.2007 08:14 2.832 PerfStringBackup.INI
27.10.2007 11:24 5.686 jupdate-1.6.0_03-b05.log
10.10.2007 21:48 367.304 FNTCACHE.DAT
06.10.2007 21:42 565.170 large.bnk
06.10.2007 21:42 278.528 livesnth.dll
06.10.2007 21:42 11.333 cf_lic.txt
27.09.2007 22:19 18.089.592 MRT.exe
25.09.2007 22:56 2.760 OEMINFO.PNF
24.09.2007 22:31 69.632 javacpl.cpl
24.09.2007 22:31 139.264 javaws.exe
24.09.2007 21:30 135.168 javaw.exe
24.09.2007 21:30 135.168 java.exe
29.08.2007 19:24 249.852 TZLog.log
27.08.2007 11:26 27.120 SBBD.exe
21.08.2007 07:16 683.520 inetcomm.dll
20.08.2007 10:55 105.984 url.dll
20.08.2007 10:55 232.960 webcheck.dll
20.08.2007 10:55 671.232 mstime.dll
20.08.2007 10:55 1.152.000 urlmon.dll
20.08.2007 10:55 102.400 occache.dll
20.08.2007 10:55 824.832 wininet.dll
20.08.2007 10:55 3.584.512 mshtml.dll
20.08.2007 10:55 477.696 mshtmled.dll
20.08.2007 10:55 193.024 msrating.dll
20.08.2007 10:55 52.224 msfeedsbs.dll
20.08.2007 10:55 459.264 msfeeds.dll
20.08.2007 10:55 1.824.768 inetcpl.cpl
20.08.2007 10:55 27.648 jsproxy.dll
20.08.2007 10:55 6.058.496 ieframe.dll
20.08.2007 10:55 267.776 iertutil.dll
20.08.2007 10:55 44.544 iernonce.dll
20.08.2007 10:55 384.512 iedkcs32.dll
20.08.2007 10:55 230.400 ieaksie.dll
20.08.2007 10:55 383.488 ieapfltr.dll
20.08.2007 10:55 63.488 icardie.dll
20.08.2007 10:55 132.608 extmgr.dll
20.08.2007 10:55 214.528 dxtrans.dll
20.08.2007 10:55 153.088 ieakeng.dll
20.08.2007 10:55 124.928 advpack.dll
17.08.2007 11:19 63.488 ie4uinit.exe
17.08.2007 11:19 13.824 ieudinit.exe
17.08.2007 08:34 161.792 ieakui.dll
08.08.2007 16:31 2.707.456 OnlineScanner.ocx
08.08.2007 16:30 19.456 OnlineScannerLang.dll
02.08.2007 18:11 253.952 OnlineScannerDLLA.dll
02.08.2007 18:11 241.664 OnlineScannerDLLW.dll
30.07.2007 18:20 30.040 wuaucpl.cpl.mui
30.07.2007 18:20 30.040 wuapi.dll.mui
30.07.2007 18:19 1.712.984 wuaueng.dll
30.07.2007 18:19 549.720 wuapi.dll
30.07.2007 18:19 325.976 wucltui.dll
30.07.2007 18:19 216.408 wuaucpl.cpl
30.07.2007 18:19 203.096 wuweb.dll
30.07.2007 18:19 92.504 cdm.dll
30.07.2007 18:19 53.080 wuauclt.exe
30.07.2007 18:19 43.352 wups2.dll
30.07.2007 18:19 271.224 mucltui.dll
30.07.2007 18:18 34.136 wucltui.dll.mui
30.07.2007 18:18 30.072 mucltui.dll.mui
30.07.2007 18:18 33.624 wups.dll
30.07.2007 18:18 207.736 muweb.dll
30.07.2007 18:18 20.824 wuaueng.dll.mui

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 885A-80BC

Verzeichnis von C:\DOKUME~1\VIRTUA~1\LOKALE~1\Temp

01.11.2007 16:58 114.609 datfind.txt
01.11.2007 14:07 198 toolbox_healer29049.log
01.11.2007 14:07 1.365.875 jar_cache29055.tmp
01.11.2007 14:07 436.249 jar_cache29056.tmp
01.11.2007 14:07 319.922 jar_cache29054.tmp
01.11.2007 14:07 7.529 jar_cache29053.tmp
01.11.2007 14:07 436.249 jar_cache29052.tmp
01.11.2007 14:07 1.365.875 jar_cache29051.tmp
01.11.2007 14:07 7.529 jar_cache29050.tmp
01.11.2007 14:07 436.249 jar_cache29048.tmp
01.11.2007 14:07 48.421 jar_cache29047.tmp
01.11.2007 14:07 512.635 jar_cache29046.tmp
01.11.2007 14:07 11.321 jar_cache29044.tmp
01.11.2007 14:07 5.830 jar_cache29045.tmp
01.11.2007 14:07 1.365.875 jar_cache29043.tmp
01.11.2007 14:07 33.381 jar_cache29042.tmp
01.11.2007 14:07 7.529 jar_cache29040.tmp
01.11.2007 14:07 444.591 jar_cache29041.tmp
01.11.2007 14:07 59.964 clclean.0001
19 Datei(en) 6.979.831 Bytes
0 Verzeichnis(se), 147.138.453.504 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 885A-80BC

Verzeichnis von C:\WINDOWS

01.11.2007 16:55 1.521.038 WindowsUpdate.log
01.11.2007 14:06 0 0.log
01.11.2007 14:06 159 wiadebug.log
01.11.2007 14:05 50 wiaservc.log
01.11.2007 14:05 2.048 bootstat.dat
01.11.2007 02:42 32.618 SchedLgU.Txt
01.11.2007 02:42 178.535 setupapi.log
01.11.2007 01:32 128.004 MedCtrOC.log
01.11.2007 01:32 50.293 ehOCGen.log
01.11.2007 01:32 1.017.137 iis6.log
01.11.2007 01:32 47.344 ocmsn.log
01.11.2007 01:32 1.917 imsins.log
01.11.2007 01:32 399.791 tsoc.log
01.11.2007 01:32 289.831 comsetup.log
01.11.2007 01:32 41.102 tabletoc.log
01.11.2007 01:32 161.950 netfxocm.log
01.11.2007 01:32 178.641 ntdtcsetup.log
01.11.2007 01:32 108.024 plusoc.log
01.11.2007 01:32 43.141 msgsocm.log
01.11.2007 01:32 439.552 ocgen.log
01.11.2007 01:32 847.604 FaxSetup.log
01.11.2007 01:31 274.046 msmqinst.log
01.11.2007 01:25 54.156 QTFont.qfn
31.10.2007 22:59 116.132 ntbtlog.txt
31.10.2007 22:10 55.803 setupact.log
30.10.2007 23:32 273 system.ini
29.10.2007 18:56 136.192 catchme.exe
15.10.2007 21:36 1.530 Zins32.ini
14.10.2007 21:57 456 wiso.ini
12.10.2007 23:05 3.264 tm.ini
10.10.2007 21:54 1.409 QTFont.for
10.10.2007 21:45 603 win.ini
10.10.2007 20:08 1.393 imsins.BAK
10.10.2007 20:08 15.884 KB933729.log
10.10.2007 20:08 125.285 updspapi.log
10.10.2007 20:06 25.875 KB939653-IE7.log
10.10.2007 20:06 13.415 KB941202.log
08.10.2007 08:54 3.001 cdplayer.ini
06.10.2007 21:42 44 liveup.ini
26.09.2007 12:52 4.402 ModemLog_Nokia 6288 USB Modem.txt
04.09.2007 09:07 10.741 KB939683.log
04.09.2007 09:07 404 avmcowlan.log
04.09.2007 09:07 153.293 avmacc.log
30.08.2007 21:26 159.056 DPINST.LOG
30.08.2007 21:26 10.980 Wdf01005Inst.log
30.08.2007 14:28 5.112 avmadd32.log
30.08.2007 14:28 5.575 avminstcli1.log
30.08.2007 14:28 1.531 avminstcli.log
29.08.2007 19:24 23.442 KB933360.log
29.08.2007 00:22 1.136.545 setupapi.log.2.old
27.08.2007 11:43 2.090 ModemLog_Nokia 6288 Bluetooth Modem.txt
27.08.2007 11:43 2.090 ModemLog_Nokia 6233 Bluetooth Modem.txt
22.08.2007 22:18 9.590 avmadd321.log
22.08.2007 22:18 3.674 avmsetup.log
22.08.2007 21:55 754 WORDPAD.INI
15.08.2007 23:34 104.450 spupdsvc.log
15.08.2007 22:00 22.330 KB936021.log
15.08.2007 22:00 21.838 KB938828.log
15.08.2007 22:00 21.211 KB921503.log
15.08.2007 22:00 21.080 KB938829.log
15.08.2007 21:59 25.626 KB937143-IE7.log
15.08.2007 21:59 14.780 KB938127-IE7.log
15.08.2007 21:59 290.598 msxml4-KB936181-enu.LOG
15.08.2007 21:59 10.997 KB936782.log
15.08.2007 21:59 66.635 wmsetup.log

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 885A-80BC

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 885A-80BC

Verzeichnis von C:\WINDOWS\Downloaded Program Files

21.10.2007 21:40 2.305 kavwebscan.inf
09.10.2007 21:53 252.056 game-od.ocx
02.08.2007 18:20 1.864 OnlineScanner.inf
30.07.2007 18:24 295 muweb.inf


Nun bin ich nackt ;-)

#7 Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

Entferne auf C:\
BackUpMSNCleaner
BendeBoy

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

MSN kann wieder installiert werden
Achte darauf die letzte MSN Infektion gibt es seit Heute met den text "Du nackt?"
__________
MfG Argus

#8

Zitat

Arnold postete
Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

Entferne auf C:\
BackUpMSNCleaner
BendeBoy

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

MSN kann wieder installiert werden
Achte darauf die letzte MSN Infektion gibt es seit Heute met den text "Du nackt?"

Hehe, "Du nackt" . Mir reichts Arnold mit dem Schei... ;-).

Aber ist mein Rechner clean??

RVXO findet immer noch das von mir beschriebene.

#9 Entferne mal RVXO wie oben beschrieben
Und lade es neu runter

Edit:Lehre mal den Cash von Java

__________
MfG Argus

#10

Zitat

Arnold postete
Entferne mal RVXO wie oben beschrieben
Und lade es neu runter

Edit:Lehre mal den Cash von Java

----------------RVAXO.exe first run-------------

Files found:


Uninstallers Rogue scanners:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------

Dankeschön!! Arnold.

Temporäre ** von Java auch gelöscht.

Bin "ich" nun 10000% Gesund?

Onlinebanking, e-mail, remote... etc. durchführbar ohne das ich morgen ein plus von 100T€ auf meinem Konto entdecken muss ;-) ??

Habe ebenfalls MSN Messenger neu installiert.

Wie kann es sein, dass er ALLE Kontakte wieder drin hat?

Ich fasse nochmal zusammen: (Arbeit der vergangenen Tage)

Der Erstscan ergab folgendes:

C:\WINDOWS\N039_jpg.zip/www.N039_jpg-msn.com Infected: Backdoor.Win32.SdBot.bzo skipped

C:\WINDOWS\N039_jpg.zip ZIP: infected - 1 skipped

C:\WINDOWS\tsitra1148.exe Infected: Trojan-Downloader.Win32.Agent.enr skipped

C:\WINDOWS\usnsvc.exe Infected: Backdoor.Win32.SdBot.bzo skipped


Der zweitscan ergab dann dies:
C:\WINDOWS\b122.exe Infected: Trojan-Downloader.Win32.Agent.erf skipped

C:\WINDOWS\N039_jpg.zip/www.N039_jpg-msn.com Infected: Backdoor.Win32.SdBot.bzo skipped

C:\WINDOWS\N039_jpg.zip ZIP: infected - 1 skipped

C:\WINDOWS\usnsvc.exe Infected: Backdoor.Win32.SdBot.bzo skipped


Offensichtlich ist dies nicht mehr da.

Aber war die Löschung (entfernung) die Lösung???

#11 Die daten wurden durch BendeBoy entfernt
__________
MfG Argus

#12

Zitat

Arnold postete
Die daten wurden durch BendeBoy entfernt

Welche Daten Arnold? Die Trojaner?

#13 Mal ein vorbild was Bendeboy entfernt
Da die infektionen alle verschieden sind wird das Program auch so schnell wie moeglich angepasst wenn wieder eine neue variante erscheint

Zitat

C:\WINDOWS\wdfmgr.exe FOUND
C:\WINDOWS\CDSpeed.exe FOUND
C:\WINDOWS\Z058_jpg.zip FOUND
C:\WINDOWS\g038_jpg.zip FOUND

__________
MfG Argus

#14

Zitat

Arnold postete
Mal ein vorbild was Bendeboy entfernt
Da die infektionen alle verschieden sind wird das Program auch so schnell wie moeglich angepasst wenn wieder eine neue variante erscheint

Zitat

C:\WINDOWS\wdfmgr.exe FOUND
C:\WINDOWS\CDSpeed.exe FOUND
C:\WINDOWS\Z058_jpg.zip FOUND
C:\WINDOWS\g038_jpg.zip FOUND

Danke Arnold!

Was ist der Grund für die Messenger Adress und Kontakt autoeintragung?

Sind nun sicherheitsrelevante Anwendungen wieder anwendbar?

#15 Über MSN weiss ich nichts,ich benutze ein Telefon
Das Program von BendeBoy ist schon angepasst für die letzte Infektion


__________
MfG Argus