Unbekannte Person/Virus verschickt mit meinem Namen links zu russischen seiten

#0
17.03.2009, 21:20
Member

Beiträge: 14
#1 Also Meldung kam : Jemand hat sich bei Deinem Konto von einem anderen Computer aus angemeldet ( Meldung eig ok weil sie auch kommt wenn ich mioch von meinem ipod aus einlogge)
und danach haben alle aus meiner liste eine russische nachricht mit link bekommen..
so die frage ist das automatisiert also virus oder so oder ist das ein hacker hier combofix und hijackthis log... mbam hat auch nix gefunden..

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:06, on 2009-03-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Wireless\IEEE802.11g WLAN USB Adapter\WLUSBCfg.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 10.5.1.2023 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 10.5.1.2023 (User 'Default user')
O4 - Global Startup: IEEE 802.11g USB Adapter Utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Update Service (gupdate1c9a3eeeafeb5f8) (gupdate1c9a3eeeafeb5f8) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6596 bytes

ComboFix 09-03-15.01 - Matze 2009-03-17 21:12:45.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.2047.1559 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Matze\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-17 bis 2009-03-17 ))))))))))))))))))))))))))))))
.

2009-03-17 21:09 . 2009-03-17 21:09 <DIR> d-------- C:\Test
2009-03-15 15:42 . 2009-03-15 16:03 <DIR> d-------- C:\KEEN
2009-03-13 16:15 . 2009-03-13 16:18 <DIR> d-------- c:\programme\Google
2009-03-13 16:15 . 2009-03-17 19:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-03-01 19:11 . 2009-03-01 19:11 <DIR> d-------- c:\programme\VirusTotalUploader
2009-02-28 19:08 . 2009-02-28 19:08 <DIR> d-------- c:\programme\Gewichtstagebuch
2009-02-28 19:08 . 1998-04-24 01:00 368,912 --a------ c:\windows\system32\vbar332.dll
2009-02-28 19:08 . 2004-03-09 00:00 260,880 --a------ c:\windows\system32\MsFlxGrd.ocx
2009-02-28 19:08 . 2001-03-13 14:49 140,288 --a------ c:\windows\system32\COMDLG32.OCX
2009-02-28 19:08 . 2003-07-15 03:13 125,496 --a------ c:\windows\system32\Mscal.ocx
2009-02-28 19:08 . 1998-07-06 00:00 42,496 --a------ c:\windows\system32\FlxGdDE.dll
2009-02-28 19:08 . 1998-07-06 00:00 33,792 --a------ c:\windows\system32\CmDlgDE.dll
2009-02-28 19:08 . 1998-07-05 23:00 6,656 --a------ c:\windows\system32\StdFtDE.dll
2009-02-28 15:04 . 2009-02-28 15:04 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-28 15:04 . 2009-02-28 15:04 <DIR> d-------- c:\dokumente und einstellungen\Matze\Anwendungsdaten\Malwarebytes
2009-02-28 15:04 . 2009-02-28 15:04 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-28 15:04 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-28 15:04 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-27 17:40 . 2009-02-27 17:40 <DIR> d-------- c:\dokumente und einstellungen\Matze\filterfiles
2009-02-25 16:34 . 2001-08-18 04:53 8,704 --a------ c:\windows\system32\kbdjpn.dll
2009-02-25 16:34 . 2001-08-18 04:53 8,704 --a--c--- c:\windows\system32\dllcache\kbdjpn.dll
2009-02-25 16:34 . 2001-08-18 04:53 8,192 --a------ c:\windows\system32\kbdkor.dll
2009-02-25 16:34 . 2001-08-18 04:53 8,192 --a--c--- c:\windows\system32\dllcache\kbdkor.dll
2009-02-25 16:34 . 2001-08-17 14:55 6,144 --a------ c:\windows\system32\kbd106.dll
2009-02-25 16:34 . 2001-08-17 14:55 6,144 --a------ c:\windows\system32\kbd101c.dll
2009-02-25 16:34 . 2001-08-17 14:55 6,144 --a------ c:\windows\system32\kbd101b.dll
2009-02-25 16:34 . 2001-08-17 14:55 6,144 --a--c--- c:\windows\system32\dllcache\kbd106.dll
2009-02-25 16:34 . 2001-08-17 14:55 6,144 --a--c--- c:\windows\system32\dllcache\kbd101c.dll
2009-02-25 16:34 . 2001-08-17 14:55 6,144 --a--c--- c:\windows\system32\dllcache\kbd101b.dll
2009-02-25 16:34 . 2001-08-17 14:55 5,632 --a------ c:\windows\system32\kbd103.dll
2009-02-25 16:34 . 2001-08-17 14:55 5,632 --a--c--- c:\windows\system32\dllcache\kbd103.dll
2009-02-24 19:47 . 2009-02-24 19:47 <DIR> d-------- c:\programme\LibUSB-Win32
2009-02-24 19:47 . 2007-03-20 11:33 43,520 --a------ c:\windows\system32\libusb0.dll
2009-02-24 19:47 . 2007-03-20 11:33 28,672 --a------ c:\windows\system32\drivers\libusb0.sys
2009-02-23 16:20 . 2009-02-23 16:20 <DIR> d-------- c:\programme\Free WMA to MP3 Converter
2009-02-19 19:29 . 2009-02-19 19:29 <DIR> d-------- c:\programme\Burn4Free
2009-02-19 18:52 . 2009-02-19 18:52 <DIR> d-------- c:\programme\CDBurnerXP
2009-02-19 18:52 . 2009-02-19 18:52 <DIR> d-------- c:\dokumente und einstellungen\Matze\Anwendungsdaten\Canneverbe_Limited

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-16 18:27 --------- d-----w c:\programme\Steam
2009-03-15 16:10 --------- d-----w c:\programme\Mozilla Thunderbird
2009-03-10 17:11 --------- d-----w c:\programme\ICQ6.5
2009-03-04 18:40 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\No23 Recorder
2009-02-16 18:27 --------- d-----w c:\programme\Red Kawa
2009-02-16 18:27 --------- d-----w c:\programme\AviSynth 2.5
2009-02-16 15:51 --------- d-----w c:\programme\7-Zip
2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys
2009-02-06 19:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-02-06 19:35 --------- d-----w c:\programme\NOS
2009-01-29 17:55 --------- d-----w c:\programme\Paint.NET
2009-01-25 18:42 18,816 ----a-w c:\windows\system32\drivers\dvd43llh.sys
2009-01-25 18:42 --------- d-----w c:\programme\SlySoft
2009-01-25 18:42 --------- d-----w c:\programme\dvd43
2009-01-25 17:43 --------- d-----w c:\programme\Trend Micro
.

((((((((((((((((((((((((((((( SnapShot@2009-02-28_14.59.11.71 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-13 15:18:29 363,246 ----a-r c:\windows\Installer\{548EAC70-EE00-11DD-908C-005056806466}\ARPPRODUCTICON.exe
+ 2009-03-13 15:18:29 25,214 ----a-r c:\windows\Installer\{548EAC70-EE00-11DD-908C-005056806466}\googleearth.exe_407B9B5CDAC54F44A756B57CAB4E6A8B.exe
+ 2009-03-13 15:18:29 25,214 ----a-r c:\windows\Installer\{548EAC70-EE00-11DD-908C-005056806466}\googleearth.exe1_407B9B5CDAC54F44A756B57CAB4E6A8B.exe
+ 2009-03-13 15:18:29 25,214 ----a-r c:\windows\Installer\{548EAC70-EE00-11DD-908C-005056806466}\ShortcutDX_EB071909B9884F8CBF3D6115D4ADEE5E.exe
+ 2009-03-13 15:18:29 25,214 ----a-r c:\windows\Installer\{548EAC70-EE00-11DD-908C-005056806466}\ShortcutOGL_EB071909B9884F8CBF3D6115D4ADEE5E.exe
+ 2009-03-13 15:18:29 25,214 ----a-r c:\windows\Installer\{548EAC70-EE00-11DD-908C-005056806466}\UNINST_Uninstall_G_408FFBEED62349E08B232864A94D2864.exe
- 2007-04-25 14:22:27 144,896 -c----w c:\windows\system32\dllcache\schannel.dll
+ 2008-12-05 07:12:02 144,896 -c----w c:\windows\system32\dllcache\schannel.dll
- 2008-09-15 15:37:15 1,846,144 -c----w c:\windows\system32\dllcache\win32k.sys
+ 2009-02-09 14:14:52 1,846,400 -c----w c:\windows\system32\dllcache\win32k.sys
- 2008-12-10 13:31:25 143,624 ----a-w c:\windows\system32\FNTCACHE.DAT
+ 2009-03-11 18:30:42 143,624 ----a-w c:\windows\system32\FNTCACHE.DAT
- 2007-04-25 14:22:27 144,896 ----a-w c:\windows\system32\schannel.dll
+ 2008-12-05 07:12:02 144,896 ----a-w c:\windows\system32\schannel.dll
- 2008-07-09 07:37:05 18,808 ------w c:\windows\system32\spmsg.dll
+ 2007-11-30 11:18:34 18,808 ------w c:\windows\system32\spmsg.dll
+ 2009-03-17 17:46:24 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_31c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-12 8429568]
"SW20"="c:\windows\system32\sw20.exe" [2006-12-15 208896]
"SW24"="c:\windows\system32\sw24.exe" [2006-12-15 69632]
"WinSys2"="c:\windows\system32\winsys2.exe" [2006-12-15 217088]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"LVCOMSX"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe" [2007-02-06 252704]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-12 81920]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-13 136600]
"nwiz"="nwiz.exe" [2007-04-12 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"WUAppSetup"="c:\programme\Gemeinsame Dateien\logishrd\WUApp32.exe" [2007-02-04 435736]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
IEEE 802.11g USB Adapter Utility.lnk - c:\programme\Wireless\IEEE802.11g WLAN USB Adapter\Startup.EXE [2008-11-24 24576]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk
backup=c:\windows\pss\Kodak EasyShare Software.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dvd43]
--a------ 2008-11-17 18:50 827904 c:\programme\dvd43\DVD43_Tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 17:24 1694208 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-12-23 13:20 1410296 c:\programme\Steam\Steam.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"c:\\Programme\\Steam\\SteamApps\\headbanger93\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Steam\\SteamApps\\headbanger93\\day of defeat source\\hl2.exe"=
"c:\\Programme\\K-Lite Codec Pack\\Media Player Classic\\mplayerc.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2008-11-24 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2008-11-24 45376]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.1;c:\windows\system32\drivers\libusb0.sys [2009-02-24 28672]
R3 ZD1211U(Wireless);IEEE 802.11g USB Adapter Driver(Wireless);c:\windows\system32\drivers\ZD1211U.sys [2008-11-24 238080]
S2 gupdate1c9a3eeeafeb5f8;Google Update Service (gupdate1c9a3eeeafeb5f8);c:\programme\Google\Update\GoogleUpdate.exe [2009-03-13 133104]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2009-02-06 33752]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2008-11-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2009-03-17 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-13 16:15]

2009-03-17 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-13 16:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\wi81zjhs.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.schuelervz.net/Start
FF - plugin: c:\programme\Google\Google Updater\2.4.1508.6312\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.141.5\npGoogleOneClick7.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-17 21:13:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1176)
c:\programme\Funk Software\Odyssey Client\odLogin.dll
.
Zeit der Fertigstellung: 2009-03-17 21:14:03
ComboFix-quarantined-files.txt 2009-03-17 20:14:01
ComboFix2.txt 2009-02-28 13:59:41

Vor Suchlauf: 12 Verzeichnis(se), 72,473,001,984 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 72,459,292,672 Bytes frei

182 --- E O F --- 2009-03-11 18:29:49
Seitenanfang Seitenende
18.03.2009, 16:56
Moderator

Beiträge: 5694
#2 Ich kann nichts verdächtiges erkennen.
Es kann gut sein, dass Deine Email Adresse einfach für SPAM missbraucht wird.


>>
Stelle Dein Avira Antivir so ein wie hier beschrieben. Zusätzlich Rootkitsuche anwählen. UPDATE dein Antivir und scanne all deine Festplatten, funde in Quarantäne verschieben lassen. Poste das Log.
(Nach dem scanen, Einstellungen wieder zurücksetzen)
http://board.protecus.de/t23979.htm

Gruss Swiss
Seitenanfang Seitenende
18.03.2009, 17:04
Moderator

Beiträge: 5694
#3 >>
Systemwiederherstellung deaktivieren (XP):
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen. (also wieder aktivieren)

>>
Kommen noch Meldungen?

Gruss Swiss
Seitenanfang Seitenende
18.03.2009, 18:38
Member

Themenstarter

Beiträge: 14
#4 Tatsache, Antivir, hat so nen trojaner gefunden TR/Drop.Agent.aicp ..
diese Heuristikveränderungen hams gebracht, is jetzt in quarantäne !!! aber muss ihn bestimmt noch entfernen oder so?!
naja hoffe auf weitere instruktionen



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 18. März 2009 18:14

Es wird nach 1305356 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: MATTHIAS-M02LJS

Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 19:38:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:54:35
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 11:50:47
ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11.03.2009 17:14:07
ANTIVIR3.VDF : 7.1.2.183 189952 Bytes 17.03.2009 17:48:35
Engineversion : 8.2.0.116
AEVDF.DLL : 8.1.1.0 106868 Bytes 02.02.2009 13:00:08
AESCRIPT.DLL : 8.1.1.63 364923 Bytes 14.03.2009 08:19:25
AESCN.DLL : 8.1.1.8 127346 Bytes 06.03.2009 16:52:34
AERDL.DLL : 8.1.1.3 438645 Bytes 24.11.2008 17:54:50
AEPACK.DLL : 8.1.3.10 397686 Bytes 05.03.2009 16:52:22
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 28.02.2009 15:51:27
AEHEUR.DLL : 8.1.0.104 1634679 Bytes 06.03.2009 16:52:34
AEHELP.DLL : 8.1.2.2 119158 Bytes 28.02.2009 15:51:24
AEGEN.DLL : 8.1.1.29 336245 Bytes 16.03.2009 17:48:02
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56
AECORE.DLL : 8.1.6.6 176501 Bytes 18.02.2009 17:52:40
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 24.11.2008 17:54:41
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 18. März 2009 18:14

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '44590' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLUSBCfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunes.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OdHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComSX.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinSys2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '59' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Qoobox\Quarantine\C\RECYCLER\S-2-4-72-100012492-100019077-100006837-2472.com.vir
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.aicp
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f32f26.qua' verschoben!
C:\Qoobox\Quarantine\D\RECYCLER\S-2-4-72-100012492-100019077-100006837-2472.com.vir
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.aicp
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f32f28.qua' verschoben!
C:\Qoobox\Quarantine\D\RECYCLER\S-3-4-85-100013418-100019300-100008162-5791.com.vir
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.aicp
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f42f2b.qua' verschoben!
C:\System Volume Information\_restore{649E20AA-2373-4B64-8683-7281FCAE5C79}\RP91\A0015764.com
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.aicp
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f12fc3.qua' verschoben!
Beginne mit der Suche in 'D:\'
D:\System Volume Information\_restore{649E20AA-2373-4B64-8683-7281FCAE5C79}\RP91\A0015765.com
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.aicp
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f131a9.qua' verschoben!
D:\System Volume Information\_restore{649E20AA-2373-4B64-8683-7281FCAE5C79}\RP91\A0015766.com
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.aicp
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f131ab.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 18. März 2009 18:38
Benötigte Zeit: 23:07 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

7163 Verzeichnisse wurden überprüft
203240 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
203233 Dateien ohne Befall
1450 Archive wurden durchsucht
1 Warnungen
6 Hinweise
44590 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Seitenanfang Seitenende
18.03.2009, 18:46
Moderator

Beiträge: 5694
#5 Dies ist von Combofix:
C:\Qoobox --> kannst du löschen

>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

>>
Der Rest hängt noch in der Systemwiederherstellung.
Hast du das noch gemacht:

Zitat

>>
Systemwiederherstellung deaktivieren (XP):
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen. (also wieder aktivieren)
>>
Mach ein Onlinescan mit Bitdefender zum drüber bügeln und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

Gruss Swiss
Seitenanfang Seitenende
18.03.2009, 18:58
Member

Themenstarter

Beiträge: 14
#6 Der Onlinescan klappt werde bei meinem IE (den ich sonst nie benutze) noch bei Firefox, gibt es eine alternative?
und was genau hat das aktivieren und dann deaktivieren gebracht??
mfg
Seitenanfang Seitenende
18.03.2009, 19:04
Moderator

Beiträge: 5694
Seitenanfang Seitenende
18.03.2009, 19:25
Member

Themenstarter

Beiträge: 14
#8 Diese Scans sind alle für IE, ich kann ihn aber irgendwie nicht installieren... zeigt immer an das es nicht geklaptt hat... was nun?
Seitenanfang Seitenende
18.03.2009, 20:04
Moderator

Beiträge: 5694
#9 Du hast den IE nicht? Wie holst du Dir dann die Windowsupdates?
Seitenanfang Seitenende
19.03.2009, 11:35
Member

Beiträge: 3716
#10 jeder hat den ie auch du
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Seitenanfang Seitenende
19.03.2009, 16:39
Moderator

Beiträge: 5694
#11 Genau darum auch meine Frage ;) Da sonst das System ja völlig ungepatcht wäre ;)

SMILE
Seitenanfang Seitenende
20.03.2009, 16:08
Member

Themenstarter

Beiträge: 14
#12 naja aber ich kann weder den neuen instaliieren, noch activex
Seitenanfang Seitenende
20.03.2009, 18:05
Member

Beiträge: 3716
#13 internet explorer 8 ist raus, instalier den... falls net geht, hast du xp antispy?
Seitenanfang Seitenende