Backdoor BDS/Prorat.U.1

Thema ist geschlossen!
Thema ist geschlossen!
#0
15.02.2009, 02:22
Member

Beiträge: 43
#1 Jetzt wars ne Weile ruhig, aber seit kurzem meldet Anti Vir wieder alles mögliche. Unter anderem auch "'BDS/Prorat.U.1' [backdoor]"

Ich mache jetzt einfach nochmal alles so, wies in der Anleitung steht.


mache einen Scan mit Malwarebytes

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1762
Windows 5.1.2600 Service Pack 2

15.02.2009 01:52:32
mbam-log-2009-02-15 (01-52-32).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 70511
Laufzeit: 8 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\explorer (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\log.exe.exe (Worm.Zhelatin) -> Quarantined and deleted successfully.



combofix

ComboFix 09-02-12.03 - lisa 2009-02-15 2:00:27.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.512.245 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\lisa\Desktop\ComboFix.exe
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated)
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated)
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\log.exe
c:\windows\Temp\tmp3.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-15 bis 2009-02-15 ))))))))))))))))))))))))))))))
.

2009-02-14 21:55 . 2009-02-14 21:55 95,744 --a------ c:\windows\system32\firefoxS.dll
2009-02-14 01:34 . 2009-02-14 01:34 53,248 --a------ c:\windows\system32\ICQ1.EXE
2009-02-14 01:34 . 2009-02-14 01:34 9 --a------ c:\windows\system32\SETTINGS
2009-02-10 23:10 . 2009-02-10 23:30 <DIR> d-------- c:\programme\ICQ
2009-02-01 21:22 . 2009-02-01 21:22 <DIR> d-------- C:\MirandaFusion
2009-02-01 21:08 . 2009-02-01 21:08 37,124 --a------ c:\windows\system32\imsn.exe
2009-02-01 17:56 . 2009-02-01 17:56 230,454 --a------ c:\windows\p_ekran.bmp
2009-02-01 17:53 . 2009-02-01 21:07 44,355 --a------ c:\windows\p_ekran.jpg
2009-02-01 17:49 . 2009-02-01 17:49 54 --a------ c:\windows\refresh.scf
2009-01-23 01:21 . 2009-01-23 02:54 <DIR> d-------- c:\programme\EsetOnlineScanner
2009-01-22 01:23 . 2009-02-02 00:09 15,688 --a------ c:\windows\system32\lsdelete.exe
2009-01-22 00:05 . 2009-01-22 00:05 <DIR> d-------- c:\programme\Lavasoft
2009-01-22 00:05 . 2009-01-22 00:05 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-01-19 00:26 . 2009-01-19 00:30 <DIR> d-------- c:\programme\Chaos Antidote
2009-01-18 19:32 . 2009-01-18 20:21 <DIR> d-------- c:\dokumente und einstellungen\lisa\Anwendungsdaten\FileZilla
2009-01-18 19:04 . 2009-01-18 19:04 <DIR> d-------- c:\dokumente und einstellungen\lisa\Anwendungsdaten\SmartFTP
2009-01-18 17:48 . 2009-01-18 17:52 <DIR> d-------- C:\Lop SD
2009-01-18 00:56 . 2009-01-18 00:56 <DIR> d-------- c:\windows\Content.IE5
2009-01-18 00:53 . 2009-01-18 00:53 <DIR> d-------- c:\windows\system32\CatRoot_bak
2009-01-17 01:43 . 2009-01-17 01:43 <DIR> d-------- c:\programme\Microsoft CAPICOM 2.1.0.2
2009-01-17 01:41 . 2009-02-12 15:02 1,374 --a------ c:\windows\imsins.BAK
2009-01-16 23:56 . 2008-05-01 15:30 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2009-01-16 23:52 . 2008-06-14 18:57 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-01-16 23:39 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-01-16 23:39 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2009-01-16 23:39 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-01-16 22:43 . 2009-02-15 01:42 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-16 22:43 . 2009-01-16 22:43 <DIR> d-------- c:\dokumente und einstellungen\lisa\Anwendungsdaten\Malwarebytes
2009-01-16 22:43 . 2009-01-16 22:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-16 22:43 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-16 22:43 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-15 00:34 --------- d-----w c:\programme\Gemeinsame Dateien\AccSys
2009-02-13 00:35 --------- d-----w c:\dokumente und einstellungen\lisa\Anwendungsdaten\FrostWire
2009-02-12 14:04 --------- d-----w c:\programme\Microsoft ActiveSync
2009-02-10 22:09 --------- d-----w c:\dokumente und einstellungen\lisa\Anwendungsdaten\ICQ
2009-02-08 21:39 --------- d-----w c:\programme\FrostWire
2009-01-21 23:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-01-21 23:04 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-01-18 01:21 --------- d-----w c:\programme\Windows Live
2009-01-04 17:33 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-04 16:58 --------- d-----w c:\programme\Alice Greenfingers 2
2009-01-04 16:57 --------- d-----w c:\dokumente und einstellungen\lisa\Anwendungsdaten\Home Sweet Home
2009-01-04 16:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\BigFishGamesCache
2009-01-04 13:26 --------- d-----w c:\dokumente und einstellungen\lisa\Anwendungsdaten\BeachPartyCraze
2009-01-04 13:17 --------- d-----w c:\programme\bfgclient
2008-12-31 22:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logishrd
2008-12-26 22:26 --------- d-----w c:\programme\Gemeinsame Dateien\LogiShrd
2008-12-26 22:24 --------- d-----w c:\dokumente und einstellungen\lisa\Anwendungsdaten\Leadertech
2008-12-26 22:22 --------- d-----w c:\programme\Logitech
2008-12-26 22:22 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech
2008-12-25 00:11 --------- d-----w c:\dokumente und einstellungen\lisa\Anwendungsdaten\Miranda
2008-12-24 14:57 --------- d-----w c:\dokumente und einstellungen\lisa\Anwendungsdaten\Avira
2008-12-24 14:53 --------- d-----w c:\programme\Avira
2008-12-24 14:53 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-05 13:19 60,808 ----a-w c:\windows\system32\S32EVNT1.DLL
2008-10-23 22:38 62,536 ----a-w c:\dokumente und einstellungen\lisa\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-04-06 08:58 169 -c-ha-w c:\dokumente und einstellungen\All Users\hpothb07.dat
.

------- Sigcheck -------

2002-08-29 13:00 12800 adbb33d5893bcf08e75ea54bb5669205 c:\windows\$NtUninstallKB884883$\$NtUninstallbasecsp$\$NtServicePackUninstall$\svchost.exe
2004-08-04 00:58 14336 65a819b121eb6fdab4400ea42bdffe64 c:\windows\ServicePackFiles\i386\svchost.exe
2004-08-04 00:58 14336 65a819b121eb6fdab4400ea42bdffe64 c:\windows\system32\svchost.exe

2002-08-29 13:00 75264 ae894c124feb008ad1876ef655967685 c:\windows\$NtUninstallKB884883$\$NtUninstallbasecsp$\$NtServicePackUninstall$\ws2_32.dll
2004-08-04 00:57 82944 d569240a22421d5f670bb6fb6dd522b5 c:\windows\ServicePackFiles\i386\ws2_32.dll
2004-08-04 00:57 82944 d569240a22421d5f670bb6fb6dd522b5 c:\windows\system32\ws2_32.dll

2002-08-29 13:00 521728 616896b708286da98d6a099293f181d7 c:\windows\$NtUninstallKB884883$\$NtUninstallbasecsp$\$NtServicePackUninstall$\winlogon.exe
2004-08-04 00:58 507392 2b6a0baf33a9918f09442d873848ff72 c:\windows\ServicePackFiles\i386\winlogon.exe
2004-08-04 00:58 507392 2b6a0baf33a9918f09442d873848ff72 c:\windows\system32\winlogon.exe

2002-08-29 13:00 167552 3b350e5a2a5e951453f3993275a4523a c:\windows\$NtUninstallKB884883$\$NtUninstallbasecsp$\$NtServicePackUninstall$\ndis.sys
2004-08-03 23:14 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\ServicePackFiles\i386\ndis.sys
2004-08-03 23:14 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\system32\drivers\ndis.sys

2004-08-03 23:00 29056 4448006b6bc60e6c027932cfc38d6855 c:\windows\ServicePackFiles\i386\ip6fw.sys
2004-08-03 23:00 29056 4448006b6bc60e6c027932cfc38d6855 c:\windows\system32\drivers\ip6fw.sys

2002-08-29 13:00 101888 a87c3a6b407fb3b22c566315607ce229 c:\windows\$NtUninstallKB884883$\$NtUninstallbasecsp$\$NtServicePackUninstall$\services.exe
2004-08-04 00:58 108544 edb6b81761bd60f32f740bbc40afb676 c:\windows\ServicePackFiles\i386\services.exe
2004-08-04 00:58 108544 edb6b81761bd60f32f740bbc40afb676 c:\windows\system32\services.exe

2002-08-29 13:00 11776 58239984742e8fd4cd3fceeb545366c1 c:\windows\$NtUninstallKB884883$\$NtUninstallbasecsp$\$NtServicePackUninstall$\lsass.exe
2004-08-04 00:58 13312 183805eb05bca5a1e4aaaed4d2be3690 c:\windows\ServicePackFiles\i386\lsass.exe
2004-08-04 00:58 13312 183805eb05bca5a1e4aaaed4d2be3690 c:\windows\system32\lsass.exe

2002-08-29 13:00 13312 e5ee2f4700b6a85f0d45a18c67da500f c:\windows\$NtUninstallKB884883$\$NtUninstallbasecsp$\$NtServicePackUninstall$\ctfmon.exe
2004-08-04 00:57 15360 7ce20569925df6789c31799f0c538f29 c:\windows\ServicePackFiles\i386\ctfmon.exe
2004-08-04 00:57 15360 7ce20569925df6789c31799f0c538f29 c:\windows\system32\ctfmon.exe

2002-08-29 13:00 22528 bebd3f08461f9a88e5abce0cb9707000 c:\windows\$NtUninstallKB884883$\$NtUninstallbasecsp$\$NtServicePackUninstall$\userinit.exe
2004-08-04 00:58 25088 d1e53dc57143f2584b1dd53b036c0633 c:\windows\ServicePackFiles\i386\userinit.exe
2004-08-04 00:58 25088 d1e53dc57143f2584b1dd53b036c0633 c:\windows\system32\userinit.exe

2002-08-29 13:00 202240 bcfe30696bae8b0a7889dcc571e2b43d c:\windows\$NtUninstallKB884883$\$NtUninstallbasecsp$\$NtServicePackUninstall$\termsrv.dll
2004-08-04 00:57 297472 1850bc10de5dcccede063fc2d0f2ceda c:\windows\ServicePackFiles\i386\termsrv.dll
2004-08-04 00:57 297472 1850bc10de5dcccede063fc2d0f2ceda c:\windows\system32\termsrv.dll

2002-08-29 13:00 14848 f534781128f82e883dc4aadbf7ffd0c5 c:\windows\$NtUninstallKB884883$\$NtUninstallbasecsp$\$NtServicePackUninstall$\powrprof.dll
2004-08-04 00:57 17408 5604574d490b798bd9a946b021a766ad c:\windows\ServicePackFiles\i386\powrprof.dll
2004-08-04 00:57 17408 5604574d490b798bd9a946b021a766ad c:\windows\system32\powrprof.dll

2002-08-29 13:00 103936 698ac4000a0116cd1f1a8aae016e0faa c:\windows\$NtUninstallKB884883$\$NtUninstallbasecsp$\$NtServicePackUninstall$\imm32.dll
2004-08-04 00:57 110080 94101d13a1818a9d08337eec12ed277a c:\windows\ServicePackFiles\i386\imm32.dll
2004-08-04 00:57 110080 94101d13a1818a9d08337eec12ed277a c:\windows\system32\imm32.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-04 405583]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WLConfig"="c:\programme\WLAN Monitor\WLConfig.exe" [2005-03-30 1236992]
"AudioDeck"="c:\programme\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-12-23 77824]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-12 266497]
"Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 28672]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2008-02-13 564496]
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" [2008-02-13 2196240]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-02-02 509784]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 c:\windows\LOGI_MWX.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 1000 series.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 1000 series.lnk
backup=c:\windows\pss\hp psc 1000 series.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk
backup=c:\windows\pss\hpoddt01.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Heinz Walter Menke^Startmenü^Programme^Autostart^Norton System Doctor.LNK]
path=c:\dokumente und einstellungen\Heinz Walter Menke\Startmenü\Programme\Autostart\Norton System Doctor.LNK
backup=c:\windows\pss\Norton System Doctor.LNKStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
--a------ 2006-01-02 15:41 45056 c:\programme\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2005-01-04 12:27 405583 c:\programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 17:24 1694208 c:\programme\messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-12-23 12:37 77824 c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ATIPTA"=c:\ati-cpanel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiSpyWareDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"c:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\FrostWire\\FrostWire.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\german\\setup.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\german\\setup.exe"=
"c:\\Dokumente und Einstellungen\\lisa\\Desktop\\MirandaFusion\\miranda32.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 AccWLSvc;AccSys WiFi Server;c:\programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe [2008-09-24 180224]
R2 AntiVirMailService;Avira AntiVir Premium MailGuard;c:\programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe [2008-12-24 164097]
R2 antivirwebservice;Avira AntiVir Premium WebGuard;c:\programme\Avira\AntiVir PersonalEdition Premium\avwebgrd.exe [2008-12-24 258305]
R2 AVEService;Avira AntiVir Premium MailGuard Hilfsdienst;c:\programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe [2008-12-24 41217]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2008-09-24 222456]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]
R3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);c:\windows\system32\drivers\ZD1211U.sys [2008-09-24 237568]
S3 accwldrv;AccSys WiFi Protokoll;c:\windows\system32\drivers\accwldrv.sys [2008-09-24 12032]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-09-30 33752]
S3 jfdcd;jfdcd;\??\c:\dokume~1\HEINZW~1\LOKALE~1\Temp\jfdcd.sys --> c:\dokume~1\HEINZW~1\LOKALE~1\Temp\jfdcd.sys [?]
S3 LogoMedia TranslateDotNet Server;LogoMedia TranslateDotNet Server;c:\programme\Power Translator\LogoMedia TranslateDotNet Server.exe --> c:\programme\Power Translator\LogoMedia TranslateDotNet Server.exe [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{ED6A0720-8FC6-EC84-4C52-DCCD599358CD}]
c:\windows\system32\WINUPDATE1.EXE
.
Inhalt des "geplante Tasks" Ordners

2009-02-11 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-02-02 00:09]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-WinUpdate1 - c:\windows\system32\WINUPDATE1.EXE


.
------- Zusätzlicher Suchlauf -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
mWindow Title = Arcor AG & Co. KG
mSearch Bar =
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchURL = hxxp://ie.search.msn.com
IE: {{3C34EBD2-038D-4d4f-B081-16D99D8BE2B4} - {361D6100-9833-4ABA-BB50-7015F325BBF0} -
LSP: avsda.dll
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\lisa\Anwendungsdaten\Mozilla\Firefox\Profiles\je70gd5z.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Mozilla Firefox\plugins\npmusicn.dll
FF - plugin: c:\programme\Picasa2\npPicasa2.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-15 02:01:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AudioDeck = c:\programme\VIA\VIAudioi\SBADeck\ADeck.exe 1????????????????????????????????????????????
WinUpdate1 = c:\windows\system32\WINUPDATE1.EXE?????????????????????????????????????????????????????????


Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(636)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(692)
c:\windows\system32\avsda.dll
.
Zeit der Fertigstellung: 2009-02-15 2:04:05
ComboFix-quarantined-files.txt 2009-02-15 01:03:22

Vor Suchlauf: 28 Verzeichnis(se), 62.611.902.464 Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), 62,888,357,888 Bytes frei

245 --- E O F --- 2009-02-15 00:32:23



Erstellen eines Hijackthis-Logfiles

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:16:53, on 15.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\Programme\WLAN Monitor\WLConfig.exe
C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
c:\Programme\Microsoft Works\MSWorks.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WLConfig] C:\Programme\WLAN Monitor\WLConfig.exe -autostart
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Fit-width Print - {3C34EBD2-038D-4d4f-B081-16D99D8BE2B4} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/OnlineScanner.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: GoogleDesktopManager - Unknown owner - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LogoMedia TranslateDotNet Server - Unknown owner - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe (file missing)
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8412 bytes


Erstellen einer Uninstall Liste

Ad-Aware
Ad-Aware
Adobe Flash Player 10 ActiveX
Adobe Flash Player Plugin
Adobe Shockwave Player 11
Ahead NeroVision Express
Alice Greenfingers 2
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Control Panel
ATI Display Driver
Avira AntiVir Premium
Big Fish Games Client
CCleaner (remove only)
ESET Online Scanner
EVEREST Home Edition v2.20
Foxit Reader
FrostWire 4.17.0
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Windows XP (KB915865)
Hotfix für Windows XP (KB889527)
Hotfix für Windows XP (KB893357)
Hotfix für Windows XP (KB898900)
Hotfix für Windows XP (KB900485)
Hotfix für Windows XP (KB903234)
Hotfix für Windows XP (KB906569)
Hotfix für Windows XP (KB907865)
Hotfix für Windows XP (KB924867)
Hotfix für Windows XP (KB952287)
HP Foto- und Bildbearbeitung 2.0 - All-in-One
HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series
HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber
hp psc 1200 series
ICQ Toolbar
ICQ6
InterVideo WinDVD 4
Java(TM) 6 Update 7
L&H TTS3000 Deutsch
Logitech MouseWare 9.79.1
Logitech QuickCam
Logitech QuickCam-Treiberpaket
Logitech Resource Center
Malwarebytes' Anti-Malware
Microsoft .NET Framework (German)
Microsoft .NET Framework (German) v1.0.3705
Microsoft .NET Framework 1.0 Hotfix (KB928367)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft ActiveSync 3.8
Microsoft Encarta 2007 - Enzyklopädie
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Picture It! Foto 7.0
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft Visual C++ 2005 Redistributable
Microsoft Word 2002
Microsoft Works 7.0
Microsoft Works Suite-Add-Ins für Microsoft Word
Miranda Fusion 2.0.2
Mozilla Firefox (3.0.6)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
PhotoScape
Picasa 2
QuickTime
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Shockwave
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows XP (KB890046)
Sicherheitsupdate für Windows XP (KB893066)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896422)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896424)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899588)
Sicherheitsupdate für Windows XP (KB899589)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901190)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB905915)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB908531)
Sicherheitsupdate für Windows XP (KB911280)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911567)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB912812)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB916281)
Sicherheitsupdate für Windows XP (KB917159)
Sicherheitsupdate für Windows XP (KB917344)
Sicherheitsupdate für Windows XP (KB917422)
Sicherheitsupdate für Windows XP (KB917537)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB918899)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920214)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB921398)
Sicherheitsupdate für Windows XP (KB921503)
Sicherheitsupdate für Windows XP (KB921883)
Sicherheitsupdate für Windows XP (KB922616)
Sicherheitsupdate für Windows XP (KB922760)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923694)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924191)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows XP (KB925486)
Sicherheitsupdate für Windows XP (KB925902)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Sicherheitsupdate für Windows XP (KB930178)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Sicherheitsupdate für Windows XP (KB933729)
Sicherheitsupdate für Windows XP (KB935839)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938829)
Sicherheitsupdate für Windows XP (KB941202)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB960715)
TuneUp Utilities 2008
Update für Windows XP (KB894391)
Update für Windows XP (KB896427)
Update für Windows XP (KB897663)
Update für Windows XP (KB898461)
Update für Windows XP (KB900930)
Update für Windows XP (KB908521)
Update für Windows XP (KB910437)
Update für Windows XP (KB916595)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
Update für Windows XP (KB927891)
Update für Windows XP (KB929338)
Update für Windows XP (KB930916)
Update für Windows XP (KB931836)
Update für Windows XP (KB933360)
Update für Windows XP (KB938828)
Update für Windows XP (KB942763)
Update für Windows XP (KB955839)
VIA Plattform-Geräte-Manager
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
Winamp
Windows Imaging Component
Windows Internet Explorer 7
Windows Live Anmelde-Assistent
Windows Live Fotogalerie
Windows Live installer
Windows Live Mail
Windows Live Messenger
Windows Live Writer
Windows Media Format Runtime
Windows Media Player 10
Windows Media Player 9 Hotfix - KB892313
Windows XP-Hotfix - KB873333
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB884020
Windows XP-Hotfix - KB884883
Windows XP-Hotfix - KB885626
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB885884
Windows XP-Hotfix - KB886716
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB887742
Windows XP-Hotfix - KB887797
Windows XP-Hotfix - KB888113
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB889016
Windows XP-Hotfix - KB890047
Windows XP-Hotfix - KB890175
Windows XP-Hotfix - KB890831
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
Windows XP-Hotfix - KB893086
Windows XP-Hotfix - KB896626
WinRAR Archivierer
WLAN Monitor
WLAN Quick-Starter
ZyAIR G-220 Utility
Seitenanfang Seitenende
15.02.2009, 09:25
Moderator

Beiträge: 7805
#2 Wo hat Antivir welche Funde gemeldet? Poste bitte den Report dazu.

Desweiteren lasse folgende Dateien bei Virustotal pruefen und poste die Links zu den Ergebnissen:

c:\windows\system32\firefoxS.dll
c:\windows\system32\ICQ1.EXE
c:\windows\system32\imsn.exe
c:\windows\refresh.scf
c:\dokume~1\HEINZW~1\LOKALE~1\Temp\jfdcd.sys

SChau, was sich in dem Ordner c:\windows\system32\SETTINGS befindet
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.02.2009, 14:27
Member

Themenstarter

Beiträge: 43
#3 Wo hat Antivir welche Funde gemeldet? Poste bitte den Report dazu.

In der Datei 'C:\WINDOWS\system32\log.exe.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Delf.MH.4.B' [trojan] gefunden.

In der Datei 'C:\WINDOWS\system32\Instmsng.dll'
wurde ein Virus oder unerwünschtes Programm 'BDS/Prorat.U.1' [backdoor] gefunden.

In der Datei 'C:\WINDOWS\system32\WINUPDATE1.EXE'
wurde ein Virus oder unerwünschtes Programm 'BDS/Poison.CPD' [backdoor] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\lisa\Lokale Einstellungen\Temp\Stp7A_TMP.EXE'
wurde ein Virus oder unerwünschtes Programm 'DR/PSW.ICQ.L' [dropper] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\lisa\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\je70gd5z.default\Cache\CFAAF13Ed01'
wurde ein Virus oder unerwünschtes Programm 'BDS/Poison.CPD' [backdoor] gefunden.


Desweiteren lasse folgende Dateien bei Virustotal pruefen und poste die Links zu den Ergebnissen

http://www.virustotal.com/de/analisis/07b52b41dbcb4c06e85d958a7ccfc96e
http://www.virustotal.com/de/analisis/891816aba31f2ea651671856ea2934e1
http://www.virustotal.com/de/analisis/713c1bcc403b8f6af349e2c058cb3ab4
http://www.virustotal.com/de/analisis/a7629aab183a195c6136c2d4278100bd

c:\dokume~1\HEINZW~1\LOKALE~1\Temp\jfdcd.sys
die Datei hab ich nicht gefunden.

SChau, was sich in dem Ordner c:\windows\system32\SETTINGS befindet
Auch den Ordner "Settings" gibt es da nicht.

Wenn ich mir den einen Link anschaue, da steht "hacktool". Bedeutet das, ich habe ein Tool zum hacken von Passwörtern auf meinem PC, oder heißt das, jemand hat meine Passwörter gehackt?
Seitenanfang Seitenende
16.02.2009, 15:55
Moderator

Beiträge: 7805
#4 Das bedeutet, das wohl jemand deine Passworte abgreift. Ich wuerde dir auch dringend empfehlen, bei Prorat, den PC neu aufzusetzen und dann alle Passworte zu wechseln!

http://board.protecus.de/t13020.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.02.2009, 16:08
Member

Themenstarter

Beiträge: 43
#5 Meine Passwörter habe ich von einem anderem PC aus schon alle geändert. Was kann der Hacker da den noch alles anstellen, wenn ich an dem PC jetzt eine Weile erstmal nichts mache, und den PC erst in ca. 2 Wochen neu aufsetze?
Seitenanfang Seitenende
16.02.2009, 16:14
Member

Beiträge: 3716
#6 wenn du net im internet surfst nichts... wenn du im internet surfst alles...
er kann den pc fernsteuern und verwenden wie es ihm beliebt.
Seitenanfang Seitenende
17.02.2009, 11:26
Member

Themenstarter

Beiträge: 43
#7 Ich hatte, um auf den Desktop zu kommen, ein Passwort drine. Blöd, ich weiß, ich hätte es umstellen sollen. Jetzt stimmt das Passwort nicht mehr! Wie komme ich wieder an meinen PC? Muss man den PC irgendwie in einem anderem Modus starten, um da wieder rein zu kommen???
Seitenanfang Seitenende
17.02.2009, 11:37
Member

Beiträge: 3716
#8 Hallo,
hat dein PC einen Brenner (dein zweitpc meine ich) du solltest dir mal das
Lass mal das Avira rescue system laufen, sonst bekommt derjenige deine Passwörter ja wieder...
http://virus-protect.org/artikel/tools/avirarescue.html
du könntest mal versuchen in den abgesicherten modus zu starten. Dann musst auf benutzerkonten und kannst das passwort wieder endern.
Mach das for dem scan. Bitte, wenn du das Rescue system nutzt, erst mal nur scannen und das log posten. Im zweiten Durchlauf können wir löschen.
Seitenanfang Seitenende
17.02.2009, 11:50
Member

Themenstarter

Beiträge: 43
#9 wo gibts da im abgesichertem modus "benutzerkonten"?
Seitenanfang Seitenende
17.02.2009, 11:53
Member

Beiträge: 3716
#10 Arbeitsplatz,systemsteuerung benutzerkonten Übrigens es bringt nichts, die passwörter vom sauberen rechner aus zu endern und dann die passwörter am infizierten einzugeben ;-)
Seitenanfang Seitenende
17.02.2009, 11:56
Member

Themenstarter

Beiträge: 43
#11 Okay, danke, habs gefunden. Ich weiß, habe ich ja auch nicht gemacht. Nur das eine Passwort hab ich irgendwie völlig vergessen ^^ ich mache jetzt mal das mit dem virus protect. hoffentlich funktioniert das alles mal.
Seitenanfang Seitenende
17.02.2009, 12:01
Member

Themenstarter

Beiträge: 43
#12 noch ne frage. wie bekomme ich das jetzt auf cd? hier auf dem pc ist nur der media player, und das funktioniert irgendwie nicht -.-
Seitenanfang Seitenende
17.02.2009, 13:20
Member

Beiträge: 3716
#13 das ist aber nur ne notlösung, formatieren musst du dann trotzdem mal
Seitenanfang Seitenende
18.02.2009, 21:36
Member

Themenstarter

Beiträge: 43
#14 ich habe jetz gelesen, dass man zum formatieren irgendeine cd braucht, die dabei war. ich habe aber keine mehr. den pc habe ich von verwandten bekommen, ohne cd etc. langt es wenn ich mir die sachen runterlade, die in der beschreibung stehen, oder bekomme ich den pc ohne cd gar nicht mehr formatiert?
Seitenanfang Seitenende
19.02.2009, 11:18
Member

Beiträge: 3716
#15 nein du brauchst schon ne cd
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: