Bitte Prüfung Logdateien Malwarebytes, Combofix, HighjackThis

#0
20.02.2009, 18:04
...neu hier

Beiträge: 3
#1 Hallo,

nach Fund von TR/Dropper.Gen und TR/Swizzor.Gen habe Sabinas Anleitung abgearbeitet und bitte nun um Prüfung meiner Logfiles.

Vielen Dank für die Hilfe und Gruß
Peter

Malwarebytes-Log:

Zitat

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1780
Windows 5.1.2600 Service Pack 3

20.02.2009 17:13:15
mbam-log-2009-02-20 (17-13-15).txt

HijackThis Uninstall-Log:


Scan-Methode: Quick-Scan
Durchsuchte Objekte: 82884
Laufzeit: 3 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{a8b0f390-e6bf-4027-a4d4-1e4363f5e27b} (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{a9e33220-0b05-11d7-88d2-444553540000} (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e0abbf96-17dc-44ca-96d0-6217064a97ba} (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{f7258f6e-9f60-49c0-8c82-f0a0993d68e0} (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{056738e1-e15c-11d6-b876-0050bf5d85c7} (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{056738ed-e15c-11d6-b876-0050bf5d85c7} (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{056738ee-e15c-11d6-b876-0050bf5d85c7} (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper (Adware.NetPumper) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\anti-leech alie (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\NetPumper (Adware.NetPumper) -> Quarantined and deleted successfully.
C:\Programme\NetPumper\ZM (Adware.NetPumper) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2 (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\Anti-Leech\ALIE_1.0.2.2\al2np.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2\alhlp.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2\alie.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2\alie.inf (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2\iesetup2.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
Combofix-Log:

Zitat

ComboFix 09-02-19.01 - Administrator 2009-02-20 17:34:16.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1022.683 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\IE4 Error Log.txt
c:\windows\system32\drivers\npf.sys
c:\windows\system32\packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\wanpacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2009-01-20 bis 2009-02-20 ))))))))))))))))))))))))))))))
.

2009-02-20 17:29 . 2009-02-20 17:29 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Brother
2009-02-20 17:07 . 2009-02-20 17:07 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-20 17:07 . 2009-02-20 17:07 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-20 17:07 . 2009-02-20 17:07 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-02-20 17:07 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-20 17:07 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-20 16:44 . 2004-08-04 14:19 2,031,616 --------- c:\windows\UNNeroBurnRights.exe
2009-02-20 16:44 . 2004-08-05 15:58 65,536 --a------ c:\windows\system32\NeroCo.dll
2009-02-20 16:44 . 2002-10-09 13:36 57,344 --a------ c:\windows\system32\NeroBurnRights.cpl
2009-02-20 16:44 . 2004-08-05 18:54 23,936 --------- c:\windows\UNNeroBurnRights.cfg
2009-02-09 22:33 . 2009-02-09 22:33 <DIR> d---s---- c:\dokumente und einstellungen\Pini\UserData
2009-02-09 22:27 . 2009-02-09 22:27 <DIR> d---s---- c:\dokumente und einstellungen\Harald\UserData
2009-02-09 20:07 . 2009-02-09 20:07 <DIR> dr-h----- C:\MSOCache
2009-02-09 08:24 . 2009-02-09 08:24 <DIR> dr------- c:\dokumente und einstellungen\Harald\Anwendungsdaten\Brother
2009-02-08 18:32 . 2009-02-08 18:32 <DIR> d-------- c:\dokumente und einstellungen\Pini\Anwendungsdaten\Thunderbird
2009-02-08 18:03 . 2001-08-17 13:56 7,552 --a------ c:\windows\system32\drivers\SONYPVU1.SYS
2009-02-08 18:03 . 2001-08-17 13:56 7,552 --a------ c:\windows\system32\dllcache\sonypvu1.sys
2009-02-08 17:56 . 2009-02-08 17:56 <DIR> d-------- c:\programme\Avira
2009-02-08 17:56 . 2009-02-08 17:56 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-02-08 17:53 . 2009-02-08 17:53 <DIR> d--h----- c:\windows\PIF
2009-02-08 17:18 . 2009-02-08 17:18 <DIR> d-------- c:\dokumente und einstellungen\Harald\Anwendungsdaten\Thunderbird
2009-02-08 17:11 . 2009-02-08 17:11 <DIR> d-------- c:\dokumente und einstellungen\Harald\Anwendungsdaten\CyberLink
2009-02-08 17:00 . 2009-02-08 17:00 425 --a------ c:\windows\BRWMARK.INI
2009-02-08 17:00 . 2009-02-08 17:00 27 --a------ c:\windows\BRPP2KA.INI
2009-02-08 16:59 . 2008-04-13 20:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-02-08 16:59 . 2008-04-13 20:47 25,856 --a------ c:\windows\system32\dllcache\usbprint.sys
2009-02-08 16:59 . 2009-02-08 16:59 50 --a------ c:\windows\system32\bridf07a.dat
2009-02-08 16:58 . 2009-02-08 16:58 <DIR> d----c--- c:\windows\system32\DRVSTORE
2009-02-08 16:58 . 2009-02-08 16:58 <DIR> d-------- c:\programme\Brother
2009-02-08 16:58 . 2007-02-01 13:19 1,520,640 --a------ c:\windows\system32\BrWia07a.dll
2009-02-08 16:58 . 2006-12-28 13:39 176,128 --------- c:\windows\system32\BroSNMP.dll
2009-02-08 16:58 . 2007-01-18 13:51 163,840 --------- c:\windows\system32\NSSearch.dll
2009-02-08 16:58 . 2007-02-15 13:54 131,072 --------- c:\windows\brunin03.dll
2009-02-08 16:58 . 2007-01-25 17:16 94,208 -r------- c:\windows\system32\BrDctF2.dll
2009-02-08 16:58 . 2007-02-07 09:39 57,856 --a------ c:\windows\system32\brinsstr.dll
2009-02-08 16:58 . 2007-01-26 14:06 45,568 --a------ c:\windows\system32\BrUsi07a.dll
2009-02-08 16:58 . 2007-01-15 16:08 16,384 -r------- c:\windows\system32\BrDctF2L.dll
2009-02-08 16:58 . 2004-10-15 12:50 15,295 --a------ c:\windows\system32\drivers\BrScnUsb.sys
2009-02-08 16:58 . 2007-01-15 21:54 12,288 -r------- c:\windows\system32\BrDctF2S.dll
2009-02-08 16:58 . 2001-11-15 01:00 6,224 --------- c:\windows\CVRPAGE.bmp
2009-02-08 16:57 . 2009-02-08 16:57 <DIR> d-------- c:\programme\Nuance
2009-02-08 16:57 . 2006-10-24 15:35 31,664 --a------ c:\windows\maxlink.ini
2009-02-08 16:56 . 2009-02-08 16:56 <DIR> d-------- c:\programme\ScanSoft
2009-02-08 16:56 . 2009-02-08 16:56 <DIR> d-------- c:\programme\Gemeinsame Dateien\ScanSoft Shared
2009-02-08 16:56 . 2009-02-08 16:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ScanSoft
2009-02-08 16:55 . 2009-02-08 16:55 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Brother
2009-02-08 16:47 . 2009-02-08 16:47 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ahead
2009-02-08 16:47 . 2009-02-20 16:44 <DIR> d-------- c:\programme\Ahead
2009-02-08 16:47 . 2001-07-06 14:41 569,344 --a------ c:\windows\system32\imagr5.dll
2009-02-08 16:47 . 2001-07-06 12:44 544,768 --a------ c:\windows\system32\imagx5.dll
2009-02-08 16:47 . 2001-07-06 18:24 283,920 --a------ c:\windows\system32\ImagXpr5.dll
2009-02-08 16:47 . 2001-07-09 11:50 155,648 --a------ c:\windows\system32\NeroCheck.exe
2009-02-08 16:47 . 2000-06-26 11:45 106,496 --a------ c:\windows\system32\TwnLib20.dll
2009-02-08 16:47 . 2001-06-26 08:15 38,912 --a------ c:\windows\system32\picn20.dll
2009-02-08 16:40 . 2009-02-08 16:44 <DIR> d-------- c:\programme\Microsoft Works
2009-02-08 16:39 . 2009-02-08 16:41 <DIR> d-------- c:\windows\SHELLNEW
2009-02-08 16:39 . 2009-02-08 16:39 <DIR> d-------- c:\programme\Microsoft.NET
2009-02-08 16:33 . 2004-08-13 12:47 <DIR> d--h----- c:\dokumente und einstellungen\Pini\Vorlagen
2009-02-08 16:33 . 2004-08-13 12:47 <DIR> dr------- c:\dokumente und einstellungen\Pini\Startmenü
2009-02-08 16:33 . 2009-02-08 17:39 <DIR> d--h----- c:\dokumente und einstellungen\Pini\Netzwerkumgebung
2009-02-08 16:33 . 2004-08-13 12:47 <DIR> d--h----- c:\dokumente und einstellungen\Pini\Lokale Einstellungen
2009-02-08 16:33 . 2009-02-08 16:33 <DIR> dr------- c:\dokumente und einstellungen\Pini\Favoriten
2009-02-08 16:33 . 2009-02-08 17:55 <DIR> dr------- c:\dokumente und einstellungen\Pini\Eigene Dateien
2009-02-08 16:33 . 2004-08-13 12:47 <DIR> d--h----- c:\dokumente und einstellungen\Pini\Druckumgebung
2009-02-08 16:33 . 2005-07-27 02:04 <DIR> d-------- c:\dokumente und einstellungen\Pini\Anwendungsdaten\Symantec
2009-02-08 16:33 . 2005-07-27 02:07 <DIR> d-------- c:\dokumente und einstellungen\Pini\Anwendungsdaten\Jasc Software Inc
2009-02-08 16:33 . 2009-02-08 16:58 <DIR> d-------- c:\dokumente und einstellungen\Pini\Anwendungsdaten\InstallShield
2009-02-08 16:33 . 2005-07-27 01:55 <DIR> d-------- c:\dokumente und einstellungen\Pini\Anwendungsdaten\Creative
2009-02-08 16:33 . 2009-02-09 20:49 <DIR> dr-h----- c:\dokumente und einstellungen\Pini\Anwendungsdaten
2009-02-08 16:33 . 2009-02-09 22:33 <DIR> d-------- c:\dokumente und einstellungen\Pini
2009-02-08 16:32 . 2009-02-08 16:32 <DIR> d-------- c:\dokumente und einstellungen\Harald\Anwendungsdaten\InstallShield
2009-02-08 16:31 . 2004-08-13 12:47 <DIR> d--h----- c:\dokumente und einstellungen\Harald\Vorlagen
2009-02-08 16:31 . 2004-08-13 12:47 <DIR> dr------- c:\dokumente und einstellungen\Harald\Startmenü
2009-02-08 16:31 . 2009-02-09 20:55 <DIR> d--h----- c:\dokumente und einstellungen\Harald\Netzwerkumgebung
2009-02-08 16:31 . 2004-08-13 12:47 <DIR> d--h----- c:\dokumente und einstellungen\Harald\Lokale Einstellungen
2009-02-08 16:31 . 2009-02-08 16:32 <DIR> dr------- c:\dokumente und einstellungen\Harald\Favoriten
2009-02-08 16:31 . 2009-02-20 16:48 <DIR> dr------- c:\dokumente und einstellungen\Harald\Eigene Dateien
2009-02-08 16:31 . 2004-08-13 12:47 <DIR> d--h----- c:\dokumente und einstellungen\Harald\Druckumgebung
2009-02-08 16:31 . 2005-07-27 02:04 <DIR> d-------- c:\dokumente und einstellungen\Harald\Anwendungsdaten\Symantec
2009-02-08 16:31 . 2005-07-27 02:07 <DIR> d-------- c:\dokumente und einstellungen\Harald\Anwendungsdaten\Jasc Software Inc
2009-02-08 16:31 . 2005-07-27 01:55 <DIR> d-------- c:\dokumente und einstellungen\Harald\Anwendungsdaten\Creative
2009-02-08 16:31 . 2009-02-09 09:19 <DIR> dr-h----- c:\dokumente und einstellungen\Harald\Anwendungsdaten
2009-02-08 16:31 . 2009-02-09 22:27 <DIR> d-------- c:\dokumente und einstellungen\Harald
2009-02-08 16:18 . 2009-02-08 16:18 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\InstallShield
2009-02-08 16:08 . 2009-02-08 16:08 <DIR> d-------- c:\dokumente und einstellungen\root\Anwendungsdaten\InstallShield
2009-02-08 16:07 . 2004-08-13 12:47 <DIR> d--h----- c:\dokumente und einstellungen\root\Vorlagen
2009-02-08 16:07 . 2004-08-13 12:47 <DIR> dr------- c:\dokumente und einstellungen\root\Startmenü
2009-02-08 16:07 . 2004-08-13 12:47 <DIR> d--h----- c:\dokumente und einstellungen\root\Netzwerkumgebung
2009-02-08 16:07 . 2004-08-13 12:47 <DIR> d--h----- c:\dokumente und einstellungen\root\Lokale Einstellungen
2009-02-08 16:07 . 2009-02-08 16:08 <DIR> dr------- c:\dokumente und einstellungen\root\Favoriten
2009-02-08 16:07 . 2009-02-08 16:08 <DIR> dr------- c:\dokumente und einstellungen\root\Eigene Dateien
2009-02-08 16:07 . 2004-08-13 12:47 <DIR> d--h----- c:\dokumente und einstellungen\root\Druckumgebung
2009-02-08 16:07 . 2005-07-27 02:04 <DIR> d-------- c:\dokumente und einstellungen\root\Anwendungsdaten\Symantec
2009-02-08 16:07 . 2005-07-27 02:07 <DIR> d-------- c:\dokumente und einstellungen\root\Anwendungsdaten\Jasc Software Inc
2009-02-08 16:07 . 2005-07-27 01:55 <DIR> d-------- c:\dokumente und einstellungen\root\Anwendungsdaten\Creative
2009-02-08 16:07 . 2009-02-08 16:08 <DIR> dr-h----- c:\dokumente und einstellungen\root\Anwendungsdaten
2009-02-08 16:07 . 2009-02-08 16:07 <DIR> d-------- c:\dokumente und einstellungen\root
2009-02-07 19:17 . 2007-01-26 01:00 4,352 --a------ c:\windows\system32\drivers\avmeject.sys
2009-02-07 19:16 . 2009-02-07 19:17 <DIR> d-------- c:\windows\AVM_Driver
2009-02-07 19:16 . 2009-02-07 19:16 <DIR> d-------- c:\programme\avmwlanstick
2009-02-07 19:16 . 2009-02-07 19:16 <DIR> d-------- c:\dokumente und einstellungen\pdohmen.WHKT\AVM_Driver
2009-02-07 19:16 . 2007-01-26 01:00 265,088 --a------ c:\windows\system32\drivers\fwlanusb.sys
2009-02-07 19:16 . 2007-01-26 01:00 97,360 --a------ c:\windows\system32\drivers\Fwusb1b.bin
2009-02-07 19:16 . 2007-01-26 01:00 74,752 --a------ c:\windows\system32\fwlanci.dll
2009-02-07 18:59 . 2009-02-07 18:59 <DIR> d-------- c:\dokumente und einstellungen\pdohmen.WHKT\Anwendungsdaten\Jasc Software Inc
2009-02-05 20:11 . 2009-02-08 16:07 <DIR> d-------- c:\dokumente und einstellungen\pdohmen.WHKT\Anwendungsdaten\OpenOffice.org2
2009-02-05 20:11 . 2009-02-05 20:11 <DIR> d-------- c:\dokumente und einstellungen\pdohmen.WHKT\Anwendungsdaten\InstallShield
2009-02-05 20:11 . 2009-02-07 19:11 <DIR> d-------- c:\dokumente und einstellungen\pdohmen.WHKT\Anwendungsdaten
2009-02-05 20:10 . 2008-04-14 04:22 21,504 --a------ c:\windows\system32\hidserv.dll
2009-02-05 20:10 . 2008-04-14 04:22 21,504 --a------ c:\windows\system32\dllcache\hidserv.dll
2009-01-29 11:41 . 2009-01-29 14:50 <DIR> d--hs---- C:\$RECYCLE.BIN

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-09 19:49 --------- d-----w c:\programme\Gemeinsame Dateien\Real
2009-02-09 19:16 --------- d-----w c:\programme\OCS Inventory Agent
2009-02-08 17:32 --------- d-----w c:\programme\Mozilla Thunderbird
2009-02-08 15:58 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-08 15:53 --------- d-----w c:\programme\Google
2009-02-07 18:06 --------- d-----w c:\programme\FlashGet
2009-02-07 17:53 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-02-07 17:50 --------- d-----w c:\programme\Sonic
2009-02-07 17:50 --------- d-----w c:\programme\Gemeinsame Dateien\Sonic Shared
2009-02-07 17:38 --------- d-----w c:\programme\Mindjet
2009-02-07 17:22 --------- d-----w c:\programme\Gemeinsame Dateien\Roxio Shared
2009-02-07 17:22 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Roxio
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 339968]
"CTSysVol"="c:\programme\Creative\Sound Blaster Live! 24-bit\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"DVDLauncher"="c:\programme\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 53248]
"DMXLauncher"="c:\programme\Dell\Media Experience\DMXLauncher.exe" [2005-01-27 86016]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-02-02 58488]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-09-11 218032]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2006-09-11 86960]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2004-04-21 102912]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-01 136600]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"P17Helper"="P17.dll" [2004-06-10 c:\windows\system32\P17.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\pdohmen.WHKT\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2005-12-14 61440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 OCS INVENTORY;OCS INVENTORY SERVICE;c:\programme\OCS Inventory Agent\OcsService.exe [2006-08-01 57344]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2009-02-07 4352]
S3 DSSUSB1;DSSUSB1 Device;c:\windows\system32\drivers\DSSUSB1.SYS [2008-04-30 39071]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2009-02-07 265088]
.
Inhalt des "geplante Tasks" Ordners

2005-08-02 c:\windows\Tasks\ISP-Anmeldungserinnerung 1.job
- c:\windows\system32\OOBE\oobebaln.exe [2008-04-14 03:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.euro.dell.com/
mStart Page = hxxp://www.euro.dell.com/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} - hxxp://www.o2c.de/download/O2CPlayer.CAB
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\z8o2oou7.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-20 17:38:44
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\CTSVCCDA.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
c:\programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\MsPMSPSv.exe
c:\windows\system32\rundll32.exe
c:\programme\Brother\Brmfcmon\BrMfcMon.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-20 17:40:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-20 16:40:30

Vor Suchlauf: 13 Verzeichnis(se), 104.922.632.192 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 105,273,102,336 Bytes frei

249 --- E O F --- 2009-02-11 16:23:33
HijackThis-Log:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:45:24, on 20.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\Programme\OCS Inventory Agent\ocsservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Creative\Sound Blaster Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\HijjackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Sound Blaster Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/O2CPlayer.CAB
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: DM1Service - Unknown owner - C:\Programme\Olympus\DeviceDetector\DM1Service.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: OCS INVENTORY SERVICE (OCS INVENTORY) - PJ Naughter - C:\Programme\OCS Inventory Agent\ocsservice.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: winvnc - Unknown owner - c:\winvnc.exe (file missing)

--
End of file - 7940 bytes
HijackThis Uninstall-Log

Zitat

Adobe Acrobat - Reader 6.0.2 Update
Adobe Flash Player 9 ActiveX
Adobe Reader 6.0.1 - Deutsch
ARTEuro
ATI Control Panel
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
Borland Database Engine
Brother MFL-Pro Suite
Business Contact Manager für Outlook 2003
ccCommon
Creative MediaSource
Dell Driver Reset Tool
Dell Media Experience
Dell Picture Studio v3.0
Filzip 3.06
FreePDF XP (Remove only)
High Definition Audio Driver Package - KB835221
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
Intel(R) PRO Netzwerkverbindungs-Software v9.2.4.11
Intel(R) PROSafe for Wired Connections
Intel(R) PROSafe for Wired Connections
IrfanView (remove only)
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 5
J2SE Runtime Environment 5.0 Update 6
Jasc Paint Shop Pro Studio, Dell Editon
Java 2 Runtime Environment, SE v1.4.2_06
Java(TM) 6 Update 10
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
LetsTrade Komponenten
LitePort Utility
Macromedia Shockwave Player
Malwarebytes' Anti-Malware
Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft ActiveSync 3.7
Microsoft Office Professional Edition 2003
Mozilla Firefox (3.0.5)
Mozilla Thunderbird (2.0.0.19)
MSRedist
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB933579)
Nero BurnRights
Nero OEM
Norton Internet Security 2005 (Symantec Corporation)
OCS Inventory Agent 4.0.2.6
Office-Bibliothek 4.1
OpenOffice.org 2.0
PaperPort Image Printer
PowerDVD 5.5
RedMon - Redirection Port Monitor
ScanSoft PaperPort 11
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB911565)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950759)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953838)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956390)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Sound Blaster Live! 24-bit
SymNet
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Windows Genuine Advantage v1.3.0254.0
Windows Media Format Runtime
Windows Media Player 10
Windows XP Service Pack 3
WinPcap 3.1 beta3
WtsFtp

Seitenanfang Seitenende
20.02.2009, 18:39
Moderator

Beiträge: 7805
#2 Hake in Hijackthis folgendes an und druecke fix checked:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O23 - Service: DM1Service - Unknown owner - C:\Programme\Olympus\DeviceDetector\DM1Service.exe (file missing)
O23 - Service: winvnc - Unknown owner - c:\winvnc.exe (file missing)


Deinstalliere bitte folgendes:

J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 5
J2SE Runtime Environment 5.0 Update 6
Java 2 Runtime Environment, SE v1.4.2_06
Java(TM) 6 Update 10
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
Adobe Acrobat - Reader 6.0.2 Update
Adobe Flash Player 9 ActiveX
Adobe Reader 6.0.1 - Deutsch
WinPcap 3.1 beta3 (wenn du es nicht brauchst)

Dann solltest du jeweils die aktuelle Version von Java( 6 update 12), Adobereader(9) und dem Flashplayer( Version 10)

Dann solltest du noch http://update.microsoft.com/microsoftupdate/ besuchen und dir alle wichtigen Updates installieren, die dir angeboten werden. Ich denke es werden einige Updates von office 2003 dabei sein. Denke daran, das du hoechstwahrscheinlich die installationscd von office brauchst, damit du die Updates installieren kannst.

Nachtrag, wo hat Antivir die Malware genau gemeldet?

Der Swizzor wird mit installiert, wenn du Netpumper installierst
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.02.2009, 19:30
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo raman,

danke für die schnelle Hilfe.

Die Deinstallationen habe ich bereits vorgenommen. Laut Microsoft gibt es kein Update für meine Konfiguration.

Antivir hat die Funde wie folgt geloggt:

Zitat

Beginne mit der Suche in 'C:\' <Festplatte>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\4000001900012c8880022\iexplore.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0729ab.qua' verschoben!
C:\Programme\NetPumper\ZM\NP_0070_1.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ee2c5e.qua' verschoben!
C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP672\A0070895.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49bf2df3.qua' verschoben!


Ende des Suchlaufs: Sonntag, 8. Februar 2009 20:16
Benötigte Zeit: 33:31 Minute(n)
*** ersetzt durch Nutzer- und Firmennamen.

Gruß
Peter
Seitenanfang Seitenende
20.02.2009, 19:35
Moderator

Beiträge: 7805
#4 Das sieht recht gut aus. HAst du Datentraegerbereinigung genutzt?

Das dir MS nichts anbieten wollte ist sonderbar, dnen normalerweise zaehlt MS den IE7 zu den ichtigen Updates!?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.02.2009, 09:18
...neu hier

Themenstarter

Beiträge: 3
#5 Hallo raman,

die Datenträgerbereinigung habe ich gemäß Anleitung vor Durchführung aller weiteren Schritte verwendet. Sollte ich sie im Anschluss auch nochmal durchführen?

K. A., wieso MS kein Update angeboten hat. Ich verwende sowieso lieber Mozilla (war aber natürlich mit dem IE auch der MS-Seite).

Frage noch: ich habe das ganze Procedere natürlich als Administrator durchgeführt. Als ich mich nach der Bereinigung als Benutzer mit eingeschränkten Rechten anmeldete, meldete Antivir unter diesem Benutzer, dass TR/Trash.GEN erkannt wurde. Schlimm?

Danke nochmal herzlich für die Unterstützung!

Gruß
Peter
Seitenanfang Seitenende
21.02.2009, 11:19
Moderator

Beiträge: 7805
#6 Das mit der trashgen ist kein Problem. Mbam und CF aendern machml datee, damit sie diese nach einm Neustart loeschen koennen. So bearbeitete Dateien meldet Antivir dann als trash.gen.

Wen dir www.windowsupdate.com keine wichtigen Updates anbieten sollte, istalliere bitte den IE7 manuell. Auch wenn u ihn nicht nutzen solltest, da dadurch auch andere Systemdateien aktualisiert werden, di eine Sicherheitsluecke enthalen koennten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.06.2010, 12:05
Member
Avatar Timok

Beiträge: 22
#7 @all

Hier das Resultat einer Combofix Anwendung auf einem Notebook das sich seltsam verhalten hat

Zitat

ComboFix 10-06-21.01 - Anwendername 22.06.2010 11:20:12.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1526.918 [GMT 2:00]
ausgeführt von:: C:\Combofix.exe
Benutzte Befehlsschalter :: /U
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@1274@3839B0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@1274@3839C0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@274@3839B0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@274@3839C0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@2B0@3839D0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@2B0@3839E0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@3A4@3839D0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@3A4@3839E0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@438@3839D0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@438@3839E0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@8E8@3839B0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@8E8@3839C0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@90C@3839B0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@90C@3839C0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@AEC@3839B0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@AEC@3839C0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@B48@3839D0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@B48@3839E0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@C98@3839D0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@C98@3839E0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@E10@3839B0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@E10@3839C0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@EA4@3839D0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@EA4@3839E0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@EBC@3839D0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@EBC@3839E0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@F54@3839D0.###
c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\.#\MBX@F54@3839E0.###
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\fox
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\fox(06-20-15-53-10)
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\fox(06-20-15-53-10)(1)
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\fox(06-20-15-53-10)(2)
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\grrrrrrrrrrrrrrr.png
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\scrollbar.css
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-08-18-37-49).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-10-12-46-07).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-12-08-30-57).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-12-09-17-16).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-12-09-17-20).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-12-09-18-35).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-12-11-56-26).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-13-17-03-56).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-13-17-04-15).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-13-17-04-22).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-13-17-04-23).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-13-17-04-24).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-14-15-29-39).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-16-07-03-37).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-16-18-20-47).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-17-10-20-20).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-18-06-41-34).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-19-10-53-49).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-19-13-16-35).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-19-15-08-45).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-19-15-08-52).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-20-15-50-48).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-20-15-51-12).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-20-15-53-10)(1).gif
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-20-15-53-10).gif
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-20-15-53-10).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-20-15-54-25).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-20-18-53-12).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-20-18-53-41).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-22-07-59-40).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown(06-22-08-00-33).htm
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown.gif
c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Temporary Internet Files\unknown.htm
c:\windows\system32\Inetde.dll

.
((((((((((((((((((((((( Dateien erstellt von 2010-05-22 bis 2010-06-22 ))))))))))))))))))))))))))))))
.

2010-06-22 08:01 . 2010-06-22 08:22 3717720 ----a-r- C:\ComboFix.exe
2010-06-22 04:54 . 2006-02-09 07:39 347 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\oleco\ple.sys
2010-06-22 04:54 . 2010-06-22 04:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\oleco
2010-06-22 04:54 . 2010-06-22 04:54 -------- d-----w- c:\programme\NetLCR
2010-06-20 11:10 . 2010-06-20 11:10 -------- d-----w- c:\dokumente und einstellungen\Anwendername\vw
2010-06-20 10:28 . 2010-06-20 10:34 -------- d-----r- C:\Sandbox
2010-06-19 20:32 . 2010-06-22 06:41 -------- d-----w- c:\dokumente und einstellungen\Anwendername\.VirtualBox
2010-06-19 20:31 . 2010-06-07 12:38 142928 ----a-w- c:\windows\system32\drivers\VBoxDrv.sys
2010-06-19 20:30 . 2010-06-07 12:38 41744 ----a-w- c:\windows\system32\drivers\VBoxUSBMon.sys
2010-06-19 20:30 . 2010-06-19 20:31 -------- dc----w- c:\windows\system32\DRVSTORE
2010-06-19 20:30 . 2010-06-19 20:30 -------- d-----w- c:\programme\Oracle
2010-06-19 18:59 . 2010-06-19 18:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RoboForm
2010-06-19 13:58 . 2010-06-19 13:58 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Anwendungsdaten\Thinstall
2010-06-18 12:42 . 2010-06-18 12:42 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Anwendungsdaten\Help
2010-06-18 12:42 . 2010-06-18 12:42 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\A-Z Technology
2010-06-17 14:06 . 2010-06-17 14:06 25992 ----a-w- c:\windows\system32\pgdfgsvc.exe
2010-06-16 15:53 . 2009-08-30 12:09 204288 ----a-w- c:\windows\system32\ncrypt.dll
2010-06-16 15:46 . 2009-08-24 10:14 197632 ----a-w- c:\windows\system32\ieshims.dll
2010-06-16 15:46 . 2009-08-17 07:49 876032 ----a-w- c:\windows\system32\wer.dll
2010-06-14 06:38 . 2010-05-06 10:31 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2010-06-13 04:01 . 2010-06-13 04:01 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\ColorSchemer
2010-06-13 04:01 . 2010-06-13 04:01 -------- d-----w- c:\programme\ColorSchemer Studio 2
2010-06-13 04:01 . 2007-07-28 09:54 303104 ----a-w- c:\windows\system32\lcms.dll
2010-06-13 03:12 . 2010-06-20 11:10 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\Thinstall
2010-06-13 03:12 . 2010-06-13 03:12 7680 ----a-w- c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\Thinstall\{9A645341-909B-4D19-8F45-5DFFB82AB597}\400000b4400002i\Aoao Watermark.exe
2010-06-12 17:29 . 2010-06-12 17:29 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\aborange
2010-06-12 09:33 . 2010-06-18 05:50 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\Locate32
2010-06-10 18:07 . 2010-06-10 18:07 -------- d-----w- c:\windows\Performance
2010-06-10 18:07 . 2010-06-10 18:07 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Anwendungsdaten\Microsoft Corporation
2010-06-09 15:55 . 2010-06-09 15:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norbyte
2010-06-09 15:40 . 2010-06-09 15:40 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\Norbyte
2010-06-09 15:39 . 2010-06-09 15:39 -------- d-----w- c:\programme\Norbyte
2010-06-09 12:53 . 2010-06-09 12:53 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2010-06-09 12:15 . 2010-06-09 12:51 -------- d-----w- c:\programme\PrintFolder Pro
2010-06-09 11:31 . 2010-06-09 12:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2010-06-08 17:07 . 2010-06-08 17:08 -------- d-----w- c:\programme\GhosteryIEplugin
2010-06-07 13:42 . 2010-06-07 13:42 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\Iconico
2010-06-07 12:38 . 2010-06-07 12:38 111312 ----a-w- c:\windows\system32\drivers\VBoxNetFlt.sys
2010-06-07 12:38 . 2010-06-07 12:38 100496 ----a-w- c:\windows\system32\drivers\VBoxNetAdp.sys
2010-06-07 12:38 . 2010-06-07 12:38 133648 ----a-w- c:\windows\system32\VBoxNetFltNotify.dll
2010-06-06 11:19 . 2010-06-06 11:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SFlash
2010-06-06 09:27 . 2010-06-06 09:27 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\PerspectivePilot
2010-06-06 09:15 . 2010-06-06 09:15 -------- d-----w- c:\programme\Two Pilots
2010-06-06 09:15 . 2010-06-06 09:23 -------- d-----w- c:\programme\Perspective Pilot
2010-06-06 09:14 . 2010-06-06 09:14 -------- d-----w- c:\programme\ContrastMaster
2010-06-06 08:06 . 2010-06-06 08:06 139 ----a-w- c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2010-06-06 08:05 . 2010-06-17 06:27 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
2010-06-06 07:40 . 2010-06-06 07:40 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-06-06 07:40 . 2006-06-29 11:07 14048 ------w- c:\windows\system32\spmsg2.dll
2010-06-06 07:37 . 2010-06-06 07:40 -------- d-----w- c:\windows\system32\XPSViewer
2010-06-06 07:37 . 2010-06-06 07:37 -------- d-----w- c:\programme\MSBuild
2010-06-06 07:36 . 2010-06-06 07:36 -------- d-----w- c:\programme\Reference Assemblies
2010-06-06 07:36 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-06-06 07:34 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2010-06-06 07:34 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2010-06-06 07:34 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2010-06-06 07:34 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2010-06-06 07:34 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2010-06-06 07:34 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2010-06-06 07:34 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2010-06-06 07:34 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2010-06-03 14:31 . 2010-05-06 20:39 164048 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-06-03 14:31 . 2010-05-06 20:33 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-06-03 14:31 . 2010-05-06 20:39 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-06-03 14:31 . 2010-05-06 20:34 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-06-03 14:31 . 2010-05-06 20:33 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-06-03 14:31 . 2010-05-06 20:33 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-06-03 14:31 . 2010-05-06 20:33 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-06-03 14:31 . 2010-05-06 20:59 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-06-03 14:31 . 2010-05-06 20:59 165032 ----a-w- c:\windows\system32\aswBoot.exe
2010-06-03 14:31 . 2010-06-03 14:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Alwil Software
2010-06-03 14:31 . 2010-06-03 14:31 -------- d-----w- c:\programme\Alwil Software
2010-06-03 13:40 . 2010-06-05 12:36 -------- d-----w- c:\programme\MSECACHE
2010-06-02 16:19 . 2010-05-07 14:34 30024 ----a-w- c:\windows\system32\uxtuneup.dll
2010-06-02 15:25 . 2010-06-02 15:26 -------- d-----w- c:\programme\Klebezettel NG
2010-06-02 11:07 . 2010-06-07 11:18 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Anwendungsdaten\Lookeen
2010-06-02 11:07 . 2010-06-02 11:07 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Anwendungsdaten\assembly
2010-06-02 11:07 . 2010-06-02 11:07 -------- d-----w- c:\programme\Axonic
2010-06-02 09:48 . 2010-06-02 09:50 -------- d-----w- c:\windows\system32\URTTemp
2010-06-02 08:38 . 2010-06-02 08:41 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\MiniDm
2010-06-01 15:24 . 2010-06-01 15:24 -------- d-----w- c:\programme\MSXML 4.0
2010-06-01 15:22 . 2010-06-14 08:00 -------- d-----w- c:\windows\ie8updates
2010-06-01 14:19 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-06-01 13:55 . 2010-02-24 13:11 455680 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2010-06-01 13:45 . 2010-05-06 10:31 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2010-06-01 13:45 . 2010-05-06 10:31 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-06-01 13:45 . 2010-05-06 10:31 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2010-06-01 13:45 . 2010-05-06 10:31 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-06-01 13:45 . 2010-05-06 10:31 599040 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2010-06-01 08:50 . 2010-02-17 12:04 2192256 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe
2010-06-01 08:49 . 2010-02-16 19:04 2148864 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2010-06-01 08:49 . 2010-02-16 19:04 2027008 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2010-06-01 08:07 . 2010-06-19 07:22 -------- d-----w- c:\windows\XSxS
2010-06-01 08:07 . 2010-06-08 11:25 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Anwendungsdaten\Xenocode
2010-06-01 07:35 . 2008-06-14 17:32 273024 -c----w- c:\windows\system32\dllcache\bthport.sys
2010-06-01 07:35 . 2008-06-14 17:32 273024 ------w- c:\windows\system32\drivers\bthport.sys
2010-06-01 07:03 . 2010-06-14 08:00 -------- d--h--w- c:\windows\$hf_mig$
2010-06-01 06:46 . 2010-06-05 14:24 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Anwendungsdaten\Ahead
2010-06-01 05:55 . 2010-06-06 06:51 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\Ahead
2010-06-01 05:46 . 2010-06-01 05:53 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead
2010-06-01 05:46 . 2010-06-01 05:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2010-06-01 05:46 . 2010-06-01 05:46 -------- d-----w- c:\programme\Nero
2010-06-01 05:11 . 2010-06-01 05:11 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Anwendungsdaten\ACD Systems
2010-06-01 05:11 . 2010-06-01 05:11 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\ACD Systems
2010-06-01 05:09 . 2010-06-01 05:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ACD Systems
2010-06-01 05:09 . 2010-06-01 05:09 -------- d-----w- c:\programme\Gemeinsame Dateien\ACD Systems
2010-06-01 05:09 . 2010-06-01 05:09 -------- d-----w- c:\programme\ACD Systems
2010-06-01 05:06 . 2010-06-01 05:06 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2010-06-01 05:02 . 2010-06-01 05:02 -------- d--h--r- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Atheros
2010-06-01 01:30 . 2010-06-01 01:30 -------- d-sh--w- c:\dokumente und einstellungen\Anwendername\IECompatCache
2010-05-31 20:33 . 2010-05-21 12:14 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-31 20:08 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2010-05-31 20:08 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2010-05-31 19:20 . 2010-05-31 19:20 57248 ----a-w- c:\windows\system32\drivers\pxrts.sys
2010-05-31 19:19 . 2010-05-31 19:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2010-05-31 19:16 . 2010-05-31 19:16 -------- d-----w- c:\windows\system32\oodag
2010-05-31 19:09 . 2010-06-18 07:57 -------- d-----w- C:\VueScan
2010-05-31 18:42 . 2010-05-31 18:43 -------- d-----w- c:\programme\Abbyy FineReader 6.0 Sprint
2010-05-31 18:41 . 2003-03-11 17:26 98345 ----a-w- c:\windows\system32\IMHOST32.DLL
2010-05-31 18:41 . 2003-03-11 17:26 339968 ----a-w- c:\windows\system32\IMGMAN32.DLL
2010-05-31 18:41 . 2010-05-31 18:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FaxCtr
2010-05-31 18:39 . 2005-08-01 00:09 139264 ----a-w- c:\windows\system32\lxcejswr.dll
2010-05-31 18:39 . 2005-08-01 00:09 102400 ----a-w- c:\windows\system32\lxceinsr.dll
2010-05-31 18:39 . 2005-07-28 08:24 172032 ----a-w- c:\windows\system32\lxceinsb.dll
2010-05-31 18:39 . 2005-07-28 08:24 131072 ----a-w- c:\windows\system32\lxceins.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-20 12:57 . 2010-05-31 08:59 -------- d-----w- c:\dokumente und einstellungen\Anwendername\Anwendungsdaten\FRITZ!
2010-06-17 07:55 . 2008-04-25 18:00 92794 ----a-w- c:\windows\system32\perfc007.dat
2010-06-17 07:55 . 2008-04-25 18:00 483940 ----a-w- c:\windows\system32\perfh007.dat
2010-06-17 06:25 . 2010-05-31 18:40 -------- d-----w- c:\programme\Lx_cats
2010-06-06 08:02 . 2010-03-31 20:19 19088 ----a-w- c:\dokumente und einstellungen\Anwendername\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-06-06 07:42 . 2010-06-06 07:40 -------- d-----w- c:\programme\Java
2010-06-01 09:05 . 2010-05-31 08:59 -------- d-----w- c:\programme\FRITZ!
2010-05-31 09:26 . 2010-03-31 20:04 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-05-31 08:59 . 2010-05-31 08:59 -------- d-----w- c:\programme\Gemeinsame Dateien\AVM
2010-05-31 08:59 . 2010-05-31 08:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ISDNWatch
2010-05-06 10:31 . 2008-04-25 18:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2008-04-25 18:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:29 . 2008-04-25 18:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2010-03-31 21:06 . 2010-03-31 21:06 159168 ----a-w- c:\windows\system32\drivers\afcdp.sys
2010-03-31 21:06 . 2010-03-31 21:06 902432 ----a-w- c:\windows\system32\drivers\tdrpm251.sys
2010-03-31 21:06 . 2010-03-31 21:06 570016 ----a-w- c:\windows\system32\drivers\timntr.sys
2010-03-31 21:06 . 2010-03-31 21:06 157248 ----a-w- c:\windows\system32\drivers\snapman.sys
2010-03-31 20:01 . 2010-03-31 20:01 21740 ----a-w- c:\windows\system32\emptyregdb.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{237EB6DA-3FEA-4DD2-8A61-A901B5C489D7}]
2010-04-23 13:40 560888 ----a-w- c:\programme\GhosteryIEplugin\GhosteryBrowserHelperObjec.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Allway Sync"="c:\programme\Allway Sync\Bin\syncappw.exe" [2010-05-25 95568]
"TPKMAPMN"="c:\programme\ThinkPad\Utilities\TpKmapMn.exe" [2007-09-21 49152]
"Klebezettel NG"="c:\programme\Klebezettel NG\klebez.exe" [2010-05-27 4907520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2007-01-09 868352]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-11-02 126976]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2009-09-12 5082488]
"BMMLREF"="c:\programme\ThinkPad\Utilities\BMMLREF.EXE" [2005-04-19 20480]
"Gebuehrenzaehler"="c:\programme\pics\Geb_Zahl.exe" [2006-08-22 357376]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2005-04-19 208896]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-10-02 94208]
"cFosSpeed"="c:\programme\cFosSpeed\cFosSpeed.exe" [2010-05-31 801496]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-05-06 2815192]
"LXCECATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="c:\windows\system32\sti_ci.dll" [2008-04-25 137216]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-25 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
FriFax.lnk - c:\programme\FRITZ!\FriFax32.exe [2010-5-31 1504560]
ISDNWatch.lnk - c:\programme\FRITZ!\IWatch.exe [2010-5-31 341296]
Snagit 9.lnk - c:\programme\TechSmith\Snagit 9\Snagit32.exe [2009-10-15 6287176]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 21:45 28672 ----a-w- c:\windows\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 18:16 24576 ----a-w- c:\windows\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0auto_reactivate \\?\Volume{37975c34-3d11-11df-a116-806d6172696f}\bootwiz\asrm.bin

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"lxcemon.exe"="c:\programme\Lexmark 4300 Series\lxcemon.exe"
"EzPrint"="c:\programme\Lexmark 4300 Series\ezprint.exe"
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Device Detector"=DevDetect.exe -autorun
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"SoundMAX"=c:\programme\Analog Devices\SoundMAX\Smax4.exe /tray
"TrackPointSrv"=c:\programme\Lenovo\TrackPoint\tp4serv.exe
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
"IgfxTray"=c:\windows\system32\igfxtray.exe
"BMMMONWND"=rundll32.exe c:\progra~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\IEPro\\MiniDM.exe"=
"d:\\Work 1\\Klebezettel NG 2.9.6.1773 portable\\klebez.exe"=
"c:\\Programme\\Klebezettel NG\\klebez.exe"=
"c:\\Programme\\Oracle\\VirtualBox\\VirtualBox.exe"=
"c:\\Programme\\Folder Lock\\Locker\\Firefox 3.6 Portable mit Foxmail Klaus\\Firefox\\firefox.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

R0 tdrpman251;Acronis Try&Decide and Restore Points filter (build 251);c:\windows\system32\drivers\tdrpm251.sys [31.03.2010 23:06 902432]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [03.06.2010 16:31 164048]
R1 lenovo.smi;Lenovo System Interface Driver;c:\windows\system32\drivers\smiif32.sys [12.05.2008 18:04 13480]
R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [31.03.2010 22:18 16384]
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [19.06.2010 22:31 142928]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [19.06.2010 22:30 41744]
R2 afcdpsrv;Acronis Nonstop Backup service;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [31.03.2010 23:06 2326920]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [03.06.2010 16:31 19024]
R2 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [31.05.2010 21:20 57248]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [07.05.2010 16:38 1051976]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [31.03.2010 23:06 159168]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [01.04.2010 03:43 53632]
R3 fpcmbase;FRITZ!Card PCMCIA;c:\windows\system32\drivers\fpcmbase.sys [31.05.2010 10:35 532352]
R3 Tp4Track;PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [31.03.2010 22:25 23152]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14.10.2009 07:24 10064]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [07.06.2010 14:38 100496]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [07.06.2010 14:38 111312]
S0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys --> c:\windows\system32\drivers\TfFsMon.sys [?]
S0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys --> c:\windows\system32\drivers\TfSysMon.sys [?]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [31.05.2010 10:35 37568]
S3 block_reader;MPR DRV;\??\c:\programme\mpr\block_reader.sys --> c:\programme\mpr\block_reader.sys [?]
S3 esihdrv;esihdrv;\??\c:\dokume~1\Anwendername\LOKALE~1\Temp\esihdrv.sys --> c:\dokume~1\Anwendername\LOKALE~1\Temp\esihdrv.sys [?]
S3 TfNetMon;TfNetMon;\??\c:\windows\system32\drivers\TfNetMon.sys --> c:\windows\system32\drivers\TfNetMon.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-05-31 c:\windows\Tasks\BMMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2010-03-31 23:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: + Offline &Explorer: Download the link - file://d:\work 1\Offline Browser Portable\Add_UrlO.htm
IE: + Offline E&xplorer: Download the current page - file://d:\work 1\Offline Browser Portable\Add_AllO.htm
IE: add to &BOM - c:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Web-Recherche: Bild speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#101
IE: Web-Recherche: Bild speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#108
IE: Web-Recherche: Link-Adresse speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#110
IE: Web-Recherche: Markierte Ziele speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#111
IE: Web-Recherche: Markierung speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#104
IE: Web-Recherche: Markierung speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#109
IE: Web-Recherche: Seitenbereich (Frame) speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#102
IE: Web-Recherche: Seitenbereich (Frame) speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#106
IE: Web-Recherche: Ziel speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#103
IE: Web-Recherche: Ziel speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#107
IE: {{237EB6DA-3FEA-4DD2-8A61-A901B5C489D7} - {237EB6DA-3FEA-4DD2-8A61-A901B5C489D7} - c:\programme\GhosteryIEplugin\GhosteryBrowserHelperObjec.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-22 11:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCECATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="BAC119B0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(608)
c:\windows\system32\tphklock.dll
.
Zeit der Fertigstellung: 2010-06-22 11:30:46
ComboFix-quarantined-files.txt 2010-06-22 09:30

Vor Suchlauf: 10 Verzeichnis(se), 40.957.865.984 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 41.239.437.312 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 8B231A1DC2650E5884F5FE7EBE7E7359
thx

Timok
__________
Wenn die Würde des Menschen mit Füßen getreten wird, ist es an der Zeit zurück zu schlagen
Seitenanfang Seitenende
22.06.2010, 19:44
Moderator

Beiträge: 5694
#8 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:

Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.



Backdoor Warnung

Da Dein Computer mit einer sog. Backdoor (Hintertür) infiziert ist, lies Dir diesen Beitrag sehr aufmerksam durch. Eine Backdoor versteckt sich durch ein Rootkit. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine dringende Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" sind sicher, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist, denn es ist nicht das Gefährliche, was wir sehen, sondern das, was wir nicht sehen.

Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädling kann alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch Mitloggen der Tastatur-Eingaben ausspionieren. Mit diesem System auf keinen Fall mehr Online-Banking, Filesharing, Mailing oder Messaging betreiben. Keine Up- und Downloads, außer auf Security-Seiten. Es ist daher eine gute Idee, alle auf diesem System gespeicherten oder benutzten Passwörter von einem garantiert sauberen Rechner aus durch neue Passwörter zu ersetzen.

Bitte trenne den Computer während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit eine Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen.

Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet.

Lasse mich wissen, ob Du den Rechner neu aufsetzt oder ob Du trotz obiger Warnung eine umfangreiche, langwierige Bereinigung versuchen möchtest, deren Ende sein könnte, dass das System trotz Bereinigungsversuch neu aufgesetzt werden muss.

Zitat

Da der Computer aktuell als komprimitiert eingestuft wird, unbedingt den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Mit diesem Computer keinesfalls Online-Banking, Filesharing, Mailing oder Messaging betreiben.
Keine Up- und Downloads, außer auf Security-Seiten.
Alle auf diesem System gespeicherten Passwörter von einem garantiert sauberen Rechner aus durch neue ersetzen.
Mehr Information zum Thema, siehe auch System-Sicherheit
Seitenanfang Seitenende
22.06.2010, 20:40
Member
Avatar Timok

Beiträge: 22
#9 @Swiss

Ich werde in den kommenden Tagen Win 7 kaufen und den Rechner komplett neu installieren. Was mich wundert ist, dass die automatische Auswertung eines Hijaack This Logfiles nichts ergeben hatte :-( und ganz davon abgesehen ComboFix hat keine Vorschläge gemacht Hinweise gegeben das etwas zu tun sei.

Timok
__________
Wenn die Würde des Menschen mit Füßen getreten wird, ist es an der Zeit zurück zu schlagen
Seitenanfang Seitenende
22.06.2010, 21:27
Moderator

Beiträge: 5694
#10 Die Auswertung ist ein gutes Mittel aber nicht ein Allerweltswerkzeug. Die Funde von Combofix belegen aber die Anwesenheit eines Backdoors.
Seitenanfang Seitenende
23.06.2010, 07:01
Member
Avatar Timok

Beiträge: 22
#11 @Swiss

Was insgesamt ärgerlich ist, ist, dass ich auf diesem Rechner Tools wie Eset Sysinspector und Malwarebytes' Anti-Malware immer mal wieder benutze und keines der Tools was zu beanstanden hatte.

nun egal - nicht mehr zu ändern


Timok
__________
Wenn die Würde des Menschen mit Füßen getreten wird, ist es an der Zeit zurück zu schlagen
Seitenanfang Seitenende