Trojaner TR/Drop.Agent.age

#0
27.12.2008, 14:57
Member

Themenstarter

Beiträge: 12
#16 Hatte nur das beendet was "Arnold" meinte, was ich ausschalten sollte.
Seitenanfang Seitenende
27.12.2008, 15:05
Member

Beiträge: 3716
#17 wenn du mit dem antivirscan durch bist, poste bite mal noch n neues hjt-log
Seitenanfang Seitenende
27.12.2008, 15:23
Member

Themenstarter

Beiträge: 12
#18 also hier der Report von AntiVir:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 27. Dezember 2008 14:23

Es wird nach 1118432 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: ****************
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Besitzer
Computername: BESITZER-09B973

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 28.11.2008 08:26:10
AVSCAN.DLL : 8.1.4.0 48897 Bytes 28.07.2008 06:40:41
LUKE.DLL : 8.1.4.5 164097 Bytes 28.07.2008 06:40:42
LUKERES.DLL : 8.1.4.0 12545 Bytes 28.07.2008 06:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:59
ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24.12.2008 13:23:09
ANTIVIR2.VDF : 7.1.1.34 2048 Bytes 24.12.2008 13:23:09
ANTIVIR3.VDF : 7.1.1.36 19456 Bytes 25.12.2008 13:23:10
Engineversion : 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 11:27:10
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 13.12.2008 17:48:31
AESCN.DLL : 8.1.1.5 123251 Bytes 09.11.2008 11:31:17
AERDL.DLL : 8.1.1.3 438645 Bytes 09.11.2008 11:31:16
AEPACK.DLL : 8.1.3.4 393591 Bytes 15.11.2008 07:27:45
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 13.12.2008 17:48:30
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 13.12.2008 17:48:29
AEHELP.DLL : 8.1.2.0 119159 Bytes 28.11.2008 08:26:11
AEGEN.DLL : 8.1.1.8 323956 Bytes 13.12.2008 17:48:25
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 11:27:01
AECORE.DLL : 8.1.5.2 172405 Bytes 30.11.2008 08:54:26
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 11:26:59
AVWINLL.DLL : 1.0.0.12 15105 Bytes 28.07.2008 06:40:41
AVPREF.DLL : 8.0.2.0 38657 Bytes 28.07.2008 06:40:41
AVREP.DLL : 8.0.0.2 98344 Bytes 05.08.2008 19:03:41
AVREG.DLL : 8.0.0.1 33537 Bytes 28.07.2008 06:40:41
AVARKT.DLL : 1.0.0.23 307457 Bytes 28.04.2008 06:20:58
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 28.07.2008 06:40:41
SQLITE3.DLL : 3.3.17.1 339968 Bytes 28.04.2008 06:20:59
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 28.07.2008 06:40:42
NETNT.DLL : 8.0.0.1 7937 Bytes 28.04.2008 06:20:59
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 28.07.2008 06:40:31
RCTEXT.DLL : 8.0.52.0 86273 Bytes 28.07.2008 06:40:31

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 27. Dezember 2008 14:23

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'browser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Notifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hposts08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpoevm08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PROFIL~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sc_watch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kernel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpotdd01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InfoCockpit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpohmr08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ToADiMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '46' Prozesse mit '46' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '65' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\sos61B.tmp
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c939d5.qua' verschoben!
C:\WINDOWS\Temp\sos61D.tmp
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48a71486.qua' verschoben!
C:\WINDOWS\Temp\tmpAA6.tmp
[FUND] Ist das Trojanische Pferd TR/Drop.Muldrop.PZO
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c639d4.qua' verschoben!


Ende des Suchlaufs: Samstag, 27. Dezember 2008 15:19
Benötigte Zeit: 56:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

10958 Verzeichnisse wurden überprüft
258880 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
258876 Dateien ohne Befall
2612 Archive wurden durchsucht
1 Warnungen
3 Hinweise


und der HJ-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:22:31, on 27.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqbam08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqgpc01.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\antivir personaledition classic\avcenter.exe
c:\programme\antivir personaledition classic\avscan.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9B43D99-D6C6-45F2-8B5B-BD9A594951B5}: NameServer = 217.237.149.142 217.237.150.205
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

--
End of file - 6879 bytes
Seitenanfang Seitenende
27.12.2008, 15:30
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#19 Dannn aktiviere diese beiden mal wieder
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService)


ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!

Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe
Note:
Wenn ComboFix schon eher benutzt worden ist, kann es sein das eine Meldung kommt das es ein Update gibt
Lass es zu das ComboFix ge-updatet wird
Klicke OK im "NirCmd") Fenster klicke ja um Combofix zu starten

Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"

Befolge diese Anleitung und installiere auch den Wiederherstellungskonsole
__________
MfG Argus
Seitenanfang Seitenende
27.12.2008, 16:07
Member

Themenstarter

Beiträge: 12
#20 Combofix:

ComboFix 08-12-26.03 - Besitzer 2008-12-27 15:52:09.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1023.580 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\IE4 Error Log.txt
c:\windows\system32\hpowiax7.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-11-27 bis 2008-12-27 ))))))))))))))))))))))))))))))
.

2008-12-27 12:17 . 2008-12-27 12:33 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-27 12:17 . 2008-12-27 12:17 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-12-27 12:17 . 2008-12-27 12:17 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-27 12:17 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-27 12:17 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-27 12:10 . 2008-12-27 12:10 <DIR> d-------- c:\programme\Java
2008-12-27 12:10 . 2008-12-27 12:10 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-27 12:10 . 2008-12-27 12:10 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-27 01:39 . 2008-12-27 01:39 <DIR> d-------- c:\programme\Trend Micro
2008-12-23 11:28 . 2008-12-23 11:28 <DIR> d-------- C:\T-Online_Software_6
2008-12-18 13:54 . 2008-12-26 23:36 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\HPAppData
2008-12-18 13:54 . 2008-12-18 13:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HPSSUPPLY
2008-12-17 15:17 . 2008-12-17 15:17 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WEBREG
2008-12-17 15:13 . 2008-12-17 15:13 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\HP
2008-12-17 15:07 . 2008-12-17 15:07 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2008-12-17 15:07 . 2008-01-24 22:23 271,704 -ra------ c:\windows\system32\hpzids01.dll
2008-12-17 15:07 . 2007-10-20 18:25 118,272 --a------ c:\windows\system32\hpz3l5mu.dll
2008-12-17 15:00 . 2008-12-17 15:00 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2008-12-17 15:00 . 2008-12-17 15:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP
2008-12-17 14:59 . 2008-12-17 14:59 <DIR> d-------- c:\programme\Gemeinsame Dateien\HP
2008-12-17 14:56 . 2008-12-17 15:04 <DIR> d-------- c:\programme\HP
2008-12-17 14:53 . 2008-12-17 15:16 187,917 --a------ c:\windows\hpoins28.dat
2008-12-17 14:53 . 2008-07-01 05:02 796 --------- c:\windows\hpomdl28.dat
2008-12-17 14:52 . 2008-12-17 14:52 <DIR> d----c--- c:\windows\system32\DRVSTORE
2008-12-17 14:52 . 2008-01-24 22:22 581,632 -ra------ c:\windows\system32\hpotscl6.dll
2008-12-17 14:52 . 2008-01-24 22:22 372,736 -ra------ c:\windows\system32\hppldcoi.dll
2008-12-17 14:52 . 2008-01-24 22:22 309,760 -ra------ c:\windows\system32\difxapi.dll
2008-12-17 14:52 . 2008-01-24 22:22 303,104 -ra------ c:\windows\system32\hpovst15.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-27 14:57 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-17 14:00 --------- d-----w c:\programme\Hewlett-Packard
2008-12-10 14:33 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2007-01-03 12:36 33,880 ----a-w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-08-10 17:36 0 ----a-w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\wklnhst.dat
2008-12-22 07:13 67,688 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-12-22 07:13 54,368 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-22 07:13 34,944 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-12-22 07:13 46,712 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-12-22 07:13 172,136 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
2007-03-07 10:13 8,192 --sha-w c:\windows\o2cLicStore.bin
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="c:\progra~1\MESSEN~1\Msmsgs.exe" [2005-08-31 1658592]
"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 176128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-01 7311360]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 57344]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-28 266497]
"ToADiMon.exe"="c:\programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2007-02-15 282624]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2008-03-25 49152]
"hpqSRMon"="c:\programme\Hewlett-Packard\Digital Imaging\bin\hpqSRMon.exe" [2008-03-13 81920]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-27 136600]
"SoundMan"="SOUNDMAN.EXE" [2005-12-14 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2005-12-01 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 176128]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2008-03-25 214360]
hp psc 1000 series.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 147456]
hpoddt01.exe.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 28672]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\Msmsgs.exe"=
"c:\\Programme\\T-Online\\T-Online_Software_6\\eMail\\Mail.exe"=
"c:\\AVA\\WESA3\\HAG8\\HOAI\\MSBTB\\btb.exe"=
"c:\\Programme\\Rowa-Soft GmbH\\Bauphys\\bin\\bauphys.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqgpc01.exe"=

S3 MIINPazX;MIINPazX NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-08-24 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2005-11-24 17536]
S3 TNPacket;T-Systems Nova Packet Capture Driver;\??\c:\programme\T-DSL SpeedManager\TNPACKET.SYS [2004-03-11 9696]
S4 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2006-12-03 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1155295674.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-NWEReboot - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.t-online.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\6020uwng.default\
FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn2\components\hpClipBook.dll
FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn2\components\hpClipBookDB.dll
FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn2\components\hpSmartSelect.dll
FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn2\components\hpSmartWebPrinting.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-27 15:57:08
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\InfoCockpit.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
c:\programme\Hewlett-Packard\Digital Imaging\bin\hposts08.exe
c:\windows\system32\wscntfy.exe
c:\programme\Hewlett-Packard\Digital Imaging\bin\hpqste08.exe
c:\programme\Hewlett-Packard\Digital Imaging\bin\hpqbam08.exe
c:\programme\Hewlett-Packard\Digital Imaging\bin\hpqgpc01.exe
c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
c:\progra~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-27 16:04:47 - PC wurde neu gestartet [Besitzer]
ComboFix-quarantined-files.txt 2008-12-27 15:03:29

Vor Suchlauf: 18 Verzeichnis(se), 229.604.728.832 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 234,577,121,280 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer

1633 --- E O F --- 2008-12-21 22:33:13
Seitenanfang Seitenende
27.12.2008, 16:19
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#21 Start > Ausführen> Kopiere rein ComboFix /U OK

Ändere diesen Wert im Registry

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001 >>0
__________
MfG Argus
Seitenanfang Seitenende
27.12.2008, 16:24
Member

Themenstarter

Beiträge: 12
#22 ComboFix wurde deinstalliert, wo finde ich das Registry?
Seitenanfang Seitenende
27.12.2008, 16:26
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#23 Start - Ausführen - gib ein regedit ok
__________
MfG Argus
Seitenanfang Seitenende
27.12.2008, 16:32
Member

Themenstarter

Beiträge: 12
#24 ok habe ich gemacht und nun? ist alles runter?
Seitenanfang Seitenende
27.12.2008, 16:59
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#25 Cleane dein Rechner noch mit CCleaner
__________
MfG Argus
Seitenanfang Seitenende
27.12.2008, 17:08
Member

Themenstarter

Beiträge: 12
#26 habe ich jetzt auch erledigt. gibt es noch was zu beachten?
Dieser Beitrag wurde am 27.12.2008 um 17:25 Uhr von OleH editiert.
Seitenanfang Seitenende