Backdoor Verdacht

#1 Hat keiner eine Hilfe für einen neuen User ? Schade !


Schönen guten Tag ! Bin ganz neu hier und habe gleich eine Frage.
Da sich meine XP-Firewall nicht mehr aktivieren läßt, vermute ich einen Backdoor bzw. Trojaner. Mein AV meldete schon mal den "worm/kolabc.bkf" Dieser wurde aber gelöscht bzw. ist in Quarantäne.

Hier mein Hijackthis-Logfile :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:58:10, on 03.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
J:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\PROGRA~1\T-Online\ISDNSP~1\tomcat.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
D:\Dokumente und Einstellungen\graf\Desktop\Progs\TriLine\TrISDNLine\trisdnline.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\spoolsv.exe
J:\Programme\a-squared Anti-Dialer\a2adguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
J:\Programme\Fritz!\IWatch.exe
J:\Programme\GMX\GMX SmartSurfer\SmartSurfer.exe
J:\Programme\a-squared Anti-Dialer\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
J:\Programme\GMX\GMX SmartSurfer\SmurfService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
J:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Graf\Desktop\Progs\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: win32ie.a - {0848225A-8181-42FC-8C68-F0A543B12967} - C:\WINDOWS\system32\dazsax.dll (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\tomcat.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [TrISDNLine] D:\Dokumente und Einstellungen\graf\Desktop\Progs\TriLine\TrISDNLine\trisdnline.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "J:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "J:\Programme\a-squared Anti-Dialer\a2adguard.exe" /d=60
O4 - HKCU\..\Run: [TrISDNLine] J:\Programme\TriLine\TrISDNLine\trisdnline.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: GMX SmartSurfer.lnk = J:\Programme\GMX\GMX SmartSurfer\SmartSurfer.exe
O4 - Global Startup: ISDNWatch.lnk = J:\Programme\Fritz!\IWatch.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E2BA5F8-F619-40F1-B89F-DFAF8C6AD9EA}: NameServer = 212.202.215.1 212.202.215.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{2E2BA5F8-F619-40F1-B89F-DFAF8C6AD9EA}: NameServer = 212.202.215.1 212.202.215.2
O20 - AppInit_DLLs: NVDESK32.DLL
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - J:\Programme\a-squared Anti-Dialer\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - J:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - J:\Programme\GMX\GMX SmartSurfer\SmurfService.exe

--
End of file - 5981 bytes

Ich nutze Firefox 3.04, obwohl oben MS Internet Explorer steht !

Vielen Dank für Eure Hilfe.

#2 Lasse bitte Mbam und Combofix deinen REchner untersuchen und poste die Ergebnisse:
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#3

Zitat

raman postete
Lasse bitte Mbam und Combofix deinen REchner untersuchen und poste die Ergebnisse:
http://board.protecus.de/t23188.htm

Der Tip war gut. Vielen Dank.Nachdem ich beide ausführte, ließ sich auch die XP-Firewall wieder aktivieren. Comofix installierte die Wiederherstellungskonsole neu.Ich vermute, daran lags.

Und hier die Logs:

Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1103
Windows 5.1.2600 Service Pack 2

04.12.2008 23:38:02
mbam-log-2008-12-04 (23-38-02).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|J:\|)
Durchsuchte Objekte: 189145
Laufzeit: 2 hour(s), 7 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
-----------------------------------------------------------------------
ComboFix 08-12-04.04 - Graf 2008-12-05 0:14:49.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\Graf\Desktop\cf.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Graf\Favoriten\Cheap Pharmacy Online.url
c:\dokumente und einstellungen\Graf\Favoriten\Search Online.url
c:\dokumente und einstellungen\Graf\Favoriten\SMS TRAP.url
c:\dokumente und einstellungen\Graf\Favoriten\VIP Casino.url
c:\windows\k.txt
c:\windows\system32\c.ico
c:\windows\system32\hpvaut32.dll
c:\windows\system32\hpvcp70.dll
c:\windows\system32\hpvcr70.dll
c:\windows\system32\m.ico
c:\windows\system32\p.ico
c:\windows\system32\s.ico
c:\windows\system32\sv.exe
c:\windows\system32\wmsoft24573.exe
J:\install.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-11-04 bis 2008-12-04 ))))))))))))))))))))))))))))))
.

2008-12-04 21:24 . 2008-12-04 21:24 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\Malwarebytes
2008-12-04 21:24 . 2008-12-04 21:24 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-04 21:24 . 2008-09-02 00:16 38,528 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-04 21:24 . 2008-09-02 00:16 17,200 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-03 13:18 . 2008-12-03 13:18 <DIR> d--h----- c:\windows\system32\GroupPolicy
2008-12-01 16:02 . 2008-12-01 16:02 <DIR> dr------- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2008-12-01 12:51 . 2008-12-01 12:51 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2008-11-30 12:11 . 2004-08-04 00:57 15,360 --a------ c:\windows\system32\ctfmon.exe.backup
2008-11-29 11:11 . 2008-12-02 17:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\oleco
2008-11-26 19:16 . 2008-11-26 19:16 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\GMX
2008-11-26 19:16 . 2008-11-26 19:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\GMX
2008-11-25 19:27 . 2008-11-25 19:27 34,494 --a------ c:\windows\system32\m2.ico
2008-11-22 20:13 . 2008-11-23 11:03 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\comodo
2008-11-20 00:56 . 2008-11-20 00:56 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\DivX
2008-11-18 16:23 . 2008-11-23 11:06 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\Comodo
2008-11-18 16:05 . 2008-11-18 16:38 129 --a------ c:\windows\DICTEDIT.INI
2008-11-18 15:20 . 2008-11-22 18:23 <DIR> d-------- c:\programme\COMODO
2008-11-18 15:20 . 2008-11-22 10:02 249,592 --a------ c:\windows\system32\cssdll32.dll
2008-11-17 18:56 . 2008-11-20 01:31 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\dvdcss
2008-11-17 11:57 . 2008-11-17 11:57 <DIR> d-------- c:\programme\Avira
2008-11-17 11:57 . 2008-11-17 11:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-11-16 15:37 . 2008-11-16 15:37 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-11-13 18:23 . 2008-11-13 18:23 8 --a------ c:\windows\system32\probtp51.cnt
2008-11-13 18:21 . 2008-11-13 18:21 <DIR> d-------- c:\windows\Downloaded Installations
2008-11-13 17:54 . 2008-12-05 00:17 <DIR> d-------- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\SmartSurfer
2008-11-13 08:43 . 2008-11-13 08:44 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\vlc
2008-11-12 08:19 . 2008-12-03 10:37 116 --a------ c:\windows\NeroDigital.ini
2008-11-12 00:35 . 2008-11-12 00:35 195 --a------ C:\boot.alt2
2008-11-12 00:04 . 2008-11-12 09:19 24 --a------ c:\windows\HBUser.ini
2008-11-11 23:54 . 2003-10-14 17:40 173,334 --------- c:\windows\system32\drivers\WTOMCAT.sys
2008-11-11 23:54 . 1999-12-10 18:34 5,734 --------- c:\windows\system32\vctst.vxd
2008-11-11 23:51 . 2008-11-11 23:51 24,091 --a------ c:\windows\system32\NULL
2008-11-11 23:48 . 2008-11-11 23:48 <DIR> d-------- c:\windows\system32\URTTemp
2008-11-11 23:47 . 2008-11-14 21:23 <DIR> d-------- c:\programme\T-Online
2008-11-11 23:47 . 2008-11-14 21:23 <DIR> d-------- c:\programme\Gemeinsame Dateien\Marmiko Shared
2008-11-11 23:47 . 2005-02-01 11:25 344,064 --------- c:\windows\system32\msvcr70.dll
2008-11-11 23:47 . 2005-02-01 11:25 50,688 --------- c:\windows\system32\wbhelp2.dll
2008-11-11 23:02 . 2008-11-11 23:04 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\Ahead
2008-11-11 23:00 . 2008-11-11 23:00 <DIR> d-------- c:\programme\Nero
2008-11-11 23:00 . 2008-11-11 23:03 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ahead
2008-11-11 22:24 . 2008-11-11 22:24 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-11-11 22:23 . 2008-11-11 22:23 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\Ulead Systems
2008-11-11 21:56 . 2008-11-11 21:56 <DIR> d-------- c:\dokumente und einstellungen\Graf\.VirtualBox
2008-11-11 21:54 . 2008-11-27 20:40 <DIR> d----c--- c:\windows\system32\DRVSTORE
2008-11-11 21:54 . 2008-09-12 16:00 95,888 --a------ c:\windows\system32\drivers\VBoxDrv.sys
2008-11-11 21:54 . 2008-09-12 16:00 41,680 --a------ c:\windows\system32\drivers\VBoxUSBMon.sys
2008-11-11 21:51 . 2008-11-11 21:51 <DIR> d-------- C:\Cliparts Büro & Blumen
2008-11-11 21:47 . 2008-11-11 21:48 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe
2008-11-11 20:28 . 2004-08-03 23:14 359,040 --a------ c:\windows\system32\drivers\tcpip.sys.book
2008-11-11 20:13 . 2008-11-11 20:13 <DIR> d-------- c:\programme\Microsoft Works
2008-11-11 20:11 . 2008-11-11 20:11 <DIR> d-------- c:\windows\SHELLNEW
2008-11-11 20:10 . 2008-11-11 20:10 <DIR> dr-h----- C:\MSOCache
2008-11-11 20:10 . 2008-11-11 20:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-11-11 19:59 . 2008-11-11 19:59 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2008-11-11 19:51 . 2008-11-11 19:51 <DIR> d-------- c:\windows\provisioning
2008-11-11 19:49 . 2008-11-11 19:49 <DIR> d-------- c:\windows\ServicePackFiles
2008-11-11 19:46 . 2004-07-17 11:40 19,528 --a------ c:\windows\002302_.tmp
2008-11-11 19:46 . 2004-08-03 22:42 15,872 --a------ c:\windows\system32\spupdsvc.exe
2008-11-11 19:44 . 2008-11-11 19:52 <DIR> d-------- c:\windows\EHome
2008-11-11 19:32 . 2008-11-16 15:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-11-11 19:25 . 2008-11-11 19:25 <DIR> d-------- c:\programme\FreePDF_XP
2008-11-11 19:25 . 2008-11-11 19:25 <DIR> d-------- c:\dokumente und einstellungen\All Users\FreePDF
2008-11-11 19:25 . 2005-01-06 18:33 119,152 --a------ c:\windows\system32\redmon.hlp
2008-11-11 19:25 . 2005-01-06 18:33 116,224 --a------ c:\windows\system32\redmonnt.dll
2008-11-11 19:25 . 2005-01-06 18:33 45,056 --a------ c:\windows\system32\unredmon.exe
2008-11-11 19:21 . 2008-12-03 19:17 3,417 --a------ c:\windows\tMainPluG.INI
2008-11-11 19:21 . 2008-12-03 19:17 176 --a------ c:\windows\LangIDlib.INI
2008-11-11 19:18 . 2008-11-17 16:55 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\FileZilla
2008-11-11 19:11 . 2008-11-11 19:11 <DIR> d-------- C:\$WIN_NT$.~LS
2008-11-11 19:11 . 2008-11-11 19:11 <DIR> d-------- C:\$WIN_NT$.~BT
2008-11-11 19:06 . 2002-08-29 08:51 455,245 --a------ C:\txtsetup.sif
2008-11-11 19:06 . 2002-08-29 01:06 248,096 --a------ C:\$LDR$
2008-11-11 16:43 . 2008-11-19 20:32 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\SmartSurfer
2008-11-11 16:36 . 2008-11-11 16:36 <DIR> d-------- c:\programme\Gemeinsame Dateien\Hewlett-Packard
2008-11-11 16:36 . 2004-01-05 11:44 16,496 -ra------ c:\windows\system32\drivers\HPZipr12.sys
2008-11-11 16:35 . 2004-01-05 11:44 51,056 -ra------ c:\windows\system32\drivers\hpzid412.sys
2008-11-11 16:35 . 2004-01-05 11:44 21,488 -ra------ c:\windows\system32\drivers\HPZius12.sys
2008-11-11 16:35 . 2004-08-03 22:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2008-11-11 16:32 . 2008-11-11 16:32 <DIR> d-------- c:\programme\HP
2008-11-11 16:31 . 2004-01-05 11:44 38,879 --------- c:\windows\hpomdl03.dat
2008-11-11 16:31 . 2008-11-11 16:37 29,572 --a------ c:\windows\hpoins03.dat
2008-11-11 16:29 . 2008-11-11 16:29 <DIR> d-------- c:\programme\Java
2008-11-11 16:29 . 2008-11-11 16:29 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-11 16:29 . 2008-11-11 16:29 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-11-11 16:20 . 2008-11-11 16:20 <DIR> d-------- c:\windows\Samsung
2008-11-11 16:20 . 2008-11-14 21:23 <DIR> d--h----- c:\programme\InstallShield Installation Information
2008-11-11 16:20 . 2006-08-17 08:27 1,233,920 --a------ c:\windows\system32\msxml4.dll
2008-11-11 16:20 . 2007-10-22 09:20 471,040 --a------ c:\windows\ssndii.exe
2008-11-11 16:20 . 2006-08-17 08:27 82,432 --a------ c:\windows\system32\msxml4r.dll
2008-11-11 16:20 . 2007-10-23 01:36 57,344 --a------ c:\windows\system32\ssdevm.dll
2008-11-11 16:20 . 2006-08-17 08:27 49,152 --a------ c:\windows\system32\ssusbpn.dll
2008-11-11 16:20 . 2006-08-17 08:27 44,544 --a------ c:\windows\system32\msxml4a.dll
2008-11-11 16:20 . 2006-08-17 08:27 21,776 --a------ c:\windows\system32\msxml2a.dll
2008-11-11 16:16 . 2007-10-23 02:47 151,552 --a------ c:\windows\system32\SUGG1CI.exe
2008-11-11 16:16 . 2007-10-23 02:47 57,344 --a------ c:\windows\system32\SUGG1CI.dll
2008-11-11 16:16 . 2007-10-23 02:47 22,663 --a------ c:\windows\system32\SUGG1LMK.DLL
2008-11-11 16:16 . 2006-08-18 03:47 11,502 --------- c:\windows\Dr. Printer Icon.ico
2008-11-11 16:16 . 2007-10-23 02:47 555 --a------ c:\windows\system32\SUGG1LMK.SMT
2008-11-11 16:15 . 2008-11-11 16:15 <DIR> d-------- c:\windows\system32\drivers\Samsung
2008-11-11 16:15 . 2008-11-11 16:15 <DIR> d-------- c:\programme\Samsung
2008-11-11 16:15 . 2007-10-22 09:21 41,984 --------- c:\windows\system32\drivers\DGIVECP.SYS
2008-11-11 15:46 . 2008-11-11 15:46 86,016 --a------ c:\windows\system32\nao.exe
2008-11-11 15:29 . 2008-11-11 15:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-11-11 14:41 . 2008-11-11 14:41 552 --a------ c:\windows\system32\d3d8caps.dat
2008-11-11 14:28 . 2008-11-11 14:28 <DIR> d-------- c:\programme\VIA Technologies, Inc
2008-11-11 14:28 . 2004-08-03 23:15 145,792 --a------ c:\windows\system32\drivers\portcls.sys
2008-11-11 14:28 . 2004-08-03 23:15 140,928 --a------ c:\windows\system32\drivers\ks.sys
2008-11-11 14:28 . 2004-08-04 00:58 130,048 --a------ c:\windows\system32\ksproxy.ax
2008-11-11 14:28 . 2003-03-24 12:19 88,960 -ra------ c:\windows\system32\drivers\viaudio.sys
2008-11-11 14:28 . 2004-08-03 23:08 60,288 --a------ c:\windows\system32\drivers\drmk.sys
2008-11-11 14:28 . 2004-08-03 23:08 48,640 --a------ c:\windows\system32\drivers\stream.sys
2008-11-11 14:28 . 2002-12-16 10:19 32,768 --a------ c:\windows\system32\UnAudioNT.dll
2008-11-11 14:28 . 2004-08-04 00:57 4,096 --a------ c:\windows\system32\ksuser.dll
2008-11-11 13:55 . 2001-08-18 04:18 36,224 --a------ c:\windows\system32\drivers\isapnp.sys
2008-11-11 13:55 . 2001-08-18 04:18 36,224 --a--c--- c:\windows\system32\dllcache\isapnp.sys
2008-11-11 13:31 . 2008-11-11 13:31 <DIR> d-------- c:\programme\Gemeinsame Dateien\InstallShield
2008-11-11 13:28 . 2008-11-11 15:23 <DIR> d-------- C:\NVIDIA
2008-11-11 12:49 . 2008-11-11 12:49 <DIR> d-------- c:\dokumente und einstellungen\Graf\WINDOWS
2008-11-11 12:49 . 2003-02-16 16:46 306,688 --a------ c:\windows\IsUninst.exe
2008-11-11 12:19 . 2007-07-30 19:19 549,720 --a------ c:\windows\system32\wuapi.dll
2008-11-11 12:19 . 2007-07-30 19:19 325,976 --a------ c:\windows\system32\wucltui.dll
2008-11-11 12:19 . 2007-07-30 19:19 216,408 --a------ c:\windows\system32\wuaucpl.cpl
2008-11-11 12:19 . 2007-07-30 19:19 203,096 --a------ c:\windows\system32\wuweb.dll
2008-11-11 12:19 . 2004-08-03 14:05 186,648 --a------ c:\windows\system32\wuaueng1.dll
2008-11-11 12:19 . 2004-08-03 14:02 169,752 --a------ c:\windows\system32\wuauclt1.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-04 23:18 --------- d-----w c:\dokumente und einstellungen\Graf\Anwendungsdaten\SmartSurfer
2008-11-26 18:14 --------- d-----w c:\dokumente und einstellungen\Graf\Anwendungsdaten\WEBDE
2008-11-26 18:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WEBDE
2008-11-13 16:38 --------- d-----w c:\dokumente und einstellungen\Graf\Anwendungsdaten\FRITZ!
2008-11-11 10:45 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FRITZ!
2008-11-11 10:22 --------- d-----w c:\programme\Gemeinsame Dateien\AVM
2008-11-11 10:22 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ISDNWatch
2008-11-11 10:05 --------- d-----w c:\dokumente und einstellungen\Graf\Anwendungsdaten\T-Online
2008-11-11 10:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\T-Online
2008-11-11 09:33 558,142 ----a-w c:\windows\java\Packages\D3R7BRN5.ZIP
2008-11-11 09:33 --------- d-----w c:\programme\microsoft frontpage
2008-11-11 09:32 155,995 ----a-w c:\windows\java\Packages\6BJJZR5Z.ZIP
2008-11-11 09:31 --------- d-----w c:\programme\Online-Dienste
2008-11-11 09:30 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-09-16 00:14 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-09-16 00:14 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-09-16 00:12 81,920 ----a-w c:\windows\system32\dpl100.dll
2008-09-16 00:12 593,920 ----a-w c:\windows\system32\dpuGUI11.dll
2008-09-16 00:12 57,344 ----a-w c:\windows\system32\dpv11.dll
2008-09-16 00:12 53,248 ----a-w c:\windows\system32\dpuGUI10.dll
2008-09-16 00:12 344,064 ----a-w c:\windows\system32\dpus11.dll
2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu11.dll
2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu10.dll
2008-09-16 00:12 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-09-16 00:12 196,608 ----a-w c:\windows\system32\dtu100.dll
2008-09-16 00:12 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-09-16 00:11 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-09-16 00:11 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-09-16 00:11 683,520 ----a-w c:\windows\system32\DivX.dll
2008-09-16 00:11 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-09-16 00:11 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISDN SpeedManager"="c:\progra~1\T-Online\ISDNSP~1\tomcat.exe" [2005-09-22 1097728]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-03-03 2904064]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2007-10-23 524288]
"TrISDNLine"="d:\dokumente und einstellungen\graf\Desktop\Progs\TriLine\TrISDNLine\trisdnline.exe" [2004-07-21 732672]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-11 136600]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-03-03 46080]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="j:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"a-squared Anti-Dialer"="j:\programme\a-squared Anti-Dialer\a2adguard.exe" [2008-06-03 1497744]
"nwiz"="nwiz.exe" [2004-03-03 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\Graf\Startmen�\Programme\Autostart\
GMX SmartSurfer.lnk - j:\programme\GMX\GMX SmartSurfer\SmartSurfer.exe [2008-09-04 665024]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
ISDNWatch.lnk - j:\programme\Fritz!\IWatch.exe [2008-11-11 274432]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_6

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"wmsncs.exe"= wmsncs.exe:SYSTEM

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3751:TCP"= 3751:TCP:FD
"1960:TCP"= 1960:TCP:FD
"1200:TCP"= 1200:TCP:FD
"1280:TCP"= 1280:TCP:FD
"2839:TCP"= 2839:TCP:FD
"1390:TCP"= 1390:TCP:FD
"2036:TCP"= 2036:TCP:FD
"1877:TCP"= 1877:TCP:FD
"1361:TCP"= 1361:TCP:FD
"3918:TCP"= 3918:TCP:FD
"4023:TCP"= 4023:TCP:FD
"1013:TCP"= 1013:TCP:BS
"8080:TCP"= 8080:TCPORT1
"8081:TCP"= 8081:TCPORT2
"4089:TCP"= 4089:TCP:FD
"1476:TCP"= 1476:TCP:FD
"3108:TCP"= 3108:TCP:FD
"5029:TCP"= 5029:TCP:FD
"3576:TCP"= 3576:TCP:FD
"2183:TCP"= 2183:TCP:FD
"1951:TCP"= 1951:TCP:FD
"4114:TCP"= 4114:TCP:FD
"5016:TCP"= 5016:TCP:FD
"4479:TCP"= 4479:TCP:FD
"2015:TCP"= 2015:TCP:FD
"2527:TCP"= 2527:TCP:FD
"1825:TCP"= 1825:TCP:FD
"4574:TCP"= 4574:TCP:FD
"3915:TCP"= 3915:TCP:FD
"2284:TCP"= 2284:TCP:FD
"2532:TCP"= 2532:TCP:FD
"3577:TCP"= 3577:TCP:FD
"3610:TCP"= 3610:TCP:FD
"4684:TCP"= 4684:TCP:FD
"1464:TCP"= 1464:TCP:FD
"1544:TCP"= 1544:TCP:FD
"4347:TCP"= 4347:TCP:FD
"4181:TCP"= 4181:TCP:FD
"2387:TCP"= 2387:TCP:FD
"3973:TCP"= 3973:TCP:FD
"2187:TCP"= 2187:TCP:FD
"2618:TCP"= 2618:TCP:FD
"4156:TCP"= 4156:TCP:FD

R2 a2AntiDialer;a-squared Anti-Dialer Service;"j:\programme\a-squared Anti-Dialer\a2service.exe" [2008-11-14 419448]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [2008-11-11 59520]
R2 SmartSurferManager;SmartSurfer Manager;"j:\programme\GMX\GMX SmartSurfer\SmurfService.exe" [2008-09-04 132544]
R3 AVMWAN;NDIS WAN CAPI Treiber;c:\windows\system32\DRIVERS\avmwan.sys [2002-11-14 38608]
R3 FXUSBASE;1&1 NetXXL (WinXP/2000);c:\windows\system32\DRIVERS\fxusbase.sys [2002-11-14 503600]
R3 TOMCATWAN;T-Online DynamicISDN (WDM);c:\windows\system32\DRIVERS\WTOMCAT.SYS [2008-11-11 173334]
S2 SSPORT;SSPORT;\??\c:\windows\System32\Drivers\SSPORT.sys []
S3 MIINPazX;MIINPazX NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2008-11-11 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2008-11-11 17664]
S4 NET Runtime Optimization Service v2.1.41329_X86;NET Runtime Optimization Service v2.1.41329_X86;"c:\windows\Fonts\wmsncs.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{103L3C30-C3B3-4130-9363-E59E1375PERM}]
c:\windows\Fonts\wmsncs.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{0848225A-8181-42FC-8C68-F0A543B12967} - c:\windows\system32\dazsax.dll
HKCU-Run-TrISDNLine - j:\programme\TriLine\TrISDNLine\trisdnline.exe
HKU-Default-Run-Wmsncs Service - c:\windows\Fonts\wmsncs.exe
HKU-Default-Run-Spool Driver Service - c:\windows\system32\spool\drivers\wmsncs.exe
MSConfigStartUp-WLAN-Access Finder - c:\programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FireFox -: Profile - c:\dokumente und einstellungen\Graf\Anwendungsdaten\Mozilla\Firefox\Profiles\61xby2nx.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.web.de
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - j:\programme\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF -: plugin - j:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF -: plugin - j:\programme\Mozilla Firefox\plugins\np_gp.dll
FF -: plugin - j:\programme\Mozilla Firefox\plugins\npnul32.dll
FF -: plugin - j:\programme\VideoLAN\VLC\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-05 00:17:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system32\hpvaut32.dll 626960 bytes executable
c:\windows\system32\hpvcp70.dll 487424 bytes executable
c:\windows\system32\hpvcr70.dll 344064 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 3

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
j:\programme\Lavasoft\Ad-Aware\aawservice.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\T-Online\ISDN SpeedManager\TOMCAT.EXE
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-05 0:20:22 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-04 23:20:16

Vor Suchlauf: 13 Verzeichnis(se), 13.810.241.536 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 13,750,394,880 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptOut

343

#4 Aktualisiere dein Mbam bitte, das ist total veraltet. MAche danach einen neuen Bericht.

Lasse folgendes bei Virustotal pruefen und poste die Links zu den Ergebnissen:

c:\windows\system32\nao.exe
c:\windows\Fonts\wmsncs.exe (sofern vorhanden)

Mache bitte einen Scan mit Gmer:
http://forum.hijackthis.de/showthread.php?t=16868

Schaue bei der Windowsfirewall, das du da einige der Berechtigungen wieder raus nimmst.
__________
MfG Ralf
SEO-Spam Hunter

#5

Zitat

raman postete
Aktualisiere dein Mbam bitte, das ist total veraltet. MAche danach einen neuen Bericht.

Lasse folgendes bei [url="http://www.virustotal.com
c:\windows\system32\nao.exe
http://www.virustotal.com/de/analisis/3a23d3d4abcc4f2e80822b2a95011f87

c:\windows\Fonts\wmsncs.exe (sofern vorhanden)
....... nicht vorhanden..............

Mache bitte einen Scan mit Gmer:
http://forum.hijackthis.de/showthread.php?t=16868

Schaue bei der Windowsfirewall, das du da einige der Berechtigungen wieder raus nimmst.

http://www.virustotal.com/de/analisis/3a23d3d4abcc4f2e80822b2a95011f87

Den Rest mache ich auch noch. Aber was soll ich bei der Firewall entfernen ? Ich weiß nicht, wie die ganzen FD-Einträge überhaupt da rein kommen. Hat vielleicht das Tool TCP Optimizer damit was zu tun ?

#6 Nein, ich denke das hat ein *bot da rein geschrieben, oder vieleicht irgendeine P2P Software. Ist aber nur eine Vermutung.

Loesche bitte die c:\windows\system32\nao.exe und mache zusaetzlich noch einen scan mit Drweb cureit von www.freedrweb.com
__________
MfG Ralf
SEO-Spam Hunter

#7

Zitat

raman postete
Nein, ich denke das hat ein *bot da rein geschrieben, oder vieleicht irgendeine P2P Software. Ist aber nur eine Vermutung.

Loesche bitte die c:\windows\system32\nao.exe und mache zusaetzlich noch einen scan mit Drweb cureit von www.freedrweb.com

Zunächst mal herzlichen Dank ! Das ist ein prima Service hier.

Und hier nun die neuesten Scans von Dbam und Dr.Web :

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1463
Windows 5.1.2600 Service Pack 2

06.12.2008 00:15:44
mbam-log-2008-12-06 (00-15-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|J:\|)
Durchsuchte Objekte: 195947
Laufzeit: 1 hour(s), 47 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{8ae8a9ce-80de-4951-ad58-be6fc7a0e231} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{bde8a95b-a98d-4928-adcb-c3c3d0afa449} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NET Runtime Optimization Service v2.1.41329_X86 (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
-------------------------------------------------------------------------

AAWLaMaS.A880.dll C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online\T-Online_Software_6\Basis-Software\update\backup\WLAN ADAPTER Adware.Msearch
cf.exe\32788R22FWJFW\C.bat C:\Dokumente und Einstellungen\Graf\Desktop\Sicherheit\cf.exe Wahrscheinlich BATCH.Virus
cf.exe\32788R22FWJFW\psexec.cfexe C:\Dokumente und Einstellungen\Graf\Desktop\Sicherheit\cf.exe Program.PsExec.171
cf.exe C:\Dokumente und Einstellungen\Graf\Desktop\Sicherheit Archiv enthält infizierte Objekte Verschoben.
A0037136.exe\32788R22FWJFW\C.bat C:\System Volume Information\_restore{DE1DDD68-E2C6-4515-85F7-5B11D447570E}\RP28\A0037136.exe Wahrscheinlich BATCH.Virus
A0037136.exe C:\System Volume Information\_restore{DE1DDD68-E2C6-4515-85F7-5B11D447570E}\RP28 Archiv enthält infizierte Objekte Verschoben.
A0037149.bat C:\System Volume Information\_restore{DE1DDD68-E2C6-4515-85F7-5B11D447570E}\RP28 Wahrscheinlich BATCH.Virus
A0037179.bat C:\System Volume Information\_restore{DE1DDD68-E2C6-4515-85F7-5B11D447570E}\RP28 Wahrscheinlich BATCH.Virus
A0037189.EXE C:\System Volume Information\_restore{DE1DDD68-E2C6-4515-85F7-5B11D447570E}\RP28 Program.PsExec.170
A0037362.exe C:\System Volume Information\_restore{DE1DDD68-E2C6-4515-85F7-5B11D447570E}\RP29 Win32.HLLW.Agobot Gelöscht.
A0037392.exe\32788R22FWJFW\C.bat C:\System Volume Information\_restore{DE1DDD68-E2C6-4515-85F7-5B11D447570E}\RP30\A0037392.exe Wahrscheinlich BATCH.Virus
A0037392.exe\32788R22FWJFW\psexec.cfexe C:\System Volume Information\_restore{DE1DDD68-E2C6-4515-85F7-5B11D447570E}\RP30\A0037392.exe Program.PsExec.171
A0037392.exe C:\System Volume Information\_restore{DE1DDD68-E2C6-4515-85F7-5B11D447570E}\RP30 Archiv enthält infizierte Objekte Verschoben.
iesplugin.dll D:\Programme\IntCodec Trojan.Popuper Gelöscht.
isauninst.exe D:\Programme\IntCodec Trojan.Popuper Gelöscht.
A0037393.dll D:\System Volume Information\_restore{DE1DDD68-E2C6-4515-85F7-5B11D447570E}\RP30 Trojan.Popuper Gelöscht.
A0037394.exe D:\System Volume Information\_restore{DE1DDD68-E2C6-4515-85F7-5B11D447570E}\RP30 Trojan.Popuper Gelöscht.

#8 Loesche diesen Ordner:
D:\Programme\IntCodec

lasse Mbam deiin Laufwerk d: pruefen und erstelle ein neuen Combofix Report. Du wirst dir Combofix erneut herunter laden muessen...
__________
MfG Ralf
SEO-Spam Hunter

#9

Zitat

raman postete
Loesche diesen Ordner:
D:\Programme\IntCodec

lasse Mbam deiin Laufwerk d: pruefen und erstelle ein neuen Combofix Report. Du wirst dir Combofix erneut herunter laden muessen...

Da sind die Scans :

ComboFix 08-12-04.04 - Graf 2008-12-05 0:14:49.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\Graf\Desktop\cf.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Graf\Favoriten\Cheap Pharmacy Online.url
c:\dokumente und einstellungen\Graf\Favoriten\Search Online.url
c:\dokumente und einstellungen\Graf\Favoriten\SMS TRAP.url
c:\dokumente und einstellungen\Graf\Favoriten\VIP Casino.url
c:\windows\k.txt
c:\windows\system32\c.ico
c:\windows\system32\hpvaut32.dll
c:\windows\system32\hpvcp70.dll
c:\windows\system32\hpvcr70.dll
c:\windows\system32\m.ico
c:\windows\system32\p.ico
c:\windows\system32\s.ico
c:\windows\system32\sv.exe
c:\windows\system32\wmsoft24573.exe
J:\install.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-11-04 bis 2008-12-04 ))))))))))))))))))))))))))))))
.

2008-12-04 21:24 . 2008-12-04 21:24 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\Malwarebytes
2008-12-04 21:24 . 2008-12-04 21:24 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-04 21:24 . 2008-09-02 00:16 38,528 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-04 21:24 . 2008-09-02 00:16 17,200 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-03 13:18 . 2008-12-03 13:18 <DIR> d--h----- c:\windows\system32\GroupPolicy
2008-12-01 16:02 . 2008-12-01 16:02 <DIR> dr------- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2008-12-01 12:51 . 2008-12-01 12:51 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2008-11-30 12:11 . 2004-08-04 00:57 15,360 --a------ c:\windows\system32\ctfmon.exe.backup
2008-11-29 11:11 . 2008-12-02 17:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\oleco
2008-11-26 19:16 . 2008-11-26 19:16 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\GMX
2008-11-26 19:16 . 2008-11-26 19:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\GMX
2008-11-25 19:27 . 2008-11-25 19:27 34,494 --a------ c:\windows\system32\m2.ico
2008-11-22 20:13 . 2008-11-23 11:03 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\comodo
2008-11-20 00:56 . 2008-11-20 00:56 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\DivX
2008-11-18 16:23 . 2008-11-23 11:06 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\Comodo
2008-11-18 16:05 . 2008-11-18 16:38 129 --a------ c:\windows\DICTEDIT.INI
2008-11-18 15:20 . 2008-11-22 18:23 <DIR> d-------- c:\programme\COMODO
2008-11-18 15:20 . 2008-11-22 10:02 249,592 --a------ c:\windows\system32\cssdll32.dll
2008-11-17 18:56 . 2008-11-20 01:31 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\dvdcss
2008-11-17 11:57 . 2008-11-17 11:57 <DIR> d-------- c:\programme\Avira
2008-11-17 11:57 . 2008-11-17 11:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-11-16 15:37 . 2008-11-16 15:37 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-11-13 18:23 . 2008-11-13 18:23 8 --a------ c:\windows\system32\probtp51.cnt
2008-11-13 18:21 . 2008-11-13 18:21 <DIR> d-------- c:\windows\Downloaded Installations
2008-11-13 17:54 . 2008-12-05 00:17 <DIR> d-------- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\SmartSurfer
2008-11-13 08:43 . 2008-11-13 08:44 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\vlc
2008-11-12 08:19 . 2008-12-03 10:37 116 --a------ c:\windows\NeroDigital.ini
2008-11-12 00:35 . 2008-11-12 00:35 195 --a------ C:\boot.alt2
2008-11-12 00:04 . 2008-11-12 09:19 24 --a------ c:\windows\HBUser.ini
2008-11-11 23:54 . 2003-10-14 17:40 173,334 --------- c:\windows\system32\drivers\WTOMCAT.sys
2008-11-11 23:54 . 1999-12-10 18:34 5,734 --------- c:\windows\system32\vctst.vxd
2008-11-11 23:51 . 2008-11-11 23:51 24,091 --a------ c:\windows\system32\NULL
2008-11-11 23:48 . 2008-11-11 23:48 <DIR> d-------- c:\windows\system32\URTTemp
2008-11-11 23:47 . 2008-11-14 21:23 <DIR> d-------- c:\programme\T-Online
2008-11-11 23:47 . 2008-11-14 21:23 <DIR> d-------- c:\programme\Gemeinsame Dateien\Marmiko Shared
2008-11-11 23:47 . 2005-02-01 11:25 344,064 --------- c:\windows\system32\msvcr70.dll
2008-11-11 23:47 . 2005-02-01 11:25 50,688 --------- c:\windows\system32\wbhelp2.dll
2008-11-11 23:02 . 2008-11-11 23:04 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\Ahead
2008-11-11 23:00 . 2008-11-11 23:00 <DIR> d-------- c:\programme\Nero
2008-11-11 23:00 . 2008-11-11 23:03 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ahead
2008-11-11 22:24 . 2008-11-11 22:24 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-11-11 22:23 . 2008-11-11 22:23 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\Ulead Systems
2008-11-11 21:56 . 2008-11-11 21:56 <DIR> d-------- c:\dokumente und einstellungen\Graf\.VirtualBox
2008-11-11 21:54 . 2008-11-27 20:40 <DIR> d----c--- c:\windows\system32\DRVSTORE
2008-11-11 21:54 . 2008-09-12 16:00 95,888 --a------ c:\windows\system32\drivers\VBoxDrv.sys
2008-11-11 21:54 . 2008-09-12 16:00 41,680 --a------ c:\windows\system32\drivers\VBoxUSBMon.sys
2008-11-11 21:51 . 2008-11-11 21:51 <DIR> d-------- C:\Cliparts Büro & Blumen
2008-11-11 21:47 . 2008-11-11 21:48 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe
2008-11-11 20:28 . 2004-08-03 23:14 359,040 --a------ c:\windows\system32\drivers\tcpip.sys.book
2008-11-11 20:13 . 2008-11-11 20:13 <DIR> d-------- c:\programme\Microsoft Works
2008-11-11 20:11 . 2008-11-11 20:11 <DIR> d-------- c:\windows\SHELLNEW
2008-11-11 20:10 . 2008-11-11 20:10 <DIR> dr-h----- C:\MSOCache
2008-11-11 20:10 . 2008-11-11 20:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-11-11 19:59 . 2008-11-11 19:59 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2008-11-11 19:51 . 2008-11-11 19:51 <DIR> d-------- c:\windows\provisioning
2008-11-11 19:49 . 2008-11-11 19:49 <DIR> d-------- c:\windows\ServicePackFiles
2008-11-11 19:46 . 2004-07-17 11:40 19,528 --a------ c:\windows\002302_.tmp
2008-11-11 19:46 . 2004-08-03 22:42 15,872 --a------ c:\windows\system32\spupdsvc.exe
2008-11-11 19:44 . 2008-11-11 19:52 <DIR> d-------- c:\windows\EHome
2008-11-11 19:32 . 2008-11-16 15:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-11-11 19:25 . 2008-11-11 19:25 <DIR> d-------- c:\programme\FreePDF_XP
2008-11-11 19:25 . 2008-11-11 19:25 <DIR> d-------- c:\dokumente und einstellungen\All Users\FreePDF
2008-11-11 19:25 . 2005-01-06 18:33 119,152 --a------ c:\windows\system32\redmon.hlp
2008-11-11 19:25 . 2005-01-06 18:33 116,224 --a------ c:\windows\system32\redmonnt.dll
2008-11-11 19:25 . 2005-01-06 18:33 45,056 --a------ c:\windows\system32\unredmon.exe
2008-11-11 19:21 . 2008-12-03 19:17 3,417 --a------ c:\windows\tMainPluG.INI
2008-11-11 19:21 . 2008-12-03 19:17 176 --a------ c:\windows\LangIDlib.INI
2008-11-11 19:18 . 2008-11-17 16:55 <DIR> d-------- c:\dokumente und einstellungen\Graf\Anwendungsdaten\FileZilla
2008-11-11 19:11 . 2008-11-11 19:11 <DIR> d-------- C:\$WIN_NT$.~LS
2008-11-11 19:11 . 2008-11-11 19:11 <DIR> d-------- C:\$WIN_NT$.~BT
2008-11-11 19:06 . 2002-08-29 08:51 455,245 --a------ C:\txtsetup.sif
2008-11-11 19:06 . 2002-08-29 01:06 248,096 --a------ C:\$LDR$
2008-11-11 16:43 . 2008-11-19 20:32 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\SmartSurfer
2008-11-11 16:36 . 2008-11-11 16:36 <DIR> d-------- c:\programme\Gemeinsame Dateien\Hewlett-Packard
2008-11-11 16:36 . 2004-01-05 11:44 16,496 -ra------ c:\windows\system32\drivers\HPZipr12.sys
2008-11-11 16:35 . 2004-01-05 11:44 51,056 -ra------ c:\windows\system32\drivers\hpzid412.sys
2008-11-11 16:35 . 2004-01-05 11:44 21,488 -ra------ c:\windows\system32\drivers\HPZius12.sys
2008-11-11 16:35 . 2004-08-03 22:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2008-11-11 16:32 . 2008-11-11 16:32 <DIR> d-------- c:\programme\HP
2008-11-11 16:31 . 2004-01-05 11:44 38,879 --------- c:\windows\hpomdl03.dat
2008-11-11 16:31 . 2008-11-11 16:37 29,572 --a------ c:\windows\hpoins03.dat
2008-11-11 16:29 . 2008-11-11 16:29 <DIR> d-------- c:\programme\Java
2008-11-11 16:29 . 2008-11-11 16:29 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-11 16:29 . 2008-11-11 16:29 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-11-11 16:20 . 2008-11-11 16:20 <DIR> d-------- c:\windows\Samsung
2008-11-11 16:20 . 2008-11-14 21:23 <DIR> d--h----- c:\programme\InstallShield Installation Information
2008-11-11 16:20 . 2006-08-17 08:27 1,233,920 --a------ c:\windows\system32\msxml4.dll
2008-11-11 16:20 . 2007-10-22 09:20 471,040 --a------ c:\windows\ssndii.exe
2008-11-11 16:20 . 2006-08-17 08:27 82,432 --a------ c:\windows\system32\msxml4r.dll
2008-11-11 16:20 . 2007-10-23 01:36 57,344 --a------ c:\windows\system32\ssdevm.dll
2008-11-11 16:20 . 2006-08-17 08:27 49,152 --a------ c:\windows\system32\ssusbpn.dll
2008-11-11 16:20 . 2006-08-17 08:27 44,544 --a------ c:\windows\system32\msxml4a.dll
2008-11-11 16:20 . 2006-08-17 08:27 21,776 --a------ c:\windows\system32\msxml2a.dll
2008-11-11 16:16 . 2007-10-23 02:47 151,552 --a------ c:\windows\system32\SUGG1CI.exe
2008-11-11 16:16 . 2007-10-23 02:47 57,344 --a------ c:\windows\system32\SUGG1CI.dll
2008-11-11 16:16 . 2007-10-23 02:47 22,663 --a------ c:\windows\system32\SUGG1LMK.DLL
2008-11-11 16:16 . 2006-08-18 03:47 11,502 --------- c:\windows\Dr. Printer Icon.ico
2008-11-11 16:16 . 2007-10-23 02:47 555 --a------ c:\windows\system32\SUGG1LMK.SMT
2008-11-11 16:15 . 2008-11-11 16:15 <DIR> d-------- c:\windows\system32\drivers\Samsung
2008-11-11 16:15 . 2008-11-11 16:15 <DIR> d-------- c:\programme\Samsung
2008-11-11 16:15 . 2007-10-22 09:21 41,984 --------- c:\windows\system32\drivers\DGIVECP.SYS
2008-11-11 15:46 . 2008-11-11 15:46 86,016 --a------ c:\windows\system32\nao.exe
2008-11-11 15:29 . 2008-11-11 15:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-11-11 14:41 . 2008-11-11 14:41 552 --a------ c:\windows\system32\d3d8caps.dat
2008-11-11 14:28 . 2008-11-11 14:28 <DIR> d-------- c:\programme\VIA Technologies, Inc
2008-11-11 14:28 . 2004-08-03 23:15 145,792 --a------ c:\windows\system32\drivers\portcls.sys
2008-11-11 14:28 . 2004-08-03 23:15 140,928 --a------ c:\windows\system32\drivers\ks.sys
2008-11-11 14:28 . 2004-08-04 00:58 130,048 --a------ c:\windows\system32\ksproxy.ax
2008-11-11 14:28 . 2003-03-24 12:19 88,960 -ra------ c:\windows\system32\drivers\viaudio.sys
2008-11-11 14:28 . 2004-08-03 23:08 60,288 --a------ c:\windows\system32\drivers\drmk.sys
2008-11-11 14:28 . 2004-08-03 23:08 48,640 --a------ c:\windows\system32\drivers\stream.sys
2008-11-11 14:28 . 2002-12-16 10:19 32,768 --a------ c:\windows\system32\UnAudioNT.dll
2008-11-11 14:28 . 2004-08-04 00:57 4,096 --a------ c:\windows\system32\ksuser.dll
2008-11-11 13:55 . 2001-08-18 04:18 36,224 --a------ c:\windows\system32\drivers\isapnp.sys
2008-11-11 13:55 . 2001-08-18 04:18 36,224 --a--c--- c:\windows\system32\dllcache\isapnp.sys
2008-11-11 13:31 . 2008-11-11 13:31 <DIR> d-------- c:\programme\Gemeinsame Dateien\InstallShield
2008-11-11 13:28 . 2008-11-11 15:23 <DIR> d-------- C:\NVIDIA
2008-11-11 12:49 . 2008-11-11 12:49 <DIR> d-------- c:\dokumente und einstellungen\Graf\WINDOWS
2008-11-11 12:49 . 2003-02-16 16:46 306,688 --a------ c:\windows\IsUninst.exe
2008-11-11 12:19 . 2007-07-30 19:19 549,720 --a------ c:\windows\system32\wuapi.dll
2008-11-11 12:19 . 2007-07-30 19:19 325,976 --a------ c:\windows\system32\wucltui.dll
2008-11-11 12:19 . 2007-07-30 19:19 216,408 --a------ c:\windows\system32\wuaucpl.cpl
2008-11-11 12:19 . 2007-07-30 19:19 203,096 --a------ c:\windows\system32\wuweb.dll
2008-11-11 12:19 . 2004-08-03 14:05 186,648 --a------ c:\windows\system32\wuaueng1.dll
2008-11-11 12:19 . 2004-08-03 14:02 169,752 --a------ c:\windows\system32\wuauclt1.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-04 23:18 --------- d-----w c:\dokumente und einstellungen\Graf\Anwendungsdaten\SmartSurfer
2008-11-26 18:14 --------- d-----w c:\dokumente und einstellungen\Graf\Anwendungsdaten\WEBDE
2008-11-26 18:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WEBDE
2008-11-13 16:38 --------- d-----w c:\dokumente und einstellungen\Graf\Anwendungsdaten\FRITZ!
2008-11-11 10:45 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FRITZ!
2008-11-11 10:22 --------- d-----w c:\programme\Gemeinsame Dateien\AVM
2008-11-11 10:22 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ISDNWatch
2008-11-11 10:05 --------- d-----w c:\dokumente und einstellungen\Graf\Anwendungsdaten\T-Online
2008-11-11 10:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\T-Online
2008-11-11 09:33 558,142 ----a-w c:\windows\java\Packages\D3R7BRN5.ZIP
2008-11-11 09:33 --------- d-----w c:\programme\microsoft frontpage
2008-11-11 09:32 155,995 ----a-w c:\windows\java\Packages\6BJJZR5Z.ZIP
2008-11-11 09:31 --------- d-----w c:\programme\Online-Dienste
2008-11-11 09:30 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-09-16 00:14 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-09-16 00:14 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-09-16 00:12 81,920 ----a-w c:\windows\system32\dpl100.dll
2008-09-16 00:12 593,920 ----a-w c:\windows\system32\dpuGUI11.dll
2008-09-16 00:12 57,344 ----a-w c:\windows\system32\dpv11.dll
2008-09-16 00:12 53,248 ----a-w c:\windows\system32\dpuGUI10.dll
2008-09-16 00:12 344,064 ----a-w c:\windows\system32\dpus11.dll
2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu11.dll
2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu10.dll
2008-09-16 00:12 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-09-16 00:12 196,608 ----a-w c:\windows\system32\dtu100.dll
2008-09-16 00:12 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-09-16 00:11 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-09-16 00:11 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-09-16 00:11 683,520 ----a-w c:\windows\system32\DivX.dll
2008-09-16 00:11 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-09-16 00:11 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISDN SpeedManager"="c:\progra~1\T-Online\ISDNSP~1\tomcat.exe" [2005-09-22 1097728]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-03-03 2904064]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2007-10-23 524288]
"TrISDNLine"="d:\dokumente und einstellungen\graf\Desktop\Progs\TriLine\TrISDNLine\trisdnline.exe" [2004-07-21 732672]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-11 136600]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-03-03 46080]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="j:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"a-squared Anti-Dialer"="j:\programme\a-squared Anti-Dialer\a2adguard.exe" [2008-06-03 1497744]
"nwiz"="nwiz.exe" [2004-03-03 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\Graf\Startmen�\Programme\Autostart\
GMX SmartSurfer.lnk - j:\programme\GMX\GMX SmartSurfer\SmartSurfer.exe [2008-09-04 665024]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
ISDNWatch.lnk - j:\programme\Fritz!\IWatch.exe [2008-11-11 274432]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_6

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"wmsncs.exe"= wmsncs.exe:SYSTEM

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3751:TCP"= 3751:TCP:FD
"1960:TCP"= 1960:TCP:FD
"1200:TCP"= 1200:TCP:FD
"1280:TCP"= 1280:TCP:FD
"2839:TCP"= 2839:TCP:FD
"1390:TCP"= 1390:TCP:FD
"2036:TCP"= 2036:TCP:FD
"1877:TCP"= 1877:TCP:FD
"1361:TCP"= 1361:TCP:FD
"3918:TCP"= 3918:TCP:FD
"4023:TCP"= 4023:TCP:FD
"1013:TCP"= 1013:TCP:BS
"8080:TCP"= 8080:TCPORT1
"8081:TCP"= 8081:TCPORT2
"4089:TCP"= 4089:TCP:FD
"1476:TCP"= 1476:TCP:FD
"3108:TCP"= 3108:TCP:FD
"5029:TCP"= 5029:TCP:FD
"3576:TCP"= 3576:TCP:FD
"2183:TCP"= 2183:TCP:FD
"1951:TCP"= 1951:TCP:FD
"4114:TCP"= 4114:TCP:FD
"5016:TCP"= 5016:TCP:FD
"4479:TCP"= 4479:TCP:FD
"2015:TCP"= 2015:TCP:FD
"2527:TCP"= 2527:TCP:FD
"1825:TCP"= 1825:TCP:FD
"4574:TCP"= 4574:TCP:FD
"3915:TCP"= 3915:TCP:FD
"2284:TCP"= 2284:TCP:FD
"2532:TCP"= 2532:TCP:FD
"3577:TCP"= 3577:TCP:FD
"3610:TCP"= 3610:TCP:FD
"4684:TCP"= 4684:TCP:FD
"1464:TCP"= 1464:TCP:FD
"1544:TCP"= 1544:TCP:FD
"4347:TCP"= 4347:TCP:FD
"4181:TCP"= 4181:TCP:FD
"2387:TCP"= 2387:TCP:FD
"3973:TCP"= 3973:TCP:FD
"2187:TCP"= 2187:TCP:FD
"2618:TCP"= 2618:TCP:FD
"4156:TCP"= 4156:TCP:FD

R2 a2AntiDialer;a-squared Anti-Dialer Service;"j:\programme\a-squared Anti-Dialer\a2service.exe" [2008-11-14 419448]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [2008-11-11 59520]
R2 SmartSurferManager;SmartSurfer Manager;"j:\programme\GMX\GMX SmartSurfer\SmurfService.exe" [2008-09-04 132544]
R3 AVMWAN;NDIS WAN CAPI Treiber;c:\windows\system32\DRIVERS\avmwan.sys [2002-11-14 38608]
R3 FXUSBASE;1&1 NetXXL (WinXP/2000);c:\windows\system32\DRIVERS\fxusbase.sys [2002-11-14 503600]
R3 TOMCATWAN;T-Online DynamicISDN (WDM);c:\windows\system32\DRIVERS\WTOMCAT.SYS [2008-11-11 173334]
S2 SSPORT;SSPORT;\??\c:\windows\System32\Drivers\SSPORT.sys []
S3 MIINPazX;MIINPazX NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2008-11-11 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2008-11-11 17664]
S4 NET Runtime Optimization Service v2.1.41329_X86;NET Runtime Optimization Service v2.1.41329_X86;"c:\windows\Fonts\wmsncs.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{103L3C30-C3B3-4130-9363-E59E1375PERM}]
c:\windows\Fonts\wmsncs.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{0848225A-8181-42FC-8C68-F0A543B12967} - c:\windows\system32\dazsax.dll
HKCU-Run-TrISDNLine - j:\programme\TriLine\TrISDNLine\trisdnline.exe
HKU-Default-Run-Wmsncs Service - c:\windows\Fonts\wmsncs.exe
HKU-Default-Run-Spool Driver Service - c:\windows\system32\spool\drivers\wmsncs.exe
MSConfigStartUp-WLAN-Access Finder - c:\programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FireFox -: Profile - c:\dokumente und einstellungen\Graf\Anwendungsdaten\Mozilla\Firefox\Profiles\61xby2nx.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.web.de
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - j:\programme\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF -: plugin - j:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF -: plugin - j:\programme\Mozilla Firefox\plugins\np_gp.dll
FF -: plugin - j:\programme\Mozilla Firefox\plugins\npnul32.dll
FF -: plugin - j:\programme\VideoLAN\VLC\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-05 00:17:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system32\hpvaut32.dll 626960 bytes executable
c:\windows\system32\hpvcp70.dll 487424 bytes executable
c:\windows\system32\hpvcr70.dll 344064 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 3

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
j:\programme\Lavasoft\Ad-Aware\aawservice.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\T-Online\ISDN SpeedManager\TOMCAT.EXE
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-05 0:20:22 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-04 23:20:16

Vor Suchlauf: 13 Verzeichnis(se), 13.810.241.536 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 13,750,394,880 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptOut

343
-------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1463
Windows 5.1.2600 Service Pack 2

08.12.2008 16:35:26
mbam-log-2008-12-08 (16-35-26).txt

Scan-Methode: Vollständiger Scan (D:\|)
Durchsuchte Objekte: 75347
Laufzeit: 43 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)