Trojaner win32.agent.pz

#1 Hallo allerseits,
weiss jemand von euch, was dieser Trojaner in einem Sytem genau anrichtet, welche Arten von Passwörtern er ausspioniert oder welchen sonstigen Aktivitäten er nachgeht?

Lohnt es sich bei einem Befall noch diverse Löschversuche zu unternehmen (Standard-Verfahren funktionieren leider nicht) oder sollte hier das System am besten gleich ganz geplättet werden?

#2 Hallo
nur dem namen nach kann ich das nicht einschätzen - wenn dir das Formatieren jedoch schnell von der Hand geht und "nicht weh tut" - formatiere.
Falls du reinigen willst...
poste hier das Log von Combofix
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 Hallo,

ließe sich ein Virenproplem auch prinziepiell dadurch lösen, dass man die Systempartition des Computers mit einem älteren (virusfreien) Ghostimage derselben Partition überspielt? Dann brächte man doch nicht alles neu einzurichten...

viele Grüße

Alanin

#4 Hallo,

du kannst eine sauberes Image drüberspielen.
aber:
besser, wir machen es so ... reinigen erst mal - poste bitte das Log von Combofix, dann sehen wir weiter
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 Hallo,

wer kann mir helfen. Der Trojaner win32 agent hat mein Internetbanking lahm gelegt. Soweit ich informiert bin kann man so einen Trojaner nicht so ohne weiteres löschen. Habe mir dann HijackThis runtergeladen und eine log Datei erstellt. Vielleicht kann sich die jemand mal ansehen und mir Tips geben was zu tun ist.

Danke schnio

---------

Zitat

O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\dplaysvr.dll

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:12:23, on 06.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Generic\USB Card Reader Driver v2.2e5\FlashIcon.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\MicroStar\WLANUtility\WlanUtility.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MicroStar\WLANUtility\WLAN_Service.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\MARTIN~1\LOKALE~1\Temp\Temporäres Verzeichnis 4 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/SmartOffers/Services/resultsmaster/ResultsMasterHomeLeftPane.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\dplaysvr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FlashIcon] C:\Programme\Generic\USB Card Reader Driver v2.2e5\FlashIcon.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Curb tool help dart] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool\free lite.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Audio first] C:\DOKUME~1\MARTIN~1\ANWEND~1\fragtime\Play Coal.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WlanUtility.lnk = C:\Programme\MicroStar\WLANUtility\WlanUtility.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1201983901953
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 8669 bytes

#6 Hallo schnio

wende bitte Combofix an + poste hier das log
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 Hallo Pinguin,

habe Combofix durchgeführt und eine log-Datei erstellt. Diese habe ich angehängt.
Derzeit habe ich folgende Probleme:

1. aufklappen von CID Popups
2. einige Programme reagieren z.T. nicht z.B. die iexplore.exe
3. der Rechner reagiert langsamer als sonst

Gruß schnio

ComboFix 08-02.05.3 - Martin Schniotalle 2008-02-07 19:03:36.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.229 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Martin Schniotalle\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\wl.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-07 bis 2008-02-07 ))))))))))))))))))))))))))))))
.

2008-02-06 22:05 . 2008-02-06 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Schniotalle\ElsterFormular
2008-02-06 21:54 . 2008-02-06 21:54 <DIR> d-------- C:\Programme\ElsterFormular
2008-02-03 18:54 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-02-03 18:54 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-02-03 18:54 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-02-03 18:54 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-02-03 10:20 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-02-03 10:20 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-02-02 23:52 . 2008-02-02 23:52 <DIR> d-------- C:\Programme\fragtime
2008-02-02 23:50 . 2008-02-02 23:53 <DIR> d-------- C:\Programme\DivoCodec
2008-02-02 23:50 . 2008-02-02 23:53 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Schniotalle\Anwendungsdaten\fragtime
2008-02-02 23:50 . 2008-02-02 23:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool
2008-02-02 23:43 . 2008-02-02 23:43 <DIR> d-------- C:\Programme\Microsoft Games
2008-02-02 11:19 . 2008-02-02 11:19 85,720 --a------ C:\WINDOWS\system32\dplaysvr.dll
2008-02-02 11:19 . 2008-02-02 15:53 8 --a------ C:\WINDOWS\system32\410973454
2008-02-02 10:24 . 2008-02-02 10:24 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-02-02 10:12 . 2008-02-02 15:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-02-02 10:09 . 2008-02-02 10:09 803,088 --a------ C:\WINDOWS\Armina-Screensaver.exe
2008-02-02 10:09 . 2008-02-02 10:09 516,360 --a------ C:\WINDOWS\Armina-Screensaver.prv
2008-02-02 10:09 . 2008-02-02 10:09 111,156 --a------ C:\WINDOWS\Armina-Screensaver.scr
2008-02-02 10:09 . 2008-02-02 10:09 28,672 --a------ C:\WINDOWS\gscr.dll
2008-02-02 10:09 . 2008-02-02 10:55 12 --a------ C:\WINDOWS\dirsaver.ini
2008-02-02 10:08 . 2008-02-07 18:53 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-02 10:08 . 2007-10-04 17:10 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-02-02 10:08 . 2007-10-04 17:10 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-02-02 10:08 . 2007-10-04 17:10 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-02-02 10:08 . 2007-10-04 17:11 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-02-02 10:07 . 2008-02-07 07:52 <DIR> d-------- C:\Programme\Spyware Doctor
2008-02-02 10:07 . 2008-02-02 10:07 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Schniotalle\Anwendungsdaten\PC Tools
2008-02-02 10:07 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-02-02 10:03 . 2008-02-07 18:49 <DIR> d-------- C:\Programme\Norton Security Scan
2008-02-02 10:02 . 2008-02-07 17:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-01-31 18:50 . 2008-01-31 18:53 <DIR> d-------- C:\Programme\ANNO1602
2008-01-28 20:33 . 2008-01-28 20:37 <DIR> d-------- C:\Programme\HDCleaner
2008-01-28 17:34 . 2008-02-04 20:10 664 --a------ C:\Dokumente und Einstellungen\Martin Schniotalle\Anwendungsdaten\wklnhst.dat
2008-01-26 20:35 . 2008-01-28 20:37 <DIR> d-------- C:\Programme\Incomplete
2008-01-26 20:34 . 2008-01-26 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Schniotalle\Incomplete
2008-01-26 20:34 . 2008-02-07 18:31 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Schniotalle\.limewire
2008-01-26 20:26 . 2008-01-26 20:26 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Schniotalle\Anwendungsdaten\Ashampoo
2008-01-26 19:48 . 2008-01-26 19:48 <DIR> d-------- C:\Programme\Ashampoo
2008-01-26 19:48 . 2008-01-26 19:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-01-26 19:04 . 2008-01-26 19:04 <DIR> d-------- C:\WINDOWS\Samsung
2008-01-26 19:04 . 2007-04-24 09:53 471,040 --a------ C:\WINDOWS\ssndii.exe
2008-01-26 19:04 . 2006-11-30 09:09 57,344 --a------ C:\WINDOWS\system32\ssdevm.dll
2008-01-26 19:04 . 2004-02-04 06:24 49,152 --a------ C:\WINDOWS\system32\ssusbpn.dll
2008-01-26 19:04 . 2003-04-18 08:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-01-26 19:04 . 2000-08-03 17:52 21,776 --a------ C:\WINDOWS\system32\msxml2a.dll
2008-01-26 19:02 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-01-26 19:02 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-01-26 19:02 . 2006-04-07 02:20 11,502 --------- C:\WINDOWS\Dr. Printer Icon.ico
2008-01-26 19:00 . 2008-01-26 19:00 <DIR> d-------- C:\WINDOWS\system32\drivers\Samsung
2008-01-26 19:00 . 2008-01-26 19:00 <DIR> d-------- C:\Programme\Samsung
2008-01-26 19:00 . 2005-03-03 05:32 151,552 --a------ C:\WINDOWS\system32\SUGG1CI.exe
2008-01-26 19:00 . 2004-10-11 13:25 57,344 --a------ C:\WINDOWS\system32\SUGG1CI.dll
2008-01-26 19:00 . 2006-06-12 02:06 41,984 --------- C:\WINDOWS\system32\drivers\DGIVECP.SYS
2008-01-26 19:00 . 2006-09-01 06:05 22,663 --a------ C:\WINDOWS\system32\SUGG1LMK.DLL
2008-01-26 19:00 . 2005-09-09 07:04 555 --a------ C:\WINDOWS\system32\SUGG1LMK.SMT
2008-01-26 18:26 . 2007-10-11 00:46 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-01-26 18:26 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-01-26 18:26 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-01-26 18:26 . 2007-10-11 00:46 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-01-26 18:26 . 2007-10-11 00:46 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-01-26 18:26 . 2007-10-11 00:46 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-01-26 18:26 . 2007-10-11 00:46 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-01-26 18:26 . 2007-10-11 00:46 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-01-26 18:26 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-01-26 18:25 . 2008-01-26 18:27 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-01-26 18:12 . 2004-08-04 13:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-01-26 18:04 . 2008-01-26 18:04 <DIR> d--hs---- C:\Dokumente und Einstellungen\Martin Schniotalle\UserData
2008-01-26 18:03 . 2008-01-26 18:03 <DIR> d-------- C:\Programme\MSXML 4.0
2008-01-26 17:57 . 2008-02-07 18:21 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-26 17:57 . 2008-01-26 17:57 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-26 17:42 . 2008-01-26 17:42 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Schniotalle\Anwendungsdaten\Apple Computer
2008-01-26 17:41 . 2008-01-26 17:42 <DIR> d-------- C:\Programme\iTunes
2008-01-26 17:41 . 2008-01-26 17:41 <DIR> d-------- C:\Programme\iPod
2008-01-26 17:40 . 2008-01-26 17:40 <DIR> d-------- C:\Programme\Bonjour
2008-01-26 17:39 . 2008-01-26 17:40 <DIR> d-------- C:\Programme\QuickTime
2008-01-26 17:39 . 2008-01-26 17:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-26 17:38 . 2008-01-26 17:38 <DIR> d-------- C:\Programme\Apple Software Update
2008-01-26 17:37 . 2008-01-26 17:37 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-01-26 17:36 . 2008-01-26 17:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2008-01-26 17:36 . 2008-01-26 17:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-01-26 17:29 . 2008-01-27 10:05 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-01-26 17:29 . 2006-09-06 17:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-01-26 14:35 . 2008-02-02 10:05 <DIR> d-------- C:\Programme\Google
2008-01-26 14:34 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-26 14:22 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-01-26 14:00 . 2008-01-26 14:34 <DIR> d-------- C:\Programme\Java
2008-01-26 13:59 . 2008-02-06 13:05 <DIR> d-------- C:\Programme\LimeWire
2008-01-26 13:59 . 2008-01-26 13:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-01-26 13:50 . 2008-01-26 13:50 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Schniotalle\Anwendungsdaten\Microsoft Web Folders
2008-01-26 13:34 . 2008-01-26 13:35 <DIR> d-------- C:\Programme\Microsoft AutoRoute
2008-01-26 13:32 . 2008-01-26 13:33 <DIR> d-------- C:\Programme\Encarta
2008-01-26 13:27 . 2008-01-26 13:32 <DIR> d-------- C:\Programme\Picture It! Premium 10
2008-01-26 13:25 . 2008-01-26 13:51 <DIR> d-------- C:\WINDOWS\ShellNew
2008-01-26 13:25 . 2008-01-26 13:52 403 --a------ C:\WINDOWS\ODBC.INI
2008-01-26 13:19 . 2008-01-26 13:19 <DIR> d-------- C:\Programme\Microsoft Works Suite 2005
2008-01-26 13:19 . 2008-01-26 13:25 <DIR> d-------- C:\Programme\Microsoft Works
2008-01-26 13:17 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-01-26 13:17 . 2004-08-04 00:57 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-06 20:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-06 20:53 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-02 10:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-26 12:50 --------- d-----w C:\Programme\microsoft frontpage
2008-01-26 11:50 --------- d-----w C:\Programme\EA GAMES
2008-01-26 11:46 --------- d-----w C:\Dokumente und Einstellungen\Martin Schniotalle\Anwendungsdaten\AdobeUM
2008-01-26 11:37 737,280 ----a-w C:\WINDOWS\iun6002.exe
2008-01-26 11:37 --------- d-----w C:\Programme\Generic
2008-01-26 11:35 --------- d-----w C:\Programme\MicroStar
2008-01-26 11:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-26 11:35 --------- d-----w C:\Programme\AMD
2008-01-26 11:28 --------- d-----w C:\Programme\ATI Technologies
2008-01-26 11:22 --------- d-----w C:\Programme\CA
2008-01-26 11:19 --------- d-----w C:\Programme\Synaptics
2008-01-26 11:19 --------- d-----w C:\Programme\DivX
2008-01-26 11:00 --------- d-----w C:\Programme\Online-Dienste
2008-01-26 10:59 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2008-01-26 10:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-01-26 10:50 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2008-01-26 10:50 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-02 10:02 68856]
"Audio first"="C:\DOKUME~1\MARTIN~1\ANWEND~1\fragtime\Play Coal.exe" [2008-02-02 23:52 403968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-10-30 10:46 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-10-30 10:46 499712]
"Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1\realmon.exe" [2003-03-21 22:33 487696]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 15:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-01-27 21:10 335872]
"SoundMan"="SOUNDMAN.EXE" [2003-12-04 11:18 64000 C:\WINDOWS\SOUNDMAN.EXE]
"FlashIcon"="C:\Programme\Generic\USB Card Reader Driver v2.2e5\FlashIcon.EXE" [2004-07-01 13:24 49152]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-10 15:27 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-01-15 03:22 267048]
"Samsung PanelMgr"="C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe" [2007-05-30 00:21 520192]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"Curb tool help dart"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool\free lite.exe" [2008-02-07 18:23 2334720]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-02-02 10:02:45 125624]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]
WlanUtility.lnk - C:\Programme\MicroStar\WLANUtility\WlanUtility.exe [2004-06-18 10:48:44 142848]

R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 22:29]
R3 M2500;802.11g Wireless Network Driver;C:\WINDOWS\system32\DRIVERS\M2500.sys [2004-06-11 15:06]
S2 SSPORT;SSPORT;C:\WINDOWS\system32\Drivers\SSPORT.sys []
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 22:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 22:41]

.
Inhalt des "geplante Tasks" Ordners
"2008-02-07 18:00:00 C:\WINDOWS\Tasks\AD6D32CD909AA6CD.job"
- c:\dokume~1\martin~1\anwend~1\fragtime\64gluemeal.exe
"2008-02-01 20:28:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-02-02 09:03:39 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
"2008-02-07 17:25:27 C:\WINDOWS\Tasks\User_Feed_Synchronization-{EBF49ABF-937D-4CD9-ADA6-B901F54C6CDB}.job"
- C:\WINDOWS\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-07 19:05:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-07 19:05:30
ComboFix-quarantined-files.txt 2008-02-07 18:05:15
.
2008-02-07 06:36:18 --- E O F ---

#8 Poste mal das log von Hijack This
__________
MfG Argus

#9 schnio

also erst mal hab ich den Swizzor-Trojaner erspäht .. und Combofix hat auch was rausgelöscht.. nix, was man nicht reinigen könnte.

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#10 Hallo Pinguin,

das ist der kopierte Text der nach dem Doppelklick auf die listen.bat auf dem Desktop erschien.

Gruß Schnio




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 187E-F50E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

20.11.2007 16:04 1.523.536 FP_AX_CAB_INSTALLER.exe
30.07.2007 19:24 295 muweb.inf
20.11.2007 15:50 247 swflash.inf
3 Datei(en) 1.524.078 Bytes
0 Verzeichnis(se), 36.213.321.728 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 187E-F50E

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 187E-F50E

Verzeichnis von C:\Dokumente und Einstellungen\Martin Schniotalle

06.02.2008 22:05 <DIR> .
06.02.2008 22:05 <DIR> ..
08.02.2008 19:51 <DIR> .limewire
08.02.2008 19:56 <DIR> Desktop
02.02.2008 23:45 <DIR> Eigene Dateien
06.02.2008 22:05 <DIR> ElsterFormular
04.02.2008 16:39 <DIR> Favoriten
26.01.2008 20:34 <DIR> Incomplete
26.01.2008 13:50 <DIR> Startmenü
26.01.2008 12:26 <DIR> WINDOWS
0 Datei(en) 0 Bytes
10 Verzeichnis(se), 36.213.317.632 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 187E-F50E

Verzeichnis von C:\

#11 schnio

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Curb tool help dart"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Audio first"=-

File::
c:\windows\system32\dplaysvr.dll
C:\WINDOWS\Tasks\AD6D32CD909AA6CD.job

Folder::
C:\Programme\fragtime
C:\Programme\DivoCodec
C:\Dokumente und Einstellungen\Martin Schniotalle\Anwendungsdaten\fragtime
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Bore Curb Tool

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.



cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1

««
scanne mit a-squared Web Malware Scanner + poste hier den scanreport
http://virus-protect.org/onlinescan.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#12 Guten Molrgen Pinguin,

so, habe den Text auf den Desktop kopiert und den mit Combofix angewandt. Danach bin ich auf die Webseite gegangen und habe diesen "a-squared Web Malware Scanner" durchgeführt. Hier ist das Ergebnis:

a-squared Free - Version 2

Scan settings:

Objects: Memory, Traces, Cookies, C:\
Scan archives: On
Heuristics: Off
ADS Scan: On

Scan start: 09.02.2008 11:03:53


Scanned

Files: 82184
Traces: 161376
Cookies: 439
Processes: 41

Found

Files: 0
Traces: 1
Cookies: 35
Processes: 0

Scan end: 09.02.2008 11:34:30
Scan time: 00:30:37



Gruß schnio

#13 Hallo schnio

das sieht ja schon mal sehr gut aus.

««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

««
nun lade Combofix neu + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#14 Hallo Pinguin,

ich hoffe ich jab das alles soweit verstanden und habe das richtig gemacht. Hier ist das neue Ergebnis nach erneutem Combofix Durchlauf.

War es das dann schon oder kommt da noch was ??
Auf jeden Fall recht schönen Dank bis dahin.

Gruß schnio




ComboFix 08-02.05.3 - Martin Schniotalle 2008-02-09 16:55:42.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.226 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Martin Schniotalle\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-09 bis 2008-02-09 ))))))))))))))))))))))))))))))
.

2008-02-09 10:47 . 2004-08-04 13:00 401,408 --a------ C:\kmd.exe
2008-02-06 22:05 . 2008-02-06 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Schniotalle\ElsterFormular
2008-02-06 21:54 . 2008-02-06 21:54 <DIR> d-------- C:\Programme\ElsterFormular
2008-02-03 18:54 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-02-03 18:54 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-02-03 18:54 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-02-03 18:54 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-02-03 10:20 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-02-03 10:20 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-02-02 23:43 . 2008-02-02 23:43 <DIR> d-------- C:\Programme\Microsoft Games
2008-02-02 11:19 . 2008-02-02 15:53 8 --a------ C:\WINDOWS\system32\410973454
2008-02-02 10:24 . 2008-02-02 10:24 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-02-02 10:12 . 2008-02-08 19:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-02-02 10:09 . 2008-02-02 10:09 803,088 --a------ C:\WINDOWS\Armina-Screensaver.exe
2008-02-02 10:09 . 2008-02-02 10:09 516,360 --a------ C:\WINDOWS\Armina-Screensaver.prv
2008-02-02 10:09 . 2008-02-02 10:09 111,156 --a------ C:\WINDOWS\Armina-Screensaver.scr
2008-02-02 10:09 . 2008-02-02 10:09 28,672 --a------ C:\WINDOWS\gscr.dll
2008-02-02 10:09 . 2008-02-02 10:55 12 --a------ C:\WINDOWS\dirsaver.ini
2008-02-02 10:08 . 2008-02-09 16:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-02 10:08 . 2007-10-04 17:10 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-02-02 10:08 . 2007-10-04 17:10 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-02-02 10:08 . 2007-10-04 17:10 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-02-02 10:08 . 2007-10-04 17:11 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-02-02 10:07 . 2008-02-07 07:52 <DIR> d-------- C:\Programme\Spyware Doctor
2008-02-02 10:07 . 2008-02-02 10:07 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Schniotalle\Anwendungsdaten\PC Tools
2008-02-02 10:07 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-02-02 10:03 . 2008-02-08 15:00 <DIR> d-------- C:\Programme\Norton Security Scan
2008-02-02 10:02 . 2008-02-08 19:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-01-31 18:50 . 2008-01-31 18:53 <DIR> d-------- C:\Programme\ANNO1602
2008-01-28 20:33 . 2008-01-28 20:37 <DIR> d-------- C:\Programme\HDCleaner
2008-01-28 17:34 . 2008-02-04 20:10 664 --a------ C:\Dokumente und Einstellungen\Martin Schniotalle\Anwendungsdaten\wklnhst.dat
2008-01-26 20:35 . 2008-01-28 20:37 <DIR> d-------- C:\Programme\Incomplete
2008-01-26 20:34 . 2008-01-26 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Schniotalle\Incomplete
2008-01-26 20:34 . 2008-02-09 10:39 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Schniotalle\.limewire
2008-01-26 20:26 . 2008-01-26 20:26 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Schniotalle\Anwendungsdaten\Ashampoo
2008-01-26 19:48 . 2008-01-26 19:48 <DIR> d-------- C:\Programme\Ashampoo
2008-01-26 19:48 . 2008-01-26 19:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-01-26 19:04 . 2008-01-26 19:04 <DIR> d-------- C:\WINDOWS\Samsung
2008-01-26 19:04 . 2007-04-24 09:53 471,040 --a------ C:\WINDOWS\ssndii.exe
2008-01-26 19:04 . 2006-11-30 09:09 57,344 --a------ C:\WINDOWS\system32\ssdevm.dll
2008-01-26 19:04 . 2004-02-04 06:24 49,152 --a------ C:\WINDOWS\system32\ssusbpn.dll
2008-01-26 19:04 . 2003-04-18 08:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-01-26 19:04 . 2000-08-03 17:52 21,776 --a------ C:\WINDOWS\system32\msxml2a.dll
2008-01-26 19:02 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-01-26 19:02 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-01-26 19:02 . 2006-04-07 02:20 11,502 --------- C:\WINDOWS\Dr. Printer Icon.ico
2008-01-26 19:00 . 2008-01-26 19:00 <DIR> d-------- C:\WINDOWS\system32\drivers\Samsung
2008-01-26 19:00 . 2008-01-26 19:00 <DIR> d-------- C:\Programme\Samsung
2008-01-26 19:00 . 2005-03-03 05:32 151,552 --a------ C:\WINDOWS\system32\SUGG1CI.exe
2008-01-26 19:00 . 2004-10-11 13:25 57,344 --a------ C:\WINDOWS\system32\SUGG1CI.dll
2008-01-26 19:00 . 2006-06-12 02:06 41,984 --------- C:\WINDOWS\system32\drivers\DGIVECP.SYS
2008-01-26 19:00 . 2006-09-01 06:05 22,663 --a------ C:\WINDOWS\system32\SUGG1LMK.DLL
2008-01-26 19:00 . 2005-09-09 07:04 555 --a------ C:\WINDOWS\system32\SUGG1LMK.SMT
2008-01-26 18:26 . 2007-10-11 00:46 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-01-26 18:26 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-01-26 18:26 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-01-26 18:26 . 2007-10-11 00:46 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-01-26 18:26 . 2007-10-11 00:46 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-01-26 18:26 . 2007-10-11 00:46 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-01-26 18:26 . 2007-10-11 00:46 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-01-26 18:26 . 2007-10-11 00:46 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-01-26 18:26 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-01-26 18:25 . 2008-01-26 18:27 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-01-26 18:12 . 2004-08-04 13:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-01-26 18:04 . 2008-01-26 18:04 <DIR> d--hs---- C:\Dokumente und Einstellungen\Martin Schniotalle\UserData
2008-01-26 18:03 . 2008-01-26 18:03 <DIR> d-------- C:\Programme\MSXML 4.0
2008-01-26 17:57 . 2008-02-09 16:25 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-26 17:57 . 2008-01-26 17:57 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-26 17:42 . 2008-01-26 17:42 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Schniotalle\Anwendungsdaten\Apple Computer
2008-01-26 17:41 . 2008-01-26 17:42 <DIR> d-------- C:\Programme\iTunes
2008-01-26 17:41 . 2008-01-26 17:41 <DIR> d-------- C:\Programme\iPod
2008-01-26 17:40 . 2008-01-26 17:40 <DIR> d-------- C:\Programme\Bonjour
2008-01-26 17:39 . 2008-01-26 17:40 <DIR> d-------- C:\Programme\QuickTime
2008-01-26 17:39 . 2008-01-26 17:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-26 17:38 . 2008-01-26 17:38 <DIR> d-------- C:\Programme\Apple Software Update
2008-01-26 17:37 . 2008-01-26 17:37 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-01-26 17:36 . 2008-01-26 17:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2008-01-26 17:36 . 2008-01-26 17:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-01-26 17:29 . 2008-01-27 10:05 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-01-26 17:29 . 2006-09-06 17:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-01-26 14:35 . 2008-02-02 10:05 <DIR> d-------- C:\Programme\Google
2008-01-26 14:34 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-26 14:22 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-01-26 14:00 . 2008-01-26 14:34 <DIR> d-------- C:\Programme\Java
2008-01-26 13:59 . 2008-02-06 13:05 <DIR> d-------- C:\Programme\LimeWire
2008-01-26 13:59 . 2008-01-26 13:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-01-26 13:50 . 2008-01-26 13:50 <DIR> d-------- C:\Dokumente und Einstellungen\Martin Schniotalle\Anwendungsdaten\Microsoft Web Folders
2008-01-26 13:34 . 2008-01-26 13:35 <DIR> d-------- C:\Programme\Microsoft AutoRoute
2008-01-26 13:32 . 2008-01-26 13:33 <DIR> d-------- C:\Programme\Encarta
2008-01-26 13:27 . 2008-01-26 13:32 <DIR> d-------- C:\Programme\Picture It! Premium 10
2008-01-26 13:25 . 2008-01-26 13:51 <DIR> d-------- C:\WINDOWS\ShellNew
2008-01-26 13:25 . 2008-01-26 13:52 403 --a------ C:\WINDOWS\ODBC.INI
2008-01-26 13:19 . 2008-01-26 13:19 <DIR> d-------- C:\Programme\Microsoft Works Suite 2005
2008-01-26 13:19 . 2008-01-26 13:25 <DIR> d-------- C:\Programme\Microsoft Works
2008-01-26 13:17 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-01-26 13:17 . 2004-08-04 00:57 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll
2008-01-26 13:17 . 2004-08-04 00:46 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2008-01-26 13:17 . 2004-08-04 00:46 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2008-01-26 13:16 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-01-26 13:16 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-06 20:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-06 20:53 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-02 10:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-26 12:50 --------- d-----w C:\Programme\microsoft frontpage
2008-01-26 11:50 --------- d-----w C:\Programme\EA GAMES
2008-01-26 11:46 --------- d-----w C:\Dokumente und Einstellungen\Martin Schniotalle\Anwendungsdaten\AdobeUM
2008-01-26 11:37 737,280 ----a-w C:\WINDOWS\iun6002.exe
2008-01-26 11:37 --------- d-----w C:\Programme\Generic
2008-01-26 11:35 --------- d-----w C:\Programme\MicroStar
2008-01-26 11:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-26 11:35 --------- d-----w C:\Programme\AMD
2008-01-26 11:28 --------- d-----w C:\Programme\ATI Technologies
2008-01-26 11:22 --------- d-----w C:\Programme\CA
2008-01-26 11:19 --------- d-----w C:\Programme\Synaptics
2008-01-26 11:19 --------- d-----w C:\Programme\DivX
2008-01-26 11:00 --------- d-----w C:\Programme\Online-Dienste
2008-01-26 10:59 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2008-01-26 10:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-01-26 10:50 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2008-01-26 10:50 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-02 10:02 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-10-30 10:46 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-10-30 10:46 499712]
"Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1\realmon.exe" [2003-03-21 22:33 487696]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 15:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-01-27 21:10 335872]
"SoundMan"="SOUNDMAN.EXE" [2003-12-04 11:18 64000 C:\WINDOWS\SOUNDMAN.EXE]
"FlashIcon"="C:\Programme\Generic\USB Card Reader Driver v2.2e5\FlashIcon.EXE" [2004-07-01 13:24 49152]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-10 15:27 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-01-15 03:22 267048]
"Samsung PanelMgr"="C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe" [2007-05-30 00:21 520192]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-10-02 16:27 1065288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-02-02 10:02:45 125624]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]
WlanUtility.lnk - C:\Programme\MicroStar\WLANUtility\WlanUtility.exe [2004-06-18 10:48:44 142848]

R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 22:29]
R3 M2500;802.11g Wireless Network Driver;C:\WINDOWS\system32\DRIVERS\M2500.sys [2004-06-11 15:06]
S2 SSPORT;SSPORT;C:\WINDOWS\system32\Drivers\SSPORT.sys []
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 22:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 22:41]

.
Inhalt des "geplante Tasks" Ordners
"2008-02-08 20:28:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-02-08 15:24:55 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
"2008-02-08 19:45:10 C:\WINDOWS\Tasks\User_Feed_Synchronization-{EBF49ABF-937D-4CD9-ADA6-B901F54C6CDB}.job"
- C:\WINDOWS\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-09 16:57:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-09 16:58:05
.
2008-02-09 09:46:31 --- E O F ---

#15 es ist alles wieder im grünen Bereich
oder kommen noch Popups oder andere Beschwerden ?
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/