Neue trojaner gefunden!!!

#0
06.01.2008, 16:41
...neu hier

Beiträge: 8
#1 Hallo,

ich hab vor einigen Tagen schonmal über mein Problem mit dem Trojaner Virtumonde geschrieben. Ich dachte ich hätte das Problem beseitigt.

Aber nun habe ich erneut Schwierigkeiten.

Immer wenn ich das Programm Spyware Doctor öffne und unter der Quarantäne nachschaue, dann werden immer folgende Trojaner in Quarantäne gestellt: Trojan.PWS.Tanspy und Tojan.Generic

Und dann hat Norton 360 vorhin noch eine Warnmeldung gegeben, dass der Trojaner Vundo gefunden wurde. Um diesen zu löschen sollte der Prozess rundll32.exe beedet werden.

Hier mein Hijack Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:53:23, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\msiexec.exe
D:\Programme\BearShare\BearShare.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Roosen\Desktop\VundoFix.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask .exe" -atboottime
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [BearFlix] "D:\Programme\BearFlix\BearFlix.exe" /pause
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4 .exe" /tray
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ .exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {29710C4C-4F0F-4A36-8312-CB5614829804} (DriverDetectiveNonMembers.nonmembers) - http://www.drivershq.com/files/cab/nonmember/DriverDetective-nm.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156760399578
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 9600 bytes

Hier VundoFix:
VundoFix V6.7.7

Checking Java version...

Sun Java not detected
Scan started at 15:56:20 06.01.2008

Listing files found while scanning....

No infected files were found.


Beginning removal...

Und combo Fix:
ComboFix 08-01-03.1 - Roosen 2008-01-06 16:19:20.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.658 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Roosen\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\_install.exe nicht gefunden

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-06 bis 2008-01-06 ))))))))))))))))))))))))))))))
.

2008-01-04 23:30 . 2008-01-04 23:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-04 23:30 . 2008-01-04 23:30 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-04 21:03 . 2008-01-04 21:03 <DIR> d-------- C:\Dokumente und Einstellungen\Roosen\DoctorWeb
2008-01-04 17:44 . 2008-01-04 17:44 <DIR> d-------- C:\SAV32CLI
2008-01-04 17:33 . 2008-01-04 17:33 <DIR> d-------- C:\WINDOWS\ERUNT
2008-01-02 19:51 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-02 14:45 . 2007-05-29 13:55 22,112 --a------ C:\WINDOWS\system32\drivers\COH_Mon.sys
2008-01-02 14:45 . 2007-05-29 13:55 10,592 --a------ C:\WINDOWS\system32\drivers\COH_Mon.cat
2008-01-02 14:45 . 2007-05-29 13:55 705 --a------ C:\WINDOWS\system32\drivers\COH_Mon.inf
2008-01-02 14:35 . 2008-01-02 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\Symantec
2008-01-02 14:31 . 2007-03-21 20:33 503,808 --a------ C:\WINDOWS\system32\MSVCP71.DL1
2008-01-02 14:31 . 2007-03-21 20:33 348,160 --a------ C:\WINDOWS\system32\MSVCR71.DL1
2008-01-02 14:16 . 2008-01-02 14:16 16 --a------ C:\WINDOWS\system32\coh.cache
2008-01-02 14:09 . 2008-01-02 14:28 <DIR> d-------- C:\Programme\Symantec
2008-01-02 14:09 . 2008-01-05 14:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-01-02 14:09 . 2008-01-02 14:28 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-01-02 14:09 . 2008-01-02 14:28 60,800 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-01-02 14:09 . 2008-01-02 14:28 10,740 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-01-02 14:09 . 2008-01-02 14:28 805 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2007-12-31 15:43 . 2007-12-31 15:43 <DIR> d-------- C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\Talkback
2007-12-31 14:33 . 2007-12-31 14:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2007-12-31 14:30 . 2007-12-31 14:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2007-12-31 12:43 . 2008-01-06 16:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-12-31 12:43 . 2007-10-04 17:10 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-12-31 12:43 . 2007-10-04 17:10 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-12-31 12:43 . 2007-10-04 17:10 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-12-31 12:43 . 2007-10-04 17:11 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-12-31 12:42 . 2008-01-04 18:28 <DIR> d-------- C:\Programme\Spyware Doctor
2007-12-31 12:42 . 2007-12-31 12:42 <DIR> d-------- C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\PC Tools
2007-12-31 12:41 . 2008-01-06 15:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2007-12-11 20:46 . 2007-12-11 20:46 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-12-11 20:46 . 2007-12-11 20:46 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-12-11 20:46 . 2007-12-11 20:46 10,152 --a------ C:\WINDOWS\system32\dsm_de.qm
2007-12-11 20:46 . 2007-12-11 20:46 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2007-12-11 20:45 . 2007-12-11 20:45 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-12-11 20:45 . 2007-12-11 20:45 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-12-11 20:43 . 2007-12-11 20:43 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2007-12-11 20:43 . 2007-12-11 20:43 8,523 --a------ C:\WINDOWS\system32\dpude.qm
2007-12-11 20:43 . 2007-12-11 20:43 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-06 15:19 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-01-04 13:49 19,120 ----a-w C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-01-02 12:47 --------- d-----w C:\Programme\avmwlanstick
2007-12-31 14:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-31 13:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-12-31 13:28 --------- d-----w C:\Programme\Google
2007-12-30 18:42 --------- d-----w C:\Programme\QuickTime
2007-12-25 18:09 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-11 19:44 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-12-11 19:44 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-12-11 19:44 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-12-11 19:44 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-12-11 19:44 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2007-12-11 19:44 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-12-11 19:44 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-12-11 19:44 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-12-11 19:44 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-12-11 19:44 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-12-11 19:44 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-12-11 19:44 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-12-11 19:44 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-12-01 16:42 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-01 16:42 22,328 ----a-w C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\PnkBstrK.sys
2007-12-01 16:41 669,184 ----a-w C:\WINDOWS\system32\pbsvc.exe
2007-12-01 16:41 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-12-01 16:41 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-11-30 22:57 43,696 ----a-w C:\WINDOWS\system32\drivers\srtspx.sys
2007-11-30 22:57 317,616 ----a-w C:\WINDOWS\system32\drivers\srtspl.sys
2007-11-30 22:57 279,088 ----a-w C:\WINDOWS\system32\drivers\srtsp.sys
2007-11-30 22:57 10,549 ----a-w C:\WINDOWS\system32\drivers\srtspx.cat
2007-11-30 22:57 10,549 ----a-w C:\WINDOWS\system32\drivers\srtspl.cat
2007-11-30 22:57 10,545 ----a-w C:\WINDOWS\system32\drivers\srtsp.cat
2007-11-30 22:57 1,430 ----a-w C:\WINDOWS\system32\drivers\srtspl.inf
2007-11-30 22:57 1,421 ----a-w C:\WINDOWS\system32\drivers\srtspx.inf
2007-11-30 22:57 1,415 ----a-w C:\WINDOWS\system32\drivers\srtsp.inf
2007-11-21 14:43 --------- d-----w C:\Programme\Analog Devices
2007-11-17 15:53 278,984 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys
2007-11-16 17:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-16 17:22 --------- d-----w C:\Programme\AGEIA Technologies
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-07-27 18:05 47,360 ----a-w C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\pcouffin.sys
2007-07-14 16:21 87,608 ----a-w C:\Dokumente und Einstellungen\Roosen\Anwendungsdaten\ezpinst.exe
2006-10-01 12:10 1 ----a-w C:\Dokumente und Einstellungen\Roosen\SI.bin
2004-10-01 13:00 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
2005-05-13 15:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 09:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-10-13 19:27 422,400 --sha-r C:\WINDOWS\x2.64.exe
2005-10-07 17:14 308,224 --sha-r C:\WINDOWS\system32\avisynth.dll
2005-07-14 10:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 13:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2006-04-27 08:24 2,945,024 --sha-r C:\WINDOWS\system32\Smab.dll
2005-02-28 11:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

Code

----a-w         1,398,272 2007-12-31 11:32:00  C:\Programme\Ahead\InCD\InCD .exe
----a-w         1,961,984 2007-12-31 11:54:35  C:\Programme\Ahead\Nero BackItUp\NBJ .exe
----a-w            77,824 2007-12-31 11:32:06  C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt .exe
----a-w           868,352 2007-12-31 11:32:12  C:\Programme\Analog Devices\Core\smax4pnp .exe
----a-w           729,088 2007-12-31 11:54:41  C:\Programme\Analog Devices\SoundMAX\Smax4 .exe
----a-w           343,552 2007-12-31 11:32:06  C:\Programme\avmwlanstick\FRITZWLANMini .exe
----a-w            32,768 2007-12-31 11:31:57  C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ .exe
----a-w            81,920 2007-12-31 11:32:03  C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch .exe
----a-w           221,184 2007-12-31 11:32:02  C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm .exe
----a-w           180,269 2007-12-31 11:32:04  C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched .exe
----a-w           132,496 2007-12-31 11:31:59  C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
----a-w            45,056 2007-12-31 11:32:01  C:\Programme\Mobile Phone Manager\SmartSync\SCHEDU~1 .EXE
----a-w           282,624 2007-12-31 11:56:22  C:\Programme\QuickTime\qttask .exe
----a-w           204,288 2007-12-31 11:32:14  C:\Programme\Windows Media Player\WMPNSCFG .exe
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ .exe" [ ]
"PowerBar"="" []
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe" [ ]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 14:21 61952 C:\WINDOWS\system32\HdAShCut.exe]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [ ]
"RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [ ]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [ ]
"BearShare"="D:\Programme\BearShare\BearShare.exe" [2006-07-26 12:48 3305472]
"SmartSync - ScheduleSync"="C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE" [ ]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [ ]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [ ]
"QuickTime Task"="C:\Programme\QuickTime\qttask .exe" [ ]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [ ]
"amd_dc_opt"="C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [ ]
"BearFlix"="D:\Programme\BearFlix\BearFlix.exe" [ ]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-04 17:14 8491008]
"nwiz"="nwiz.exe" [2007-10-04 17:14 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-04 17:14 81920]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [ ]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4 .exe" [ ]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [ ]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [ ]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 22:59 115816]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22 517768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-12-31 12:41:15]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 01:06:58]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2006-10-13 21:00]
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys []
S3 AmdTools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\AmdTools.sys []
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2004-06-11 01:00]
S3 cdiskdun;cdiskdun;C:\DOKUME~1\Roosen\LOKALE~1\Temp\cdiskdun.sys []
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 01:00]
S3 SE4501D;Gigaset USB Adapter 54 Driver;C:\WINDOWS\system32\DRIVERS\SE4501D.sys [2004-06-02 02:43]
S3 siusbmod;siusbmod;C:\WINDOWS\system32\DRIVERS\siusbmod.sys [2006-01-23 14:15]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3bb67f8-d6fa-11db-858a-00173180814d}]
\Shell\AutoRun\command - G:\pushinst.exe

*Newly Created Service* - COMHOST

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{303FD28C-557B-C7BC-0308-040401080807}]
C:\WINDOWS\system32\explorer32.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-06 16:20:54
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-06 16:21:45
.
2007-12-11 21:09:47 --- E O F ---

Und DatFind:
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 5485-12C5

Verzeichnis von C:\WINDOWS\system32

06.01.2008 16:23 13.646 wpa.dbl
02.01.2008 14:28 60.800 S32EVNT1.DLL
02.01.2008 14:16 16 coh.cache
31.12.2007 14:30 185.688 rmoc3260.dll
31.12.2007 14:29 5.632 pndx5032.dll
31.12.2007 14:29 6.656 pndx5016.dll
31.12.2007 14:29 278.528 pncrt.dll
31.12.2007 12:44 401.064 perfh009.dat
31.12.2007 12:44 62.344 perfc009.dat
31.12.2007 12:44 74.996 perfc007.dat
31.12.2007 12:44 415.470 perfh007.dat
31.12.2007 12:44 966.250 PerfStringBackup.INI
15.12.2007 16:45 113.376 FNTCACHE.DAT
11.12.2007 22:08 387.268 TZLog.log
11.12.2007 20:46 10.152 dsm_de.qm
11.12.2007 20:46 524.288 DivXsm.exe
11.12.2007 20:46 4.816 divxsm.tlb
11.12.2007 20:46 3.596.288 qt-dx331.dll
11.12.2007 20:45 1.044.480 libdivx.dll
11.12.2007 20:45 200.704 ssldivx.dll
11.12.2007 20:44 416 dpl100.dll.manifest
11.12.2007 20:44 81.920 dpl100.dll
11.12.2007 20:44 416 dtu100.dll.manifest
11.12.2007 20:44 196.608 dtu100.dll
11.12.2007 20:44 53.248 dpuGUI10.dll
11.12.2007 20:44 294.912 dpu11.dll
11.12.2007 20:44 344.064 dpus11.dll
11.12.2007 20:44 57.344 dpv11.dll
11.12.2007 20:44 593.920 dpuGUI11.dll
11.12.2007 20:44 294.912 dpu10.dll
11.12.2007 20:44 823.296 divx_xx07.dll
11.12.2007 20:44 682.496 DivX.dll
11.12.2007 20:44 802.816 divx_xx11.dll
11.12.2007 20:44 823.296 divx_xx0c.dll
11.12.2007 20:44 630.784 divxdec.ax
11.12.2007 20:44 156.992 DivXCodecVersionChecker.exe
11.12.2007 20:43 12.288 DivXWMPExtType.dll
11.12.2007 20:43 8.523 dpude.qm
11.12.2007 20:43 3.136 dtu_de.qm
03.12.2007 00:00 18.684.536 MRT.exe
01.12.2007 17:41 103.736 PnkBstrB.exe
01.12.2007 17:41 66.872 PnkBstrA.exe
01.12.2007 17:41 669.184 pbsvc.exe
21.11.2007 15:33 140.158 nvapps.xml
13.11.2007 12:31 60.416 tzchange.exe
31.10.2007 00:19 3.590.656 mshtml.dll

Datenträger in Laufwerk C: ist System
Volumeseriennummer: 5485-12C5

Verzeichnis von C:\DOKUME~1\Roosen\LOKALE~1\Temp

06.01.2008 16:45 107.421 datfind.txt
06.01.2008 16:45 512 ~DF4CB5.tmp
02.01.2008 22:03 244 1F1205F7.TMP
3 Datei(en) 108.177 Bytes
0 Verzeichnis(se), 11.387.097.088 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 5485-12C5

Verzeichnis von C:\WINDOWS

06.01.2008 19:35 32 CD_Start.INI
06.01.2008 16:24 1.070.390 WindowsUpdate.log
06.01.2008 16:24 293 avmcowlan.log
06.01.2008 16:24 634.131 setupapi.log
06.01.2008 16:23 0 0.log
06.01.2008 16:23 159 wiadebug.log
06.01.2008 16:23 50 wiaservc.log
06.01.2008 16:23 2.048 bootstat.dat
06.01.2008 16:22 32.560 SchedLgU.Txt
06.01.2008 16:20 227 system.ini
04.01.2008 23:30 1.409 QTFont.for
04.01.2008 23:30 54.156 QTFont.qfn
04.01.2008 23:21 2.888 mozver.dat
04.01.2008 23:07 9.661 KB892130.log
04.01.2008 17:32 729 win.ini
03.01.2008 20:04 0 MEMORY.DMP
02.01.2008 14:10 506 GEARInstall.log
22.12.2007 13:59 116 NeroDigital.ini
11.12.2007 22:08 137.631 iis6.log
11.12.2007 22:08 297.705 comsetup.log
11.12.2007 22:08 1.393 imsins.log
11.12.2007 22:08 333.868 tsoc.log
11.12.2007 22:08 178.657 ntdtcsetup.log
11.12.2007 22:08 47.739 ocmsn.log
11.12.2007 22:08 32.186 KB942763.log
11.12.2007 22:08 417.093 ocgen.log
11.12.2007 22:08 43.513 msgsocm.log
11.12.2007 22:08 864.753 FaxSetup.log
11.12.2007 22:08 1.393 imsins.BAK
11.12.2007 22:08 18.721 KB941569.log
11.12.2007 22:08 25.809 KB942615-IE7.log
11.12.2007 22:07 150.080 updspapi.log
11.12.2007 22:07 12.629 KB941568.log
11.12.2007 22:07 13.239 KB944653.log
01.12.2007 17:41 385.327 DirectX.log
21.11.2007 15:43 16.282 SMinstall.log
21.11.2007 15:41 6.072 KB888111.log
16.11.2007 18:22 7.788 DIFx.log
16.11.2007 15:06 8.155 KB943460.log
02.11.2007 13:40 280 game.ini
10.10.2007 17:03 12.590 KB933729.log


Datenträger in Laufwerk C: ist System
Volumeseriennummer: 5485-12C5

Verzeichnis von C:\WINDOWS\temp

06.01.2008 16:23 409 WGANotify.settings
06.01.2008 16:23 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 11.387.084.800 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 5485-12C5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

28.08.2007 09:39 2.635.280 ImageUploader4.ocx
28.08.2007 09:39 378 ImageUploader4.inf
11.06.2007 11:21 5.021 swflash.inf
03.05.2007 15:35 300 setup.inf
Dieser Beitrag wurde am 06.01.2008 um 16:47 Uhr von FL() editiert.
Seitenanfang Seitenende
06.01.2008, 17:33
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 FL()

in den Logs ist nichts mehr zu sehen ....
scanne und poste den Report
http://www.virus-protect.org/artikel/tools/kaspersky.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
06.01.2008, 21:56
...neu hier

Themenstarter

Beiträge: 8
#3 Die Suche hat auch nichts ergeben.

Ist nur komisch, weil norton vorhin den Trojaner Vundo gefunden hat.

Hab auch nochmal mit Norton gescannt und da wurde auch nichts gefunden.

Gibt es noch andere Scanner oder soll ich es jetzt lassen?

Hier der Statistik vom Report:
Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------
All objects 705877 0 0 0 0 8584 732 407 14
System memory 3519 0 0 0 0 22 22 0 0
Startup objects 547 0 0 0 0 1 26 0 0
Disk boot sectors 7 0 0 0 0 0 0 0 0
Eigene Dateien 342 0 0 0 0 40 0 0 0
Arbeitsplatz 378075 0 0 0 0 4892 400 226 9
System (C;) 291878 0 0 0 0 2851 220 102 0
Daten (D;) 31509 0 0 0 0 778 64 79 5


Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Seitenanfang Seitenende
07.01.2008, 13:42
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 Hallo

falls die Virenmeldung wiederkommt, hast du hier "Beschäftigung" ;)
http://board.protecus.de/t8642.htm

wende noch CCleaner an
http://www.virus-protect.org/ccleaner.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
07.01.2008, 19:17
Moderator

Beiträge: 7802
#5 Koenntest du nch ein neuen Hijackthis und Combofix Report erstellen? Irgendwie sind die Starteintraege weg oder noch nicht umbenannt worden
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: