Schon wieder einen Trojaner

#0
31.08.2008, 00:16
Member

Beiträge: 99
#1 Hallo,

mein Freund hat schon wieder einen Trojaner. Habe alles von Punkt 1 bis 6 erledigt.
Seht hier:
Der Malwarebytes hat nix gefunden:
Malwarebytes' Anti-Malware 1.21
Datenbank Version: 971
Windows 5.1.2600 Service Pack 2

23:01:21 30.08.2008
mbam-log-8-30-2008 (23-01-21).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 109422
Laufzeit: 1 hour(s), 24 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Combofix;
ComboFix 08-08-30.01 - Peter 2008-08-30 23:19:34.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.417 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Peter\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-28 bis 2008-08-30 ))))))))))))))))))))))))))))))
.

2008-08-30 18:41 . 2008-08-30 23:24 121 --a------ C:\WINDOWS\bdagent.INI
2008-08-30 17:58 . 2008-08-30 18:38 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-08-30 17:57 . 2008-08-30 17:57 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\BitDefender
2008-08-30 17:55 . 2008-08-30 17:56 <DIR> d-------- C:\Programme\BitDefender
2008-08-30 17:55 . 2008-08-30 18:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender
2008-08-30 17:54 . 2008-08-30 17:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BitDefender
2008-08-16 22:23 . 2008-08-16 22:23 <DIR> d-------- C:\Programme\Common Files
2008-08-16 22:22 . 2008-08-17 17:51 <DIR> d-------- C:\Programme\Microsoft ActiveSync
2008-08-16 22:22 . 2004-02-09 11:31 57,426 --a------ C:\WINDOWS\system32\mobileV.acm
2008-08-16 22:22 . 2008-08-16 22:24 2,510 --a------ C:\WINDOWS\Microsoft.MIF
2008-08-16 22:18 . 2008-08-16 22:18 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-08-16 21:20 . 2008-08-16 21:20 <DIR> d-------- C:\Programme\MumboJumbo
2008-08-13 16:10 . 2008-05-01 16:30 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-06 19:42 . 2008-08-06 19:42 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2008-08-03 14:30 . 2008-08-03 14:30 <DIR> d-------- C:\Programme\iPod
2008-08-03 14:26 . 2008-08-03 14:26 <DIR> d-------- C:\Programme\Bonjour
2008-08-03 14:17 . 2008-08-03 14:17 <DIR> d-------- C:\Programme\Safari
2008-07-20 17:41 . 2008-07-18 19:15 36,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-13 20:40 . 2008-07-13 20:40 <DIR> d-------- C:\Programme\LOADSTREET
2008-07-07 22:30 . 2008-07-07 22:30 253,952 -----c--- C:\WINDOWS\system32\dllcache\es.dll
2008-07-05 20:48 . 2008-07-05 20:48 244 --ah----- C:\sqmnoopt00.sqm
2008-07-05 20:48 . 2008-07-05 20:48 232 --ah----- C:\sqmdata00.sqm
2008-07-05 17:04 . 2003-06-18 17:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-07-05 16:57 . 2008-07-05 17:00 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-07-05 16:56 . 2008-07-05 16:56 <DIR> d-------- C:\Programme\Microsoft.NET
2008-07-04 19:17 . 2008-07-04 22:42 8,192 --a------ C:\WINDOWS\Peter.pcb

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-30 21:31 59,578,656 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-30 21:27 1,620,768 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-30 21:25 812,480 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-30 21:25 161,324 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-30 18:35 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-08-30 16:58 --------- d-----w C:\Programme\ICQToolbar
2008-08-28 19:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-10 17:51 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Skype
2008-08-03 12:30 --------- d-----w C:\Programme\iTunes
2008-08-03 12:13 --------- d-----w C:\Programme\QuickTime
2008-07-20 15:41 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware
2008-07-20 10:54 --------- d-----w C:\Programme\Lavasoft
2008-07-20 10:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-20 10:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-18 17:15 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-07-18 14:52 --------- d-----w C:\Programme\Skype
2008-07-17 16:29 --------- d-----w C:\Programme\Google
2008-07-14 13:45 --------- d-----w C:\Programme\SpeedFan
2008-07-05 14:55 --------- d-----w C:\Programme\Windows Messaging
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"EPSON Stylus CX3600 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" [2004-03-04 05:00 98304]
"Automatisch EPSON Stylus CX3600 Series auf PETER2-A8C0A92E"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" [2004-03-04 05:00 98304]
"Netlog 24"="C:\Programme\Netlog 24\Notifier\Netlog24Notifier.exe" [2008-04-24 17:01 1380352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-10-06 14:16 5058560]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2004-05-21 19:11 221184]
"kis"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" [2006-03-24 19:09 139367]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45 63712]
"Automatisch EPSON Stylus CX3600 Series auf PETER2-A8C0A92E"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" [2004-03-04 05:00 98304]
"Automatisch Automatisch EPSON Stylus CX3600 Series auf PETER2-A8C0A92E auf ANDREA-G944VQJG"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" [2004-03-04 05:00 98304]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-09 12:28 185896]
"BitDefender Antiphishing Helper"="C:\Programme\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 15:46 61440]
"BDAgent"="C:\Programme\BitDefender\BitDefender 2008\bdagent.exe" [2008-02-16 17:45 360448]
"nwiz"="nwiz.exe" [2003-10-06 14:16 741376 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm
"MSACM.CEGSM"= mobilev.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ulead Kalendar Checker 4.0 SE.lnk]
backup=C:\WINDOWS\pss\Ulead Kalendar Checker 4.0 SE.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Peter^Startmenü^Programme^Autostart^wkcalrem.LNK]
path=C:\Dokumente und Einstellungen\Peter\Startmenü\Programme\Autostart\wkcalrem.LNK
backup=C:\WINDOWS\pss\wkcalrem.LNKStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
--a------ 2008-07-22 20:42 116040 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus CX3600 Series]
--a------ 2004-03-04 05:00 98304 C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATI9BE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser]
--a------ 2003-07-25 11:15 536576 C:\Programme\Eraser\eraser.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-04-01 12:40 172280 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-07-30 10:47 289064 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
--a------ 2007-08-30 17:58 20480 C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--------- 2004-06-01 12:46 196608 C:\Programme\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--------- 2004-06-01 11:09 458752 C:\Programme\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--------- 2004-06-01 11:03 217088 C:\Programme\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 12:34 5724184 C:\Programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-03-09 12:28 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vidalia]
--a------ 2007-08-26 08:02 11852288 C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
-ra------ 2001-12-13 12:49 1228800 C:\WINDOWS\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\concept design\\onlineTV 4\\onlineTV.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
Inhalt des "geplante Tasks" Ordners

2008-08-22 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe [2004-03-02 11:53]

2008-04-17 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Mozilla\Firefox\Profiles\pxhm7sm6.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1229.1533\npCIDetect11.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Real\RhapsodyPlayerEngine\nprhapengine.dll
FF -: plugin - C:\Programme\Yahoo!\Shared\npYState.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-30 23:28:57
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\SAgent4.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-30 23:39:14 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-30 21:39:02
ComboFix2.txt 2008-06-19 19:44:03

Pre-Run: 4,817,436,672 Bytes frei
Post-Run: 4,746,387,456 Bytes frei

193 --- E O F --- 2008-08-13 18:27:28

und Hjackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:01:09, on 31.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\SAgent4.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\Netlog 24\Notifier\Netlog24Notifier.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Automatisch EPSON Stylus CX3600 Series auf PETER2-A8C0A92E] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P58 "Automatisch EPSON Stylus CX3600 Series auf PETER2-A8C0A92E" /O26 "\\PETER2-A8C0A92E\EPSONSty" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Automatisch Automatisch EPSON Stylus CX3600 Series auf PETER2-A8C0A92E auf ANDREA-G944VQJG] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P90 "Automatisch Automatisch EPSON Stylus CX3600 Series auf PETER2-A8C0A92E auf ANDREA-G944VQJG" /O49 "\\ANDREA-G944VQJG\Automatisch EPSON Stylus CX3650" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /M "Stylus CX3600" /EF "HKCU"
O4 - HKCU\..\Run: [Automatisch EPSON Stylus CX3600 Series auf PETER2-A8C0A92E] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P58 "Automatisch EPSON Stylus CX3600 Series auf PETER2-A8C0A92E" /M "Stylus CX3600" /EF "HKCU"
O4 - HKCU\..\Run: [Netlog 24] "C:\Programme\Netlog 24\Notifier\Netlog24Notifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\SAgent4.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 9765 bytes

und zum Schluss noch das von dirdat:


Verzeichnis von c:\

31.08.2008 00:03 0 dirdat.txt
30.08.2008 23:41 804.835.328 hiberfil.sys
30.08.2008 23:41 1.207.959.552 pagefile.sys
30.08.2008 23:39 13.307 ComboFix.txt
17.08.2008 17:40 211 boot.ini
05.07.2008 20:48 244 sqmnoopt00.sqm
05.07.2008 20:48 232 sqmdata00.sqm
26.06.2008 19:39 12.800 Thumbs.db
20.06.2008 08:03 33.088 Ad-Aware Malware Bild.jpg
25.09.2007 22:21 146 YServer.txt
31.08.2007 17:42 211 BOOT.BKK
30.08.2007 18:52 47.564 NTDETECT.COM
30.08.2007 18:52 251.184 ntldr
30.08.2007 17:10 63 unknown.dat
30.08.2007 17:10 39 CTJINI.INI
30.08.2007 17:00 0 MSDOS.SYS
30.08.2007 17:00 0 AUTOEXEC.BAT
30.08.2007 17:00 0 CONFIG.SYS
30.08.2007 17:00 0 IO.SYS
18.08.2001 14:00 4.952 bootfont.bin
20 Datei(en) 2.013.158.921 Bytes
0 Verzeichnis(se), 4.762.451.968 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4886-7201

Verzeichnis von C:\WINDOWS\system32

30.08.2008 23:44 45.211 LVCOMSX.LOG
30.08.2008 18:38 81.984 bdod.bin
25.08.2008 18:45 2.278 wpa.dbl
24.08.2008 13:54 1.098 lvcoinst.log
13.08.2008 20:24 487.482 TZLog.log
05.08.2008 20:11 15.888.504 MRT.exe
14.07.2008 13:09 62.976 tzchange.exe
12.07.2008 10:53 244.720 FNTCACHE.DAT
07.07.2008 22:30 253.952 es.dll
05.07.2008 21:40 400.464 perfh009.dat
05.07.2008 21:40 60.624 perfc009.dat
05.07.2008 21:40 414.766 perfh007.dat
05.07.2008 21:40 73.508 perfc007.dat
05.07.2008 21:40 953.972 PerfStringBackup.INI
05.07.2008 16:54 5.670 mapisvc.inf
03.07.2008 11:42 374.272 xpsp3res.dll
24.06.2008 18:22 74.240 mscms.dll
23.06.2008 17:38 1.494.528 shdocvw.dll
23.06.2008 17:38 617.984 urlmon.dll
23.06.2008 17:38 665.088 wininet.dll
23.06.2008 17:38 474.624 shlwapi.dll
23.06.2008 17:38 449.024 mshtmled.dll
23.06.2008 17:38 532.480 mstime.dll
23.06.2008 17:38 39.424 pngfilt.dll
23.06.2008 17:38 3.080.704 mshtml.dll
23.06.2008 17:38 146.432 msrating.dll
23.06.2008 17:38 251.392 iepeers.dll
23.06.2008 17:38 16.384 jsproxy.dll
23.06.2008 17:38 96.768 inseng.dll
23.06.2008 17:38 1.023.488 browseui.dll
23.06.2008 17:38 205.312 dxtrans.dll
23.06.2008 17:38 55.808 extmgr.dll
23.06.2008 17:38 357.888 dxtmsft.dll
23.06.2008 17:38 1.056.256 danim.dll
23.06.2008 17:38 152.064 cdfview.dll
20.06.2008 19:39 148.992 dnsapi.dll
20.06.2008 19:39 247.296 mswsock.dll
16.06.2008 18:40 2.368 STEC3.sys
27.05.2008 10:50 90.112 QuickTimeVR.qtx
Seitenanfang Seitenende
31.08.2008, 00:33
Member

Beiträge: 325
#2 Hallo andrea34!

Zitat

Datenbank Version: 971
Aktualisiere unbedingt Dein Malwarebytes, Deine Version ist schon sehr alt,-Scanne nochmal und berichte auch über irgendwelche Beobachtungen die Du auf dem PC machst/gemacht hast!
Seitenanfang Seitenende
31.08.2008, 02:33
Member

Themenstarter

Beiträge: 99
#3 Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1099
Windows 5.1.2600 Service Pack 2

02:26:58 31.08.2008
mbam-log-08-31-2008 (02-26-58).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 115764
Laufzeit: 1 hour(s), 13 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
leider nix gefunden.
Seitenanfang Seitenende
31.08.2008, 02:37
Member

Beiträge: 325
#4 Und wie kommst Du darauf, dass Du einen Trojaner hast, irgend etwas muß es Dir doch gemeldet haben ???
Seitenanfang Seitenende
31.08.2008, 04:16
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#5 Es werden zwei Virenscanner benutzt,eins zuviel!

Java
Dein Java software ist veraltet,
Download Java Runtime Environment (JRE) 6u7 zum Desktop

Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u7-windows-i586-p.exe
__________
MfG Argus
Seitenanfang Seitenende
31.08.2008, 12:40
Member

Themenstarter

Beiträge: 99
#6 Der Kaspersky meldet immer Trojaner, mein Freund hat da mal was abkopiert.
Ist im Anhang

Der Virusscanner von Bit Defender den kriegen wir nicht zu löschen. Hat gestern eine Freundin drauf. In der Software iser nicht mehr. Wie bekommt er den wieder los?

LG Andrea

Seitenanfang Seitenende
31.08.2008, 12:54
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#7 Un-Installer fuer Bitdefender
http://kb.bitdefender.com/KB333-en--How-to-uninstall-BitDefender.html

Welche Version von Lavasoft Ad-Aware wird benutzt
Download sonst Ad-Aware 2008 http://www.lavasoft.com/products/ad_aware_free.php
__________
MfG Argus
Seitenanfang Seitenende
31.08.2008, 12:59
Member

Themenstarter

Beiträge: 99
#8 Der Ad-Aware ist neu, hat erst ein Update gemacht.
Version 7.1.0.10

Das löst aber eigentlich nicht das Problem
Seitenanfang Seitenende
31.08.2008, 13:23
Member

Beiträge: 325
#9 Warum ist das Bild im Anhang nur Halb, immer wenn es interessant werden könnte und die Datei benannt werden soll, hört das Bild auf ;)
Seitenanfang Seitenende
31.08.2008, 13:58
Member

Themenstarter

Beiträge: 99
#10 Reicht das nicht aus, was da angegeben ist.
Mein Freund hat bei einer Freundin die Festplatte aufgeräumt und hat dann geschaut, was das für Seiten sind und hat dadurch sich den Trojaner eingefangen.
Er möchte das aber hier nicht angeben, da diese Seiten unter der Gürtellinie sind.
Wie können wir die jetzt löschen, sonst hilft nur noch Format C.
Seitenanfang Seitenende
31.08.2008, 14:10
Member

Beiträge: 325
#11 Interessant wäre das was hinter "Datei:" steht zumindest der Pfad, obendrein hat der Virenscanner ja angezeigt, dass sie schon gelöscht wurden. Du kannst ja die unseriösen Bezeichnungen manuell ausXXX-sen.Aber der Pfad ist wichtig ob es "Restore"-Dateien sind (System-Volume-Information oder so)
Seitenanfang Seitenende
31.08.2008, 15:17
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Schicke mir das log per PN
__________
MfG Argus
Seitenanfang Seitenende
01.09.2008, 19:43
Member

Themenstarter

Beiträge: 99
#13 so, nun hat er mir die Daten vom Kaspersky gegeben.

Ich hoffe das reicht aus?

LG Andrea

Anhang: Liste.doc
Seitenanfang Seitenende
01.09.2008, 23:26
Member

Beiträge: 325
#14 Hallo Andrea !
System Volume Information-Dateien sind die, die zur Wiederherstellung des Systems benötigt werden. Wenn Dein System vom jetzigen Stand sauber ist, so könntest Du theoretisch den Zustand wieder zurückwählen, als die Infizierung noch darauf war-Das wollen wir aber auf gar keinen Fall (nur mal zum Verständnis).Obendrein hat Dein Virenscanner die Infizierungen in diesen Restore-Dateien ja schon gelöscht,(ein erneuter Scan müßte also positiver ausfallen).
Um die Sache aber mal gründlicher zu machen, säubere bitte mal Deine Temp-Dateien und andere Überreste von vergangenen Internet-Aktivitäten mit
CCleaner:
http://virus-protect.org/CCleaner.html
ein Beispielbild für Dich, was DU anhaken sollst, befindet sich im Anhang.Da wir die Index.dat mit "refreshen" mußt Du anschließend einen Neustart machen.
Ist das erledigt, und der PC läuft wieder ohne Störungen (also wenn Du nicht auf eine Systemwiederherstellung angewiesen bist, kannst Du auch die Systemwiederherstellung kurz deaktivieren und dann wieder aktivieren.Damit werden die Restore-Dateien gelöscht (komplett) und wenn Du das Häkchen wieder rausmachst (also wieder aktivierst) wird ein ganz neuer und sauberer (erster) Wiederherstellungspunkt gesetzt.
Anleitung aber erst nach der Säuberung+wenn keine Störungen vorhanden:
Arbeitsplatz--->Rechtsclick Eigenschaften--->Sytemwiederherstellung dann Häkchen setzen bei "Systemwiederherstellung auf (beiden) Laufwerk(en) deaktivieren --->Festplatte Ihr "Bäuerchen" machen lassen" dann wieder Häkchen raus um die Systemwiederherstellung auf beiden Laufwerken zu aktivieren !!!
Lasse nun den Kaspersky nochmal scannen und der Log müßte um einiges kleiner sein,-poste es !!

Dieser Beitrag wurde am 01.09.2008 um 23:39 Uhr von Provisitor editiert.
Seitenanfang Seitenende