Trojaner entdeckt und lässt sich nicht entfernen

#0
30.08.2008, 21:42
Member

Beiträge: 42
#1 Antivir hat bei mir 2 Trojaner entdeckt, wobei einer bei jeder Mausbewegung anspringt! CCleaner, Malwarebyte, Combofix wurde durchgeführt! Bitte um Hilfe und vielen Dank im voraus!!!

Grüße CLedy

---> In der Datei 'C:\WINDOWS\system32\__c00B897F.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/BHO.KM' [trojan] gefunden.

--->In der Datei 'C:\WINDOWS\system32\~.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Small.buc' [trojan] gefunden.

--------------------------------------------------------------------------
Combofix Logfile
--------------------------------------------------------------------------

ComboFix 08-08-30.01 - Admin 2008-08-30 21:24:59.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.679 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\EILEEN\Cookies\eileen@one-tracker[2].txt
C:\xcrashdump.dat

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-28 bis 2008-08-30 ))))))))))))))))))))))))))))))
.

2008-08-30 20:14 . 2008-08-30 21:18 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-30 20:14 . 2008-08-30 20:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-30 20:14 . 2008-08-30 20:14 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
2008-08-30 20:14 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-30 20:14 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-30 20:07 . 2008-08-30 20:07 <DIR> d-------- C:\Programme\CCleaner
2008-08-28 19:49 . 2006-10-24 11:20 <DIR> d--h----- C:\Dokumente und Einstellungen\Joachim\Vorlagen
2008-08-28 19:49 . 2006-10-24 12:02 <DIR> dr------- C:\Dokumente und Einstellungen\Joachim\Startmenü
2008-08-28 19:49 . 2006-10-24 12:02 <DIR> d--h----- C:\Dokumente und Einstellungen\Joachim\Netzwerkumgebung
2008-08-28 19:49 . 2008-08-30 21:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Joachim\Lokale Einstellungen
2008-08-28 19:49 . 2008-08-28 19:49 <DIR> dr------- C:\Dokumente und Einstellungen\Joachim\Favoriten
2008-08-28 19:49 . 2008-08-28 19:49 <DIR> dr------- C:\Dokumente und Einstellungen\Joachim\Eigene Dateien
2008-08-28 19:49 . 2006-10-24 12:02 <DIR> d--h----- C:\Dokumente und Einstellungen\Joachim\Druckumgebung
2008-08-28 19:49 . 2008-08-28 19:49 <DIR> d-------- C:\Dokumente und Einstellungen\Joachim\Anwendungsdaten\Nero
2008-08-28 19:49 . 2008-08-28 19:49 <DIR> dr-h----- C:\Dokumente und Einstellungen\Joachim\Anwendungsdaten
2008-08-28 19:49 . 2008-08-28 19:50 <DIR> d-------- C:\Dokumente und Einstellungen\Joachim
2008-08-28 19:47 . 2008-08-28 19:47 <DIR> d-------- C:\Dokumente und Einstellungen\UTE\Anwendungsdaten\Nero
2008-08-21 13:40 . 2008-08-21 13:40 <DIR> d-------- C:\Programme\Lavalys
2008-08-21 13:28 . 2001-08-17 12:20 297,728 --a------ C:\WINDOWS\system32\drivers\ac97sis.sys
2008-08-21 13:28 . 2001-08-17 12:20 297,728 --a--c--- C:\WINDOWS\system32\dllcache\ac97sis.sys
2008-08-21 12:41 . 2008-08-21 12:41 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-08-21 12:41 . 2008-08-21 12:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-08-21 12:41 . 2008-08-21 12:41 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TuneUp Software
2008-08-21 12:41 . 2008-08-21 12:41 306,432 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-08-21 12:41 . 2007-09-04 11:59 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-08-21 12:40 . 2008-08-21 12:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-20 23:23 . 2008-08-20 23:23 <DIR> d-------- C:\Programme\Avira
2008-08-20 18:13 . 2008-08-20 18:13 <DIR> d-------- C:\Programme\MSXML 4.0
2008-08-20 16:45 . 2008-08-20 16:45 <DIR> d-------- C:\Dokumente und Einstellungen\EILEEN\Anwendungsdaten\Nero
2008-08-20 16:41 . 2008-08-20 16:41 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Nero
2008-08-20 16:38 . 2008-08-20 16:38 <DIR> d-------- C:\Programme\Nero
2008-08-20 16:38 . 2008-08-20 16:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-08-20 16:38 . 2008-08-20 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-08-20 15:04 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-08-20 15:04 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-08-20 15:04 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-08-20 14:59 . 2006-10-26 19:56 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2008-08-20 14:58 . 2008-08-20 14:58 <DIR> d-------- C:\Programme\MSBuild
2008-08-20 14:58 . 2008-08-20 14:58 <DIR> d-------- C:\Programme\Microsoft Works
2008-08-20 14:54 . 2008-08-20 14:57 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-08-20 14:54 . 2008-08-20 14:54 <DIR> dr-h----- C:\MSOCache
2008-08-20 14:54 . 2008-08-20 18:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-20 13:35 . 2008-08-20 23:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-20 13:25 . 2008-08-20 13:25 65 --a------ C:\WINDOWS\IpxViewr.INI
2008-08-20 13:01 . 2008-08-20 13:01 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\MSNInstaller
2008-08-13 22:31 . 2008-08-13 22:31 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-08-13 22:21 . 2007-07-19 18:14 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll
2008-08-13 22:21 . 2007-04-04 18:53 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2008-08-11 12:48 . 2008-08-11 12:48 <DIR> d-------- C:\Programme\MSECache
2008-07-30 18:24 . 2008-07-30 18:24 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-30 18:24 . 2008-07-30 18:24 1,409 --a------ C:\WINDOWS\QTFont.for
2008-07-27 21:44 . 2008-07-27 21:45 <DIR> d-------- C:\Programme\thriXXX
2008-07-26 15:00 . 2008-07-26 15:00 0 --a------ C:\WINDOWS\nsreg.dat
2008-07-12 14:34 . 2008-07-12 14:34 7,680 --ahs---- C:\WINDOWS\Thumbs.db
2008-07-12 13:45 . 2008-07-12 13:45 30 --a------ C:\WINDOWS\Iedit_.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-20 11:22 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\SmartSurfer
2008-08-20 11:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Borland
2008-08-20 11:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Marmiko Shared
2008-08-20 11:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-08-20 11:05 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-20 11:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-08-15 19:30 --------- d-----w C:\Dokumente und Einstellungen\EILEEN\Anwendungsdaten\SmartSurfer
2008-07-20 10:13 --------- d-----w C:\Dokumente und Einstellungen\UTE\Anwendungsdaten\SmartSurfer
2008-07-12 10:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-07-12 10:42 --------- d-----w C:\Programme\Ulead Systems
2008-07-07 20:16 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 14:06 972,072 ----a-w C:\WINDOWS\UNNeroMediaHome.exe
2008-06-23 16:14 672,768 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-06 12:54 972,072 ----a-w C:\WINDOWS\UNRecode.exe
2008-06-06 12:54 95,600 ----a-w C:\WINDOWS\system32\NeroCo.dll
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-16 19:31 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-08-11 17:30 249856]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 17:30 81920]
"Sunkist2k"="C:\Programme\Multimedia Card Reader\shwicon2k.exe" [2005-02-25 17:54 131072]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-06-19 09:53 570664]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 09:31 2221352]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"SiSPower"="SiSPower.dll" [2006-05-05 21:13 49152 C:\WINDOWS\system32\SiSPower.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mpegacm "= mpegacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^WEB.DE SmartSurfer.lnk]
path=C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\WEB.DE SmartSurfer.lnk
backup=C:\WINDOWS\pss\WEB.DE SmartSurfer.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CAPIControl.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\CAPIControl.lnk
backup=C:\WINDOWS\pss\CAPIControl.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Loader resident.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Photo Loader resident.lnk
backup=C:\WINDOWS\pss\Photo Loader resident.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_6

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OlStatusMon]
--a------ 2006-07-26 17:20 106496 C:\Programme\Olivetti\ANY_WAY\olDvcStatus.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-03-19 16:01 98304 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-12-18 23:03 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
--------- 2006-11-29 11:58 90112 C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SLService"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R2 olMntrService;olMntrService;C:\Programme\Olivetti\ANY_WAY\olMntrService.exe [2006-07-24 13:02]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2002-10-28 09:23]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 15:03]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 13:46]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCMPR5.SYS []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-08-21 12:41]
S3 ulisa;DeTeWe ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-08-21 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 13:17]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-A00F1A74D3 - C:\DOKUME~1\Admin\LOKALE~1\Temp\_A00F1A74D3.exe
MSConfigStartUp-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
MSConfigStartUp-Google Desktop Search - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
MSConfigStartUp-NeroFilterCheck - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
MSConfigStartUp-QuickFinder Scheduler - C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE
MSConfigStartUp-routcnf - C:\Programme\DeTeWe\TA 33 USB\routcnf.exe
MSConfigStartUp-swg - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
MSConfigStartUp-WLAN-Access Finder - C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
MSConfigStartUp-SoundMan - SOUNDMAN.EXE


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\jbw1mnri.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-30 21:26:15
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-30 21:27:06
ComboFix-quarantined-files.txt 2008-08-30 19:27:04

Pre-Run: 4 Verzeichnis(se), 136,893,665,280 Bytes frei
Post-Run: 9 Verzeichnis(se), 137,005,785,088 Bytes frei

195 --- E O F --- 2008-08-20 16:14:40

---------------------------------------------------------------------------
Malwarebyte Logfile
---------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:33:21, on 30.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Olivetti\ANY_WAY\olMntrService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9216B0A-7211-40FE-8733-59A7FAD4F27E}: NameServer = 192.168.2.1,194.25.2.129
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: olMntrService - Olivetti - C:\Programme\Olivetti\ANY_WAY\olMntrService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 5422 bytes
Seitenanfang Seitenende
30.08.2008, 22:23
Moderator

Beiträge: 5694
#2 Hallo CLedy

Mir fällt nichts verdächtiges mehr auf.

>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Mach einen Onlinescan mit ESET Online Scanner und poste das Log:
http://virus-protect.org/onlinescan.html

>>
Poste das Log von Malwarebytes:
Malwarebytes starten --> Scanberichte --> Bericht hier posten.

Gruss Swiss
Seitenanfang Seitenende
31.08.2008, 13:04
Member

Themenstarter

Beiträge: 42
#3 Bin gerade dabei den Onlinescanner laufen zulassen, schon wieder 2 neue Viren oder ähnliches.

In der Datei 'C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\temp\NOD7FBB.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.PEPM.Gen' [trojan] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\temp\NOD7FB9.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.

-------------------
Logfile Malwarebyte
-------------------

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1098
Windows 5.1.2600 Service Pack 2

21:18:58 30.08.2008
mbam-log-08-30-2008 (21-18-52).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 109719
Laufzeit: 1 hour(s), 3 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\__c00B897F.dat (Trojan.Agent) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00b897f (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{BC1E7123-8D87-4BD3-A4D2-D728931D4A12}\RP129\A0033303.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\__c00B897F.dat (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> No action taken.
Seitenanfang Seitenende
31.08.2008, 13:32
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Update MBAM und scanne nochmal
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
__________
MfG Argus
Seitenanfang Seitenende
31.08.2008, 14:02
Member

Themenstarter

Beiträge: 42
#5 Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1101
Windows 5.1.2600 Service Pack 2

14:01:41 31.08.2008
mbam-log-08-31-2008 (14-01-41).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 102178
Laufzeit: 25 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Seitenanfang Seitenende
31.08.2008, 15:20
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Wenn NOD32 schon fertig ist schau ob es unter C:\Programme\EsetOnlineScanner\log.txt ein log gibt wenn ja,poste es
__________
MfG Argus
Seitenanfang Seitenende
02.09.2008, 12:34
Member

Themenstarter

Beiträge: 42
#7 # version=4
# OnlineScanner.ocx=1.0.0.56
# OnlineScannerDLLA.dll=1, 0, 0, 51
# OnlineScannerDLLW.dll=1, 0, 0, 51
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3401 (20080829)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.066 (20070917)
# EOSSerial=fb5d220156ddd04aa7fcd6b33ac7e93d
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2008-08-31 11:32:33
# local_time=2008-08-31 01:32:33 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# osver=5.1.2600 NT Service Pack 2
# scanned=127003
# found=0
# scan_time=4064
Seitenanfang Seitenende
02.09.2008, 22:01
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 datfindbat
Download datFindbat zum Desktop

Starte diese Batchdatei datfind.bat danach öffnet sich ein Notepad/Editor Fenster.
Kopiere den Inhalt bis auf 1 Monat im Thread

Manchmal befinden sich Dateien auf dem Rechner, die von Viren, Spyware oder Backdoors abgelegt wurden und welche ein Antivirenscanner nicht auf Anhieb findet.
Deshalb haben wir diese bat-Datei erstellt, um genau nachprüfen zu können, was sich in
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\DOCUME~1\user\LOCALS~1\Temp
Verzeichnis von C:\WINDOWS\temp
Verzeichnis von C:\WINDOWS\Downloaded Program Files
und den temporären Dateien befindet.
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »