Wie kann man Xorpix ES Trojan entfernen?

#0
31.07.2008, 10:00
...neu hier

Beiträge: 8
#1 Hallo,

mir wird seit gestern gemeldet, dass sich unter c:\dokumente und einstellungen\user\lokale einstellungen\temp\tmp2.tmp ein Trojaner befinde. Leider lässt sich die Datei in dem Ordner Temp nicht löschen. Wenn man sie verschiebt und anschließend löscht, erstellt sie sich zur gleichen Zeit am ursprünglichen Ort wieder neu. Habe auch schon versucht sie im abgesicherten Modus zu löschen. Das funktioniert auch, aber wenn ich den Rechner danach hochfahre, ist sie wieder da...

Hier mein HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:17:09, on 31.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Samsung\DisplayManager\DisplayManager.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\TEMP\sophos_autoupdate1.dir\alupdate.exe
C:\Dokumente und Einstellungen\Daniela\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-konstanz.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [AVStation Premium 3.75] C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
O4 - HKLM\..\Run: [DisplayManager] C:\Programme\Samsung\DisplayManager\DMLoader.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://Download.Windowsupdate.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C5E943A-251B-4B20-B5B1-16D1775CA686}: NameServer = 217.237.150.188 217.237.151.142
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C5E943A-251B-4B20-B5B1-16D1775CA686}: NameServer = 217.237.150.188 217.237.151.142
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe

--
End of file - 9960 bytes



Die Logfiles von Datfindbat:

Verzeichnis von c:\

31.07.2008 09:20 0 dirdat.txt
31.07.2008 09:00 73 cj.ini
31.07.2008 09:00 1.071.828.992 hiberfil.sys
31.07.2008 09:00 1.610.612.736 pagefile.sys
30.07.2008 21:53 268 sqmdata18.sqm
30.07.2008 21:53 244 sqmnoopt18.sqm
30.07.2008 21:40 268 sqmdata17.sqm
30.07.2008 21:40 244 sqmnoopt17.sqm
30.07.2008 21:26 268 sqmdata16.sqm
30.07.2008 21:26 244 sqmnoopt16.sqm
30.07.2008 19:57 268 sqmdata15.sqm
30.07.2008 19:57 244 sqmnoopt15.sqm
29.07.2008 19:13 268 sqmdata14.sqm
29.07.2008 19:13 244 sqmnoopt14.sqm
28.07.2008 19:09 268 sqmdata13.sqm
28.07.2008 19:09 244 sqmnoopt13.sqm
27.07.2008 19:45 268 sqmdata12.sqm
27.07.2008 19:45 244 sqmnoopt12.sqm
26.07.2008 20:09 268 sqmdata11.sqm
26.07.2008 20:09 244 sqmnoopt11.sqm
25.07.2008 19:55 268 sqmdata10.sqm
25.07.2008 19:55 244 sqmnoopt10.sqm
24.07.2008 19:14 268 sqmdata09.sqm
24.07.2008 19:14 244 sqmnoopt09.sqm
23.07.2008 20:05 268 sqmdata08.sqm
23.07.2008 20:05 244 sqmnoopt08.sqm
22.07.2008 18:32 268 sqmdata07.sqm
22.07.2008 18:32 244 sqmnoopt07.sqm
22.07.2008 16:14 522 hpfr3420.xml
22.07.2008 16:14 130.578 hpfr3425.log
21.07.2008 18:31 268 sqmdata06.sqm
21.07.2008 18:31 244 sqmnoopt06.sqm
20.07.2008 18:42 268 sqmdata05.sqm
20.07.2008 18:42 244 sqmnoopt05.sqm
18.07.2008 20:08 268 sqmdata04.sqm
18.07.2008 20:08 244 sqmnoopt04.sqm
17.07.2008 22:46 268 sqmdata03.sqm
17.07.2008 22:46 244 sqmnoopt03.sqm
16.07.2008 19:52 268 sqmdata02.sqm
16.07.2008 19:52 244 sqmnoopt02.sqm
15.07.2008 20:11 268 sqmdata01.sqm
15.07.2008 20:11 244 sqmnoopt01.sqm
14.07.2008 20:13 268 sqmdata00.sqm
14.07.2008 20:13 244 sqmnoopt00.sqm
13.07.2008 20:06 268 sqmdata19.sqm
13.07.2008 20:06 244 sqmnoopt19.sqm




Verzeichnis von C:\WINDOWS\system32

31.07.2008 09:04 380.684 perfh009.dat
31.07.2008 09:04 391.574 perfh007.dat
31.07.2008 09:04 63.976 perfc007.dat
31.07.2008 09:04 53.098 perfc009.dat
31.07.2008 09:04 897.778 PerfStringBackup.INI
31.07.2008 09:00 1.158 wpa.dbl
31.07.2008 09:00 45.378 nvapps.xml
20.06.2008 19:39 247.296 mswsock.dll
20.06.2008 19:39 148.992 dnsapi.dll
30.05.2008 01:35 17.486.968 MRT.exe
07.05.2008 07:14 1.293.312 quartz.dll




Verzeichnis von C:\WINDOWS

31.07.2008 09:10 1.464.609 WindowsUpdate.log
31.07.2008 09:10 919 win.ini
31.07.2008 09:00 0 0.log
31.07.2008 09:00 157 wiadebug.log
31.07.2008 09:00 50 wiaservc.log
31.07.2008 09:00 2.048 bootstat.dat
30.07.2008 21:53 32.636 SchedLgU.Txt
30.07.2008 21:42 1.000.908 ntbtlog.txt
11.07.2008 10:55 945.669 setupapi.log
08.07.2008 22:55 194.922 ntdtcsetup.log
08.07.2008 22:55 150.238 iis6.log
08.07.2008 22:55 324.050 comsetup.log
08.07.2008 22:55 52.185 ocmsn.log
08.07.2008 22:55 364.651 tsoc.log
08.07.2008 22:55 1.355 imsins.log
08.07.2008 22:55 17.731 KB951748.log
08.07.2008 22:55 47.221 msgsocm.log
08.07.2008 22:55 452.085 ocgen.log
08.07.2008 22:55 938.990 FaxSetup.log
08.07.2008 22:55 92.138 updspapi.log
20.06.2008 20:41 1.374 imsins.BAK
20.06.2008 20:41 8.108 KB951376-v2.log
12.06.2008 22:41 18.186 KB950759-IE7.log
11.06.2008 22:38 11.746 KB951698.log
11.06.2008 22:38 8.108 KB950762.log
11.06.2008 22:38 6.327 KB950760.log
11.06.2008 22:38 7.728 KB951376.log
27.05.2008 23:08 10.381 KB932823-v3.log
21.05.2008 22:23 69 NeroDigital.ini
14.05.2008 22:38 13.596 KB950749.log

Verzeichnis von C:\DOKUME~1\Daniela\LOKALE~1\Temp

31.07.2008 09:05 159.637 jusched.log
31.07.2008 09:00 1.449.984 tmp2.tmp
31.07.2008 09:00 16.384 ~DF11EA.tmp
31.07.2008 09:00 0 JETBD35.tmp
30.07.2008 21:50 16.384 ~DFE648.tmp
30.07.2008 21:38 16.384 ~DFA671.tmp
30.07.2008 20:17 16.384 ~DFC92.tmp
30.07.2008 18:39 16.384 ~DF3996.tmp
29.07.2008 19:13 2.048.000 Acr2C.tmp
29.07.2008 19:07 426 Acr32.tmp
29.07.2008 18:13 0 nht16.tmp
29.07.2008 18:13 0 vk215.tmp
29.07.2008 17:07 16.384 ~DF42AF.tmp
25.07.2008 19:55 51.864 62e7_appcompat.txt
22.07.2008 18:32 51.864 19d3_appcompat.txt
20.07.2008 18:42 51.864 8547_appcompat.txt
20.07.2008 16:26 16.384 ~DFC494.tmp
17.07.2008 22:46 51.864 3c95_appcompat.txt
16.07.2008 19:52 51.864 96fb_appcompat.txt
15.07.2008 20:11 51.864 4878_appcompat.txt
12.07.2008 19:25 16.384 ~DF28A6.tmp
11.07.2008 20:59 51.864 8925_appcompat.txt
11.07.2008 19:13 19.456 ~WRD0004.doc
11.07.2008 17:21 16.384 ~DF1C91.tmp
11.07.2008 14:21 16.384 ~DF2E0E.tmp
11.07.2008 09:21 16.384 ~DF90B0.tmp
09.07.2008 19:31 16.384 ~DF18EB.tmp
07.07.2008 14:46 16.384 ~DFDDB5.tmp
03.07.2008 18:32 16.384 ~DF32D2.tmp
01.07.2008 22:47 50.180 ae47_appcompat.txt
30.06.2008 18:03 16.384 ~DF1138.tmp
28.06.2008 08:12 16.384 ~DF14B5.tmp
27.06.2008 20:11 51.864 f73e_appcompat.txt
26.06.2008 20:44 16.384 ~DF29A3.tmp
26.06.2008 20:39 51.864 9d84_appcompat.txt
25.06.2008 17:33 16.384 ~DFD328.tmp
25.06.2008 15:26 16.384 Perflib_Perfdata_c80.dat
22.06.2008 21:19 51.864 2652_appcompat.txt
21.06.2008 10:03 16.384 ~DFF394.tmp
15.06.2008 20:34 51.864 48ce_appcompat.txt
15.06.2008 20:31 28.948 dfc2_appcompat.txt
12.06.2008 22:39 51.864 5b9c_appcompat.txt
12.06.2008 20:47 16.384 ~DF5331.tmp
09.06.2008 20:22 16.384 ~DF497D.tmp
08.06.2008 19:12 51.864 8945_appcompat.txt
03.06.2008 22:23 51.864 78c0_appcompat.txt
03.06.2008 10:51 16.384 ~DF166C.tmp
03.06.2008 08:03 16.384 ~DFF557.tmp
31.05.2008 09:17 16.384 ~DF173C.tmp
30.05.2008 19:54 51.864 1584_appcompat.txt
29.05.2008 20:57 8.872 wecerr.txt
28.05.2008 18:10 16.384 ~DFE767.tmp
25.05.2008 18:59 16.384 ~DFD2F4.tmp
25.05.2008 18:51 26.458.856 fla29.tmp
25.05.2008 18:35 24.378.421 fla27.tmp
25.05.2008 17:50 16.384 Perflib_Perfdata_c78.dat
24.05.2008 09:22 16.384 ~DF2090.tmp
23.05.2008 19:16 32.394 fe7c_appcompat.txt
21.05.2008 17:22 32.394 3527_appcompat.txt
20.05.2008 22:03 51.864 2d29_appcompat.txt
18.05.2008 22:27 51.864 c6c0_appcompat.txt
18.05.2008 20:41 3.288 java_install_reg.log
16.05.2008 22:27 32.394 9d5_appcompat.txt
12.05.2008 09:11 16.384 ~DF2174.tmp
09.05.2008 21:03 51.864 c8f7_appcompat.txt
09.05.2008 19:50 16.384 ~DF195B.tmp
08.05.2008 20:35 16.384 ~DF416.tmp
07.05.2008 21:18 16.384 ~DFC1.tmp
07.05.2008 07:54 16.384 ~DFE9E9.tmp
06.05.2008 20:38 16.384 ~DF2343.tmp
02.05.2008 19:50 16.384 ~DF50ED.tmp


Ich habe mich nicht getraut Combofix zu benutzen, weil da eine Ansage kommt, dass einer von hundert Rechnern dabei kaputt geht... Vielleicht kann man ja so schon was erkennen.

Würde mich sehr freuen, wenn mir jemand weiterhelfen könnte, da ich nicht mehr weiter weiß...
Seitenanfang Seitenende
31.07.2008, 10:05
Member

Beiträge: 202
#2 dann mach erst mal nen scann mit malwarebytes
http://virus-protect.org/artikel/tools/malwarebytes.html

Aber bei jeder reinigung ist ein gewisses risiko vorhanden das windows beschädigt würd.

Also würde ich das risiko mit combofix eingehen alles von hand zu löschen ist sehr sehr aufwendig
Seitenanfang Seitenende
31.07.2008, 17:13
...neu hier

Themenstarter

Beiträge: 8
#3 Hier das Ergebnis des Virenscans mit malwarebytes:

Malwarebytes' Anti-Malware 1.23
Datenbank Version: 1008
Windows 5.1.2600 Service Pack 2

16:22:01 31.07.2008
mbam-log-7-31-2008 (16-22-01).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 75521
Laufzeit: 26 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 5
Infizierte Dateien: 14

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Quarantine (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Registry Backups (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Settings (Rogue.SpywareBot) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log\log_2008_01_03_17_54_36.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log\log_2008_01_03_17_54_38.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log\log_2008_01_03_19_31_25.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log\log_2008_01_03_19_31_26.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log\log_2008_01_03_19_50_03.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log\log_2008_01_03_20_14_56.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log\log_2008_01_03_20_57_14.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log\log_2008_01_03_20_57_15.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Settings\CustomScan.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Settings\IgnoreList.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Settings\ScanInfo.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Settings\ScanResults.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Settings\SelectedFolders.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Settings\Settings.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully.



Combofix hat die oben von mir angegebene Datei gelöscht:


ComboFix 08-07-30.02 - Daniela 2008-07-31 16:32:20.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.601 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Daniela\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Daniela\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOKUME~1\Daniela\LOKALE~1\Temp\tmp2.tmp
C:\sys.txt

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-28 bis 2008-07-31 ))))))))))))))))))))))))))))))
.

2008-07-31 09:31 . 2008-07-31 09:31 <DIR> d-------- C:\Programme\CCleaner
2008-07-30 20:49 . 2008-07-30 20:49 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-30 20:49 . 2008-07-30 20:49 <DIR> d-------- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Malwarebytes
2008-07-30 20:49 . 2008-07-30 20:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-30 20:49 . 2008-07-23 20:09 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-30 20:49 . 2008-07-23 20:09 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-11 20:49 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-31 14:45 --------- d-----w C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\AdobeUM
2008-07-26 17:26 --------- d-----w C:\Programme\XoftSpySE
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 08:18 307200]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-04 21:32 68856]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 12:55 5674352]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 14:27 176128]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 17:50 671796]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-02-09 14:06 7405568]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 17:11 925696]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-07 23:44 761947]
"RestoreIT!"="C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" [2004-09-23 19:27 114688]
"MagicKeyboard"="C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2005-04-11 13:01 151552]
"BatteryManager"="C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [2006-04-25 14:05 2764800]
"AVStation Premium 3.75"="C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe" [2006-04-27 13:56 155648]
"DisplayManager"="C:\Programme\Samsung\DisplayManager\DMLoader.exe" [2006-03-29 09:43 1118208]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-31 19:43 185896]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2007-02-15 10:04 282624]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"nwiz"="nwiz.exe" [2006-02-09 14:06 1519616 C:\WINDOWS\system32\nwiz.exe]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-12 23:50 88204 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 14:27 176128]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 17:50 671796]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 RITCPT;RITCPT;C:\WINDOWS\system32\drivers\RITCPT.sys [2004-05-18 23:43]
R1 SAVOnAccess Control;SAVOnAccess Control;C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2007-04-29 13:18]
R1 SAVOnAccess Filter;SAVOnAccess Filter;C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2007-04-29 13:18]
R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [2000-08-23 18:19]
R2 FBAPI;FBAPI;C:\WINDOWS\system32\drivers\FBAPI.sys [2004-05-18 23:43]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 16:16]
R2 SNM WLAN Service;SNM WLAN Service;C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe [2005-05-28 08:35]
R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 08:14]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 14:03]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 13:46]
S3 SUEPD;SUE NDIS Protocol Driver;C:\WINDOWS\system32\DRIVERS\SUE_PD.sys [2005-05-24 15:26]
.
Inhalt des "geplante Tasks" Ordners

2007-12-30 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1158009444.job
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-06 00:52]

2007-12-30 C:\WINDOWS\Tasks\WebReg 20071230231808.job
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe [2003-04-06 01:01]

2008-07-31 C:\WINDOWS\Tasks\XoftSpySE 2.job
- C:\Programme\XoftSpySE\XoftSpy.exe [2007-07-13 17:43]

2007-08-27 C:\WINDOWS\Tasks\XoftSpySE.job
- C:\Programme\XoftSpySE\XoftSpy.exe [2007-07-13 17:43]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-farstone - (no file)
HKLM-Run-ReslanSelfReg - (no file)


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Mozilla\Firefox\Profiles\dh021k3l.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-31 16:45:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"T-Online_Software_6\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Samsung\DisplayManager\DisplayManager.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\InfoCockpit.exe
C:\Programme\Samsung\MagicKBD\MagicKBD.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposts08.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-31 16:48:47 - PC wurde neu gestartet [Daniela]
ComboFix-quarantined-files.txt 2008-07-31 14:48:44
ComboFix2.txt 2007-04-23 16:50:37

Pre-Run: 13 Verzeichnis(se), 97,742,778,368 Bytes frei
Post-Run: 15 Verzeichnis(se), 97,853,997,056 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

158 --- E O F --- 2008-07-08 20:55:37




Leider habe ich jetzt aber irgendwie einen anderen Trojaner auf dem Computer (Olinegames SEI Trojan) unter dem Pfad c:\dokumente und einstellungen\user\lokale einstellungen\temp\tmp3.tmp, der sich ebenso wie der Trojaner davor nicht löschen lässt. Daneben habe ich einen Registry Key von Kazaa auf dem Rechner (dabei verwende ich das Programm nicht einmal). Combofix kann das nicht entfernen.

Habe deshalb noch einmal neue Logfiles mit HijackThis und Datfindbat erstellt:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:59:23, on 31.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\WINDOWS\explorer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Dokumente und Einstellungen\Daniela\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-konstanz.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-konstanz.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://wpac.cf.ac.uk/resicache.pac
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [AVStation Premium 3.75] C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
O4 - HKLM\..\Run: [DisplayManager] C:\Programme\Samsung\DisplayManager\DMLoader.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://Download.Windowsupdate.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe

--
End of file - 9491 bytes



Von datfindbat:



Verzeichnis von c:\

31.07.2008 16:59 0 dirdat.txt
31.07.2008 16:58 9.494 ComboFix.txt
31.07.2008 16:45 73 cj.ini
31.07.2008 16:45 1.071.828.992 hiberfil.sys
31.07.2008 16:44 1.610.612.736 pagefile.sys
31.07.2008 16:43 268 sqmdata00.sqm
31.07.2008 16:43 244 sqmnoopt00.sqm
31.07.2008 16:32 281 boot.ini
31.07.2008 10:09 268 sqmdata19.sqm
31.07.2008 10:09 244 sqmnoopt19.sqm
31.07.2008 10:09 522 hpfr3420.xml
31.07.2008 10:09 131.763 hpfr3425.log
30.07.2008 21:53 268 sqmdata18.sqm
30.07.2008 21:53 244 sqmnoopt18.sqm
30.07.2008 21:40 268 sqmdata17.sqm
30.07.2008 21:40 244 sqmnoopt17.sqm
30.07.2008 21:26 268 sqmdata16.sqm
30.07.2008 21:26 244 sqmnoopt16.sqm
30.07.2008 19:57 268 sqmdata15.sqm
30.07.2008 19:57 244 sqmnoopt15.sqm
29.07.2008 19:13 268 sqmdata14.sqm
29.07.2008 19:13 244 sqmnoopt14.sqm
28.07.2008 19:09 268 sqmdata13.sqm
28.07.2008 19:09 244 sqmnoopt13.sqm
27.07.2008 19:45 268 sqmdata12.sqm
27.07.2008 19:45 244 sqmnoopt12.sqm
26.07.2008 20:09 268 sqmdata11.sqm
26.07.2008 20:09 244 sqmnoopt11.sqm
25.07.2008 19:55 268 sqmdata10.sqm
25.07.2008 19:55 244 sqmnoopt10.sqm
24.07.2008 19:14 268 sqmdata09.sqm
24.07.2008 19:14 244 sqmnoopt09.sqm
23.07.2008 20:05 268 sqmdata08.sqm
23.07.2008 20:05 244 sqmnoopt08.sqm
22.07.2008 18:32 268 sqmdata07.sqm
22.07.2008 18:32 244 sqmnoopt07.sqm
21.07.2008 18:31 268 sqmdata06.sqm
21.07.2008 18:31 244 sqmnoopt06.sqm
20.07.2008 18:42 268 sqmdata05.sqm
20.07.2008 18:42 244 sqmnoopt05.sqm
18.07.2008 20:08 268 sqmdata04.sqm
18.07.2008 20:08 244 sqmnoopt04.sqm
17.07.2008 22:46 268 sqmdata03.sqm
17.07.2008 22:46 244 sqmnoopt03.sqm
16.07.2008 19:52 268 sqmdata02.sqm
16.07.2008 19:52 244 sqmnoopt02.sqm
15.07.2008 20:11 268 sqmdata01.sqm
15.07.2008 20:11 244 sqmnoopt01.sqm

Verzeichnis von C:\WINDOWS\system32

31.07.2008 16:51 380.684 perfh009.dat
31.07.2008 16:51 391.574 perfh007.dat
31.07.2008 16:51 53.098 perfc009.dat
31.07.2008 16:51 63.976 perfc007.dat
31.07.2008 16:50 897.778 PerfStringBackup.INI
31.07.2008 16:47 1.158 wpa.dbl
31.07.2008 16:45 45.378 nvapps.xml
20.06.2008 19:39 247.296 mswsock.dll
20.06.2008 19:39 148.992 dnsapi.dll
30.05.2008 01:35 17.486.968 MRT.exe
07.05.2008 07:14 1.293.312 quartz.dll


Verzeichnis von C:\WINDOWS

31.07.2008 16:57 227 system.ini
31.07.2008 16:48 1.495.437 WindowsUpdate.log
31.07.2008 16:46 0 0.log
31.07.2008 16:46 159 wiadebug.log
31.07.2008 16:46 50 wiaservc.log
31.07.2008 16:45 2.048 bootstat.dat
31.07.2008 16:43 32.636 SchedLgU.Txt
31.07.2008 16:24 919 win.ini
30.07.2008 21:42 1.000.908 ntbtlog.txt
11.07.2008 10:55 945.669 setupapi.log
08.07.2008 22:55 324.050 comsetup.log
08.07.2008 22:55 194.922 ntdtcsetup.log
08.07.2008 22:55 150.238 iis6.log
08.07.2008 22:55 364.651 tsoc.log
08.07.2008 22:55 52.185 ocmsn.log
08.07.2008 22:55 1.355 imsins.log
08.07.2008 22:55 17.731 KB951748.log
08.07.2008 22:55 47.221 msgsocm.log
08.07.2008 22:55 452.085 ocgen.log
08.07.2008 22:55 938.990 FaxSetup.log
08.07.2008 22:55 92.138 updspapi.log
20.06.2008 20:41 1.374 imsins.BAK
20.06.2008 20:41 8.108 KB951376-v2.log
12.06.2008 22:41 18.186 KB950759-IE7.log
11.06.2008 22:38 11.746 KB951698.log
11.06.2008 22:38 8.108 KB950762.log
11.06.2008 22:38 6.327 KB950760.log
11.06.2008 22:38 7.728 KB951376.log
27.05.2008 23:08 10.381 KB932823-v3.log
21.05.2008 22:23 69 NeroDigital.ini
14.05.2008 22:38 13.596 KB950749.log


Verzeichnis von C:\DOKUME~1\Daniela\LOKALE~1\Temp

31.07.2008 16:48 1.449.984 tmp3.tmp
31.07.2008 16:48 16.384 ~DFEBD0.tmp
31.07.2008 16:45 0 JETCD71.tmp



Würde mich sehr freuen, wenn mir jemand weiterhelfen könnte! Vielen Dank schon mal im Voraus.
Seitenanfang Seitenende
31.07.2008, 17:31
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Systemwiederherstellung
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung -->
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

Java
Dein Java software ist veraltet,
Download Java Runtime Environment (JRE) 6u7 zum Desktop

Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u7-windows-i586-p-s.exe

Malwarebytes'Anti-malware darfst du behalten ;)
__________
MfG Argus
Seitenanfang Seitenende
31.07.2008, 18:21
...neu hier

Themenstarter

Beiträge: 8
#5 Ok, danke, ich hab jetzt das neue Java installiert.

Leider hat sich aber die Datei mit dem Trojaner doch wieder neu erstellt, nachdem Combofix sie gelöscht hatte :-(. Ich glaube Combofix hat die tmp2.tmp-Datei nur in die tmp3.tmp-Datei umgewandelt, denn als ich die tmp3.tmp-Datei im abgesicherten Modus gelöscht hatte, war sie zwar weg, dafür aber die tmp2.tmp-Datei wieder da.

Außerdem wird mir von meinem Virenscanner noch ein Registry Key von Kazaa angezeigt.

Wie werde ich das wieder los?
Seitenanfang Seitenende
31.07.2008, 20:45
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 SDFix
Download SDFix zum Desktop

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread
__________
MfG Argus
Seitenanfang Seitenende
01.08.2008, 08:58
...neu hier

Themenstarter

Beiträge: 8
#7 Danke für deine Hilfe. SDFix hat die tmp2.tmp-Datei zwar gelöscht, sie dabei aber anscheinend nur in eine tmp5.tmp-Datei umgewandelt, die mir ebenfalls als Trojaner gemeldet wird. Ich habe die tmp5.tmp-Datei dann im abgesicherten Modus gelöscht, daraufhin war wieder die tmp2.tmp-Datei da ;).

Zur Zusammenfassung:
Als ich die tmp2-Datei mit Combofix gelöscht habe, war danach eine tmp3-Datei und ein Registry Key von Kazaa auf meinem Rechner (der registry key ist jetzt immer noch drauf).

Als die tmp2-Datei von SDFix gelöscht wurde, entstand eine tmp5-Datei und ein Cookie von easyad. Der Cookie war allerdings mit weg, nachdem ich die tmp5-Datei gelöscht habe.

Nach dem Neustart kam im Fenster von SDFix folgende Nachricht:
Foundsvc.txt kann nicht gefunden werden.

Hier auch noch das Log von SDFix:


SDFix: Version 1.211
Run by Daniela on 01.08.2008 at 08:24

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\Daniela\Desktop\SDFix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\DOKUME~1\Daniela\LOKALE~1\Temp\tmp2.tmp - Deleted
C:\DOKUME~1\Daniela\LOKALE~1\Temp\tmp2.tmp - Deleted
C:\WINDOWS\system32\nvrsul32.dll - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-01 08:29:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0010c67f3bc9]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0010c67f3bc9]

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\25FB6C90ABD679A499936B2CE47483FB\Usage]
"SAVService"=dword:39011bf4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\BE814C515767eb242B3B829125AD10D4\Usage]
"Main"=dword:39014aac
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000000
"TracesSuccessful"=dword:00000000
"LastTraceFailure"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19]
"RefCount"=dword:00000003

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :


File Backups: - C:\DOKUME~1\Daniela\Desktop\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 27 Jul 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\BITA.tmp"

Finished!



Aber der Trojaner ist ja mittlerweile leider wieder drauf... Bekommt man den überhaupt jemals wieder weg, wenn er sich einfach immer in einen anderen Trojaner umwandelt oder was ist das?
Seitenanfang Seitenende