Wie kann man Xorpix ES Trojan entfernen? |
||
---|---|---|
#0
| ||
31.07.2008, 10:00
...neu hier
Beiträge: 8 |
||
|
||
31.07.2008, 10:05
Member
Beiträge: 202 |
#2
dann mach erst mal nen scann mit malwarebytes
http://virus-protect.org/artikel/tools/malwarebytes.html Aber bei jeder reinigung ist ein gewisses risiko vorhanden das windows beschädigt würd. Also würde ich das risiko mit combofix eingehen alles von hand zu löschen ist sehr sehr aufwendig |
|
|
||
31.07.2008, 17:13
...neu hier
Themenstarter Beiträge: 8 |
#3
Hier das Ergebnis des Virenscans mit malwarebytes:
Malwarebytes' Anti-Malware 1.23 Datenbank Version: 1008 Windows 5.1.2600 Service Pack 2 16:22:01 31.07.2008 mbam-log-7-31-2008 (16-22-01).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 75521 Laufzeit: 26 minute(s), 33 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 5 Infizierte Dateien: 14 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Quarantine (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Registry Backups (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Settings (Rogue.SpywareBot) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log\log_2008_01_03_17_54_36.log (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log\log_2008_01_03_17_54_38.log (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log\log_2008_01_03_19_31_25.log (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log\log_2008_01_03_19_31_26.log (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log\log_2008_01_03_19_50_03.log (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log\log_2008_01_03_20_14_56.log (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log\log_2008_01_03_20_57_14.log (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Log\log_2008_01_03_20_57_15.log (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Settings\CustomScan.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Settings\IgnoreList.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Settings\ScanInfo.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Settings\ScanResults.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Settings\SelectedFolders.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SpywareBot\Settings\Settings.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully. Combofix hat die oben von mir angegebene Datei gelöscht: ComboFix 08-07-30.02 - Daniela 2008-07-31 16:32:20.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.601 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Daniela\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Daniela\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\DOKUME~1\Daniela\LOKALE~1\Temp\tmp2.tmp C:\sys.txt . ((((((((((((((((((((((( Dateien erstellt von 2008-06-28 bis 2008-07-31 )))))))))))))))))))))))))))))) . 2008-07-31 09:31 . 2008-07-31 09:31 <DIR> d-------- C:\Programme\CCleaner 2008-07-30 20:49 . 2008-07-30 20:49 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-30 20:49 . 2008-07-30 20:49 <DIR> d-------- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Malwarebytes 2008-07-30 20:49 . 2008-07-30 20:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-30 20:49 . 2008-07-23 20:09 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-07-30 20:49 . 2008-07-23 20:09 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-11 20:49 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-31 14:45 --------- d-----w C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\AdobeUM 2008-07-26 17:26 --------- d-----w C:\Programme\XoftSpySE 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 17:57 273,024 ----a-w C:\WINDOWS\system32\drivers\bthport.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 08:18 307200] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-04 21:32 68856] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 12:55 5674352] "InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 14:27 176128] "T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 17:50 671796] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-02-09 14:06 7405568] "SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 17:11 925696] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-07 23:44 761947] "RestoreIT!"="C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" [2004-09-23 19:27 114688] "MagicKeyboard"="C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2005-04-11 13:01 151552] "BatteryManager"="C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [2006-04-25 14:05 2764800] "AVStation Premium 3.75"="C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe" [2006-04-27 13:56 155648] "DisplayManager"="C:\Programme\Samsung\DisplayManager\DMLoader.exe" [2006-03-29 09:43 1118208] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-31 19:43 185896] "ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2007-02-15 10:04 282624] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 14:00 110592 C:\WINDOWS\system32\bthprops.cpl] "nwiz"="nwiz.exe" [2006-02-09 14:06 1519616 C:\WINDOWS\system32\nwiz.exe] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe] "AGRSMMSG"="AGRSMMSG.exe" [2005-12-12 23:50 88204 C:\WINDOWS\AGRSMMSG.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] "InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 14:27 176128] "T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 17:50 671796] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService] @="service" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R0 RITCPT;RITCPT;C:\WINDOWS\system32\drivers\RITCPT.sys [2004-05-18 23:43] R1 SAVOnAccess Control;SAVOnAccess Control;C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2007-04-29 13:18] R1 SAVOnAccess Filter;SAVOnAccess Filter;C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2007-04-29 13:18] R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [2000-08-23 18:19] R2 FBAPI;FBAPI;C:\WINDOWS\system32\drivers\FBAPI.sys [2004-05-18 23:43] R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 16:16] R2 SNM WLAN Service;SNM WLAN Service;C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe [2005-05-28 08:35] R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 08:14] S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 14:03] S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 13:46] S3 SUEPD;SUE NDIS Protocol Driver;C:\WINDOWS\system32\DRIVERS\SUE_PD.sys [2005-05-24 15:26] . Inhalt des "geplante Tasks" Ordners 2007-12-30 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1158009444.job - C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-06 00:52] 2007-12-30 C:\WINDOWS\Tasks\WebReg 20071230231808.job - C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe [2003-04-06 01:01] 2008-07-31 C:\WINDOWS\Tasks\XoftSpySE 2.job - C:\Programme\XoftSpySE\XoftSpy.exe [2007-07-13 17:43] 2007-08-27 C:\WINDOWS\Tasks\XoftSpySE.job - C:\Programme\XoftSpySE\XoftSpy.exe [2007-07-13 17:43] . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - HKLM-Run-farstone - (no file) HKLM-Run-ReslanSelfReg - (no file) . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Mozilla\Firefox\Profiles\dh021k3l.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-31 16:45:36 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "T-Online_Software_6\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized" . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Samsung\DisplayManager\DisplayManager.exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\InfoCockpit.exe C:\Programme\Samsung\MagicKBD\MagicKBD.exe C:\Programme\Sophos\AutoUpdate\ALMon.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe C:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposts08.exe C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINDOWS\system32\verclsid.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-31 16:48:47 - PC wurde neu gestartet [Daniela] ComboFix-quarantined-files.txt 2008-07-31 14:48:44 ComboFix2.txt 2007-04-23 16:50:37 Pre-Run: 13 Verzeichnis(se), 97,742,778,368 Bytes frei Post-Run: 15 Verzeichnis(se), 97,853,997,056 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons 158 --- E O F --- 2008-07-08 20:55:37 Leider habe ich jetzt aber irgendwie einen anderen Trojaner auf dem Computer (Olinegames SEI Trojan) unter dem Pfad c:\dokumente und einstellungen\user\lokale einstellungen\temp\tmp3.tmp, der sich ebenso wie der Trojaner davor nicht löschen lässt. Daneben habe ich einen Registry Key von Kazaa auf dem Rechner (dabei verwende ich das Programm nicht einmal). Combofix kann das nicht entfernen. Habe deshalb noch einmal neue Logfiles mit HijackThis und Datfindbat erstellt: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:59:23, on 31.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\Sophos\AutoUpdate\ALMon.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe C:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Samsung\Samsung Update Plus\SLUTrayNotifier.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\WINDOWS\explorer.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe C:\Dokumente und Einstellungen\Daniela\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-konstanz.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-konstanz.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://wpac.cf.ac.uk/resicache.pac O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe O4 - HKLM\..\Run: [AVStation Premium 3.75] C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe O4 - HKLM\..\Run: [DisplayManager] C:\Programme\Samsung\DisplayManager\DMLoader.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0 O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://Download.Windowsupdate.com O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe -- End of file - 9491 bytes Von datfindbat: Verzeichnis von c:\ 31.07.2008 16:59 0 dirdat.txt 31.07.2008 16:58 9.494 ComboFix.txt 31.07.2008 16:45 73 cj.ini 31.07.2008 16:45 1.071.828.992 hiberfil.sys 31.07.2008 16:44 1.610.612.736 pagefile.sys 31.07.2008 16:43 268 sqmdata00.sqm 31.07.2008 16:43 244 sqmnoopt00.sqm 31.07.2008 16:32 281 boot.ini 31.07.2008 10:09 268 sqmdata19.sqm 31.07.2008 10:09 244 sqmnoopt19.sqm 31.07.2008 10:09 522 hpfr3420.xml 31.07.2008 10:09 131.763 hpfr3425.log 30.07.2008 21:53 268 sqmdata18.sqm 30.07.2008 21:53 244 sqmnoopt18.sqm 30.07.2008 21:40 268 sqmdata17.sqm 30.07.2008 21:40 244 sqmnoopt17.sqm 30.07.2008 21:26 268 sqmdata16.sqm 30.07.2008 21:26 244 sqmnoopt16.sqm 30.07.2008 19:57 268 sqmdata15.sqm 30.07.2008 19:57 244 sqmnoopt15.sqm 29.07.2008 19:13 268 sqmdata14.sqm 29.07.2008 19:13 244 sqmnoopt14.sqm 28.07.2008 19:09 268 sqmdata13.sqm 28.07.2008 19:09 244 sqmnoopt13.sqm 27.07.2008 19:45 268 sqmdata12.sqm 27.07.2008 19:45 244 sqmnoopt12.sqm 26.07.2008 20:09 268 sqmdata11.sqm 26.07.2008 20:09 244 sqmnoopt11.sqm 25.07.2008 19:55 268 sqmdata10.sqm 25.07.2008 19:55 244 sqmnoopt10.sqm 24.07.2008 19:14 268 sqmdata09.sqm 24.07.2008 19:14 244 sqmnoopt09.sqm 23.07.2008 20:05 268 sqmdata08.sqm 23.07.2008 20:05 244 sqmnoopt08.sqm 22.07.2008 18:32 268 sqmdata07.sqm 22.07.2008 18:32 244 sqmnoopt07.sqm 21.07.2008 18:31 268 sqmdata06.sqm 21.07.2008 18:31 244 sqmnoopt06.sqm 20.07.2008 18:42 268 sqmdata05.sqm 20.07.2008 18:42 244 sqmnoopt05.sqm 18.07.2008 20:08 268 sqmdata04.sqm 18.07.2008 20:08 244 sqmnoopt04.sqm 17.07.2008 22:46 268 sqmdata03.sqm 17.07.2008 22:46 244 sqmnoopt03.sqm 16.07.2008 19:52 268 sqmdata02.sqm 16.07.2008 19:52 244 sqmnoopt02.sqm 15.07.2008 20:11 268 sqmdata01.sqm 15.07.2008 20:11 244 sqmnoopt01.sqm Verzeichnis von C:\WINDOWS\system32 31.07.2008 16:51 380.684 perfh009.dat 31.07.2008 16:51 391.574 perfh007.dat 31.07.2008 16:51 53.098 perfc009.dat 31.07.2008 16:51 63.976 perfc007.dat 31.07.2008 16:50 897.778 PerfStringBackup.INI 31.07.2008 16:47 1.158 wpa.dbl 31.07.2008 16:45 45.378 nvapps.xml 20.06.2008 19:39 247.296 mswsock.dll 20.06.2008 19:39 148.992 dnsapi.dll 30.05.2008 01:35 17.486.968 MRT.exe 07.05.2008 07:14 1.293.312 quartz.dll Verzeichnis von C:\WINDOWS 31.07.2008 16:57 227 system.ini 31.07.2008 16:48 1.495.437 WindowsUpdate.log 31.07.2008 16:46 0 0.log 31.07.2008 16:46 159 wiadebug.log 31.07.2008 16:46 50 wiaservc.log 31.07.2008 16:45 2.048 bootstat.dat 31.07.2008 16:43 32.636 SchedLgU.Txt 31.07.2008 16:24 919 win.ini 30.07.2008 21:42 1.000.908 ntbtlog.txt 11.07.2008 10:55 945.669 setupapi.log 08.07.2008 22:55 324.050 comsetup.log 08.07.2008 22:55 194.922 ntdtcsetup.log 08.07.2008 22:55 150.238 iis6.log 08.07.2008 22:55 364.651 tsoc.log 08.07.2008 22:55 52.185 ocmsn.log 08.07.2008 22:55 1.355 imsins.log 08.07.2008 22:55 17.731 KB951748.log 08.07.2008 22:55 47.221 msgsocm.log 08.07.2008 22:55 452.085 ocgen.log 08.07.2008 22:55 938.990 FaxSetup.log 08.07.2008 22:55 92.138 updspapi.log 20.06.2008 20:41 1.374 imsins.BAK 20.06.2008 20:41 8.108 KB951376-v2.log 12.06.2008 22:41 18.186 KB950759-IE7.log 11.06.2008 22:38 11.746 KB951698.log 11.06.2008 22:38 8.108 KB950762.log 11.06.2008 22:38 6.327 KB950760.log 11.06.2008 22:38 7.728 KB951376.log 27.05.2008 23:08 10.381 KB932823-v3.log 21.05.2008 22:23 69 NeroDigital.ini 14.05.2008 22:38 13.596 KB950749.log Verzeichnis von C:\DOKUME~1\Daniela\LOKALE~1\Temp 31.07.2008 16:48 1.449.984 tmp3.tmp 31.07.2008 16:48 16.384 ~DFEBD0.tmp 31.07.2008 16:45 0 JETCD71.tmp Würde mich sehr freuen, wenn mir jemand weiterhelfen könnte! Vielen Dank schon mal im Voraus. |
|
|
||
31.07.2008, 17:31
Ehrenmitglied
Beiträge: 6028 |
#4
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK Systemwiederherstellung Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren Java Dein Java software ist veraltet, Download Java Runtime Environment (JRE) 6u7 zum Desktop Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software Die aeltere Versionen von Java Runtime Environment (JRE of J2SE) Nachdem alles entfernt wurde --->Rechner neu starten Schliesse alle Programme auch dein Webbrowser Installiere jetzt vom Desktop aus ---> jre-6u7-windows-i586-p-s.exe Malwarebytes'Anti-malware darfst du behalten __________ MfG Argus |
|
|
||
31.07.2008, 18:21
...neu hier
Themenstarter Beiträge: 8 |
#5
Ok, danke, ich hab jetzt das neue Java installiert.
Leider hat sich aber die Datei mit dem Trojaner doch wieder neu erstellt, nachdem Combofix sie gelöscht hatte :-(. Ich glaube Combofix hat die tmp2.tmp-Datei nur in die tmp3.tmp-Datei umgewandelt, denn als ich die tmp3.tmp-Datei im abgesicherten Modus gelöscht hatte, war sie zwar weg, dafür aber die tmp2.tmp-Datei wieder da. Außerdem wird mir von meinem Virenscanner noch ein Registry Key von Kazaa angezeigt. Wie werde ich das wieder los? |
|
|
||
31.07.2008, 20:45
Ehrenmitglied
Beiträge: 6028 |
#6
SDFix
Download SDFix zum Desktop Starte dein Recher in abgesicherten Modus SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklick RunThis.bat Schreibe: Y folge allen Anweisungen Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread __________ MfG Argus |
|
|
||
01.08.2008, 08:58
...neu hier
Themenstarter Beiträge: 8 |
#7
Danke für deine Hilfe. SDFix hat die tmp2.tmp-Datei zwar gelöscht, sie dabei aber anscheinend nur in eine tmp5.tmp-Datei umgewandelt, die mir ebenfalls als Trojaner gemeldet wird. Ich habe die tmp5.tmp-Datei dann im abgesicherten Modus gelöscht, daraufhin war wieder die tmp2.tmp-Datei da .
Zur Zusammenfassung: Als ich die tmp2-Datei mit Combofix gelöscht habe, war danach eine tmp3-Datei und ein Registry Key von Kazaa auf meinem Rechner (der registry key ist jetzt immer noch drauf). Als die tmp2-Datei von SDFix gelöscht wurde, entstand eine tmp5-Datei und ein Cookie von easyad. Der Cookie war allerdings mit weg, nachdem ich die tmp5-Datei gelöscht habe. Nach dem Neustart kam im Fenster von SDFix folgende Nachricht: Foundsvc.txt kann nicht gefunden werden. Hier auch noch das Log von SDFix: SDFix: Version 1.211 Run by Daniela on 01.08.2008 at 08:24 Microsoft Windows XP [Version 5.1.2600] Running From: C:\DOKUME~1\Daniela\Desktop\SDFix\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\DOKUME~1\Daniela\LOKALE~1\Temp\tmp2.tmp - Deleted C:\DOKUME~1\Daniela\LOKALE~1\Temp\tmp2.tmp - Deleted C:\WINDOWS\system32\nvrsul32.dll - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-01 08:29:23 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0010c67f3bc9] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0010c67f3bc9] scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\25FB6C90ABD679A499936B2CE47483FB\Usage] "SAVService"=dword:39011bf4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\BE814C515767eb242B3B829125AD10D4\Usage] "Main"=dword:39014aac [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] "TracesProcessed"=dword:00000000 "TracesSuccessful"=dword:00000000 "LastTraceFailure"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19] "RefCount"=dword:00000003 scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files : File Backups: - C:\DOKUME~1\Daniela\Desktop\SDFix\SDFix\backups\backups.zip Files with Hidden Attributes : Sun 27 Jul 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\BITA.tmp" Finished! Aber der Trojaner ist ja mittlerweile leider wieder drauf... Bekommt man den überhaupt jemals wieder weg, wenn er sich einfach immer in einen anderen Trojaner umwandelt oder was ist das? |
|
|
||
mir wird seit gestern gemeldet, dass sich unter c:\dokumente und einstellungen\user\lokale einstellungen\temp\tmp2.tmp ein Trojaner befinde. Leider lässt sich die Datei in dem Ordner Temp nicht löschen. Wenn man sie verschiebt und anschließend löscht, erstellt sie sich zur gleichen Zeit am ursprünglichen Ort wieder neu. Habe auch schon versucht sie im abgesicherten Modus zu löschen. Das funktioniert auch, aber wenn ich den Rechner danach hochfahre, ist sie wieder da...
Hier mein HijackThis Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:17:09, on 31.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Samsung\DisplayManager\DisplayManager.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\TEMP\sophos_autoupdate1.dir\alupdate.exe
C:\Dokumente und Einstellungen\Daniela\Eigene Dateien\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-konstanz.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [AVStation Premium 3.75] C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
O4 - HKLM\..\Run: [DisplayManager] C:\Programme\Samsung\DisplayManager\DMLoader.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://Download.Windowsupdate.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C5E943A-251B-4B20-B5B1-16D1775CA686}: NameServer = 217.237.150.188 217.237.151.142
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C5E943A-251B-4B20-B5B1-16D1775CA686}: NameServer = 217.237.150.188 217.237.151.142
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
--
End of file - 9960 bytes
Die Logfiles von Datfindbat:
Verzeichnis von c:\
31.07.2008 09:20 0 dirdat.txt
31.07.2008 09:00 73 cj.ini
31.07.2008 09:00 1.071.828.992 hiberfil.sys
31.07.2008 09:00 1.610.612.736 pagefile.sys
30.07.2008 21:53 268 sqmdata18.sqm
30.07.2008 21:53 244 sqmnoopt18.sqm
30.07.2008 21:40 268 sqmdata17.sqm
30.07.2008 21:40 244 sqmnoopt17.sqm
30.07.2008 21:26 268 sqmdata16.sqm
30.07.2008 21:26 244 sqmnoopt16.sqm
30.07.2008 19:57 268 sqmdata15.sqm
30.07.2008 19:57 244 sqmnoopt15.sqm
29.07.2008 19:13 268 sqmdata14.sqm
29.07.2008 19:13 244 sqmnoopt14.sqm
28.07.2008 19:09 268 sqmdata13.sqm
28.07.2008 19:09 244 sqmnoopt13.sqm
27.07.2008 19:45 268 sqmdata12.sqm
27.07.2008 19:45 244 sqmnoopt12.sqm
26.07.2008 20:09 268 sqmdata11.sqm
26.07.2008 20:09 244 sqmnoopt11.sqm
25.07.2008 19:55 268 sqmdata10.sqm
25.07.2008 19:55 244 sqmnoopt10.sqm
24.07.2008 19:14 268 sqmdata09.sqm
24.07.2008 19:14 244 sqmnoopt09.sqm
23.07.2008 20:05 268 sqmdata08.sqm
23.07.2008 20:05 244 sqmnoopt08.sqm
22.07.2008 18:32 268 sqmdata07.sqm
22.07.2008 18:32 244 sqmnoopt07.sqm
22.07.2008 16:14 522 hpfr3420.xml
22.07.2008 16:14 130.578 hpfr3425.log
21.07.2008 18:31 268 sqmdata06.sqm
21.07.2008 18:31 244 sqmnoopt06.sqm
20.07.2008 18:42 268 sqmdata05.sqm
20.07.2008 18:42 244 sqmnoopt05.sqm
18.07.2008 20:08 268 sqmdata04.sqm
18.07.2008 20:08 244 sqmnoopt04.sqm
17.07.2008 22:46 268 sqmdata03.sqm
17.07.2008 22:46 244 sqmnoopt03.sqm
16.07.2008 19:52 268 sqmdata02.sqm
16.07.2008 19:52 244 sqmnoopt02.sqm
15.07.2008 20:11 268 sqmdata01.sqm
15.07.2008 20:11 244 sqmnoopt01.sqm
14.07.2008 20:13 268 sqmdata00.sqm
14.07.2008 20:13 244 sqmnoopt00.sqm
13.07.2008 20:06 268 sqmdata19.sqm
13.07.2008 20:06 244 sqmnoopt19.sqm
Verzeichnis von C:\WINDOWS\system32
31.07.2008 09:04 380.684 perfh009.dat
31.07.2008 09:04 391.574 perfh007.dat
31.07.2008 09:04 63.976 perfc007.dat
31.07.2008 09:04 53.098 perfc009.dat
31.07.2008 09:04 897.778 PerfStringBackup.INI
31.07.2008 09:00 1.158 wpa.dbl
31.07.2008 09:00 45.378 nvapps.xml
20.06.2008 19:39 247.296 mswsock.dll
20.06.2008 19:39 148.992 dnsapi.dll
30.05.2008 01:35 17.486.968 MRT.exe
07.05.2008 07:14 1.293.312 quartz.dll
Verzeichnis von C:\WINDOWS
31.07.2008 09:10 1.464.609 WindowsUpdate.log
31.07.2008 09:10 919 win.ini
31.07.2008 09:00 0 0.log
31.07.2008 09:00 157 wiadebug.log
31.07.2008 09:00 50 wiaservc.log
31.07.2008 09:00 2.048 bootstat.dat
30.07.2008 21:53 32.636 SchedLgU.Txt
30.07.2008 21:42 1.000.908 ntbtlog.txt
11.07.2008 10:55 945.669 setupapi.log
08.07.2008 22:55 194.922 ntdtcsetup.log
08.07.2008 22:55 150.238 iis6.log
08.07.2008 22:55 324.050 comsetup.log
08.07.2008 22:55 52.185 ocmsn.log
08.07.2008 22:55 364.651 tsoc.log
08.07.2008 22:55 1.355 imsins.log
08.07.2008 22:55 17.731 KB951748.log
08.07.2008 22:55 47.221 msgsocm.log
08.07.2008 22:55 452.085 ocgen.log
08.07.2008 22:55 938.990 FaxSetup.log
08.07.2008 22:55 92.138 updspapi.log
20.06.2008 20:41 1.374 imsins.BAK
20.06.2008 20:41 8.108 KB951376-v2.log
12.06.2008 22:41 18.186 KB950759-IE7.log
11.06.2008 22:38 11.746 KB951698.log
11.06.2008 22:38 8.108 KB950762.log
11.06.2008 22:38 6.327 KB950760.log
11.06.2008 22:38 7.728 KB951376.log
27.05.2008 23:08 10.381 KB932823-v3.log
21.05.2008 22:23 69 NeroDigital.ini
14.05.2008 22:38 13.596 KB950749.log
Verzeichnis von C:\DOKUME~1\Daniela\LOKALE~1\Temp
31.07.2008 09:05 159.637 jusched.log
31.07.2008 09:00 1.449.984 tmp2.tmp
31.07.2008 09:00 16.384 ~DF11EA.tmp
31.07.2008 09:00 0 JETBD35.tmp
30.07.2008 21:50 16.384 ~DFE648.tmp
30.07.2008 21:38 16.384 ~DFA671.tmp
30.07.2008 20:17 16.384 ~DFC92.tmp
30.07.2008 18:39 16.384 ~DF3996.tmp
29.07.2008 19:13 2.048.000 Acr2C.tmp
29.07.2008 19:07 426 Acr32.tmp
29.07.2008 18:13 0 nht16.tmp
29.07.2008 18:13 0 vk215.tmp
29.07.2008 17:07 16.384 ~DF42AF.tmp
25.07.2008 19:55 51.864 62e7_appcompat.txt
22.07.2008 18:32 51.864 19d3_appcompat.txt
20.07.2008 18:42 51.864 8547_appcompat.txt
20.07.2008 16:26 16.384 ~DFC494.tmp
17.07.2008 22:46 51.864 3c95_appcompat.txt
16.07.2008 19:52 51.864 96fb_appcompat.txt
15.07.2008 20:11 51.864 4878_appcompat.txt
12.07.2008 19:25 16.384 ~DF28A6.tmp
11.07.2008 20:59 51.864 8925_appcompat.txt
11.07.2008 19:13 19.456 ~WRD0004.doc
11.07.2008 17:21 16.384 ~DF1C91.tmp
11.07.2008 14:21 16.384 ~DF2E0E.tmp
11.07.2008 09:21 16.384 ~DF90B0.tmp
09.07.2008 19:31 16.384 ~DF18EB.tmp
07.07.2008 14:46 16.384 ~DFDDB5.tmp
03.07.2008 18:32 16.384 ~DF32D2.tmp
01.07.2008 22:47 50.180 ae47_appcompat.txt
30.06.2008 18:03 16.384 ~DF1138.tmp
28.06.2008 08:12 16.384 ~DF14B5.tmp
27.06.2008 20:11 51.864 f73e_appcompat.txt
26.06.2008 20:44 16.384 ~DF29A3.tmp
26.06.2008 20:39 51.864 9d84_appcompat.txt
25.06.2008 17:33 16.384 ~DFD328.tmp
25.06.2008 15:26 16.384 Perflib_Perfdata_c80.dat
22.06.2008 21:19 51.864 2652_appcompat.txt
21.06.2008 10:03 16.384 ~DFF394.tmp
15.06.2008 20:34 51.864 48ce_appcompat.txt
15.06.2008 20:31 28.948 dfc2_appcompat.txt
12.06.2008 22:39 51.864 5b9c_appcompat.txt
12.06.2008 20:47 16.384 ~DF5331.tmp
09.06.2008 20:22 16.384 ~DF497D.tmp
08.06.2008 19:12 51.864 8945_appcompat.txt
03.06.2008 22:23 51.864 78c0_appcompat.txt
03.06.2008 10:51 16.384 ~DF166C.tmp
03.06.2008 08:03 16.384 ~DFF557.tmp
31.05.2008 09:17 16.384 ~DF173C.tmp
30.05.2008 19:54 51.864 1584_appcompat.txt
29.05.2008 20:57 8.872 wecerr.txt
28.05.2008 18:10 16.384 ~DFE767.tmp
25.05.2008 18:59 16.384 ~DFD2F4.tmp
25.05.2008 18:51 26.458.856 fla29.tmp
25.05.2008 18:35 24.378.421 fla27.tmp
25.05.2008 17:50 16.384 Perflib_Perfdata_c78.dat
24.05.2008 09:22 16.384 ~DF2090.tmp
23.05.2008 19:16 32.394 fe7c_appcompat.txt
21.05.2008 17:22 32.394 3527_appcompat.txt
20.05.2008 22:03 51.864 2d29_appcompat.txt
18.05.2008 22:27 51.864 c6c0_appcompat.txt
18.05.2008 20:41 3.288 java_install_reg.log
16.05.2008 22:27 32.394 9d5_appcompat.txt
12.05.2008 09:11 16.384 ~DF2174.tmp
09.05.2008 21:03 51.864 c8f7_appcompat.txt
09.05.2008 19:50 16.384 ~DF195B.tmp
08.05.2008 20:35 16.384 ~DF416.tmp
07.05.2008 21:18 16.384 ~DFC1.tmp
07.05.2008 07:54 16.384 ~DFE9E9.tmp
06.05.2008 20:38 16.384 ~DF2343.tmp
02.05.2008 19:50 16.384 ~DF50ED.tmp
Ich habe mich nicht getraut Combofix zu benutzen, weil da eine Ansage kommt, dass einer von hundert Rechnern dabei kaputt geht... Vielleicht kann man ja so schon was erkennen.
Würde mich sehr freuen, wenn mir jemand weiterhelfen könnte, da ich nicht mehr weiter weiß...