Lappi von ner Bekannten gereinigt ! Virenfrei?

#0
05.05.2009, 23:50
Member
Avatar chrischahn87

Beiträge: 301
#1 Hab von einer Bekannten(total noob) einen Lappi(XP) bekommen mit der Aussage " er hat ein Eigenleben" Mach mal!!!

Ihr Ex hatte ihn wohl fleißig zum File-sharing benutzt!

Folgendes konnte ich feststellen!

-Ie (noch vers 6 ) ließ sich nicht mehr öffnen oder führte zum freeze (Firefox n.V.) Update funktionierte nicht! Manueller Download von IE mit Firefox startete nicht!!!

-Windows Update zwar aktiv aber Stand noch SP 2

-Avira (war vorher schon drauf ) zeigte zwar an das update geladen wird und erfolgreich war aber Stand der Updates war 16.01.09

-mbam (hab ich installiert) ließ sich ebenfalls nicht updaten

-Lappi hängt sich auf oder stürzt ab

Meiner Meinung wär System neu aufsetzen besser gewesen allerdings kann ich ihr das nicht vermitteln und ich kann es nicht machen weil 250 km zwischen uns liegen und ich den Lappi nur diese Woche zu Verfügung hab !

Das hab ich gemacht:

-Combifix laufen lassen
-CCleaner laufen lassen
-Avira geupdatet(funktionierte nach Combifix) und laufen lassen
-Spybot laufen lassen
-mbam laufen lassen
-Hijackthis laufen lassen
-Firefox installiert
-Ie geupdatet
-Xp geupdatet
-Sytemwiederhrstellung vorerst deaktiviert um viren in der restore zu entfernen

Nach meine Aktionen machte ich noch mal scan´s Avira,Mbam, und Spyot finden nun nix mehr! F-Secure und Trend Micro (Online) ebenfalls keine Funde

Das einzige ist das weder CCleaner noch Tune up folgenden Reg Key löschen können HKEY_CLASSES_ROOT\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Wollte das ihr euch mal die Logs checkt und mir sagt dass alles ok ist ( Im besten Falle!

Danke im Vorraus :yo

Wollte die logs alls dateianhänge machen weiß aber nicht wie man mehrere anhängt!
Logs:




Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 5. Mai 2009 10:10

Es wird nach 1378460 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ACER-917A74570E

Versionsinformationen:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 04.05.2009 21:17:32
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:12
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:46
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:42:00
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:38
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:33:28
ANTIVIR2.VDF : 7.1.3.137 1810944 Bytes 30.04.2009 21:17:32
ANTIVIR3.VDF : 7.1.3.152 84992 Bytes 05.05.2009 08:10:40
Engineversion : 8.2.0.160
AEVDF.DLL : 8.1.1.1 106868 Bytes 04.05.2009 21:17:32
AESCRIPT.DLL : 8.1.1.79 385403 Bytes 04.05.2009 21:17:32
AESCN.DLL : 8.1.1.10 127348 Bytes 04.05.2009 21:17:32
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 16:24:42
AEPACK.DLL : 8.1.3.14 397685 Bytes 04.05.2009 21:17:32
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 18:01:58
AEHEUR.DLL : 8.1.0.122 1737080 Bytes 04.05.2009 21:17:32
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 18:01:58
AEGEN.DLL : 8.1.1.39 348532 Bytes 04.05.2009 21:17:32
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 12:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 04.05.2009 21:17:32
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:58
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 09:39:56
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:30
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:06
AVARKT.DLL : 9.0.0.3 292609 Bytes 04.05.2009 21:17:32
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:06
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:30
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:22
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 09:41:18
RCTEXT.DLL : 9.0.37.0 87809 Bytes 04.05.2009 21:17:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 5. Mai 2009 10:10

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '36618' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'WMIPRVSE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIADAP.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FIREFOX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkBtMnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSMSGS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NVSVC32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTWDINS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '54' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <ACERDATA>


Ende des Suchlaufs: Dienstag, 5. Mai 2009 10:39
Benötigte Zeit: 28:07 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3391 Verzeichnisse wurden überprüft
172914 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
172913 Dateien ohne Befall
1031 Archive wurden durchsucht
1 Warnungen
1 Hinweise
36618 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden



ComboFix 09-05-03.6 - Ueck 04.05.2009 23:03.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1022.557 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Ueck\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated)
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Ueck\Lokale Einstellungen\Anwendungsdaten\auqse.dat
c:\dokumente und einstellungen\Ueck\Lokale Einstellungen\Anwendungsdaten\auqse.exe
c:\dokumente und einstellungen\Ueck\Lokale Einstellungen\Anwendungsdaten\auqse_nav.dat
c:\dokumente und einstellungen\Ueck\Lokale Einstellungen\Anwendungsdaten\auqse_navps.dat
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-04-04 bis 2009-05-04 ))))))))))))))))))))))))))))))
.

2009-05-04 20:51 . 2009-05-04 20:51 -------- d-----w c:\dokumente und einstellungen\LocalService\Startmenü
2009-05-04 20:51 . 2009-05-04 20:51 -------- d-----w c:\windows\LastGood
2009-05-04 20:51 . 2009-02-13 09:31 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-05-04 20:51 . 2009-05-04 20:51 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-05-04 20:51 . 2009-05-04 20:51 -------- d-----w c:\programme\Avira
2009-05-04 10:37 . 2009-05-04 10:37 -------- d-----w C:\i386
2009-05-04 10:21 . 2009-02-06 10:10 227840 ------w c:\windows\system32\dllcache\wmiprvse.exe
2009-05-04 10:20 . 2009-03-06 14:19 286720 ------w c:\windows\system32\dllcache\pdh.dll
2009-05-04 10:20 . 2009-02-09 11:21 111104 ------w c:\windows\system32\dllcache\services.exe
2009-05-04 10:20 . 2009-02-09 10:51 401408 ------w c:\windows\system32\dllcache\rpcss.dll
2009-05-04 10:20 . 2009-02-09 10:51 473600 ------w c:\windows\system32\dllcache\fastprox.dll
2009-05-04 10:20 . 2009-02-09 10:51 678400 ------w c:\windows\system32\dllcache\advapi32.dll
2009-05-04 10:20 . 2009-02-09 10:51 736768 ------w c:\windows\system32\dllcache\lsasrv.dll
2009-05-04 10:20 . 2009-02-09 10:51 453120 ------w c:\windows\system32\dllcache\wmiprvsd.dll
2009-05-04 10:20 . 2009-02-09 10:51 740352 ------w c:\windows\system32\dllcache\ntdll.dll
2009-05-04 10:19 . 2008-04-21 21:13 217600 ------w c:\windows\system32\dllcache\wordpad.exe
2009-05-04 10:07 . 2009-05-04 10:07 -------- d-sh--w c:\dokumente und einstellungen\Ueck\PrivacIE
2009-05-04 10:06 . 2009-05-04 10:06 -------- d-sh--w c:\dokumente und einstellungen\Ueck\IETldCache
2009-05-04 10:05 . 2009-05-04 10:05 -------- d-----w c:\windows\ie8updates
2009-05-04 10:03 . 2009-05-04 10:03 -------- d--h--w c:\windows\ie8
2009-05-04 09:59 . 2009-05-04 09:59 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-05-04 09:59 . 2009-05-04 09:59 -------- d-----w c:\programme\Spybot - Search & Destroy
2009-05-04 09:58 . 2009-02-28 04:55 105984 ------w c:\windows\system32\dllcache\iecompat.dll
2009-05-04 09:52 . 2009-05-04 09:52 -------- d-sh--w C:\FOUND.000
2009-05-04 09:35 . 2009-05-04 09:35 -------- d-----w c:\programme\Trend Micro
2009-05-04 09:31 . 2009-05-04 09:31 -------- d-----w c:\dokumente und einstellungen\Ueck\Anwendungsdaten\Malwarebytes
2009-05-04 09:30 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-04 09:30 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-04 09:30 . 2009-05-04 09:30 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-04 09:30 . 2009-05-04 09:30 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-04 09:20 . 2009-05-04 09:20 -------- d-----w c:\programme\CCleaner
2009-05-03 20:11 . 2009-05-03 20:11 -------- d-----w c:\dokumente und einstellungen\Ueck\Lokale Einstellungen\Anwendungsdaten\Mozilla

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-04 20:54 . 2005-02-15 01:39 76264 ----a-w c:\windows\system32\perfc007.dat
2009-05-04 20:54 . 2005-02-15 01:39 417556 ----a-w c:\windows\system32\perfh007.dat
2009-05-04 20:49 . 2008-12-21 16:23 12 ----a-w c:\windows\bthservsdp.dat
2009-04-16 09:52 . 2006-01-30 22:46 90112 ----a-w c:\windows\DUMP4621.tmp
2009-03-18 13:12 . 2009-01-15 18:33 50 ----a-w c:\windows\system32\bridf07a.dat
2009-03-13 21:18 . 2009-03-13 21:18 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-08 02:34 . 2004-08-04 03:00 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2004-08-04 03:00 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2004-08-04 03:00 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2004-08-04 03:00 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2004-08-04 03:00 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2004-08-04 03:00 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2004-08-04 03:00 34816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2004-08-04 03:00 48128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2004-08-04 03:00 45568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2004-08-04 03:00 156160 ----a-w c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2004-08-04 03:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-02-18 17:01 . 2006-02-01 22:47 90816 ----a-w c:\dokumente und einstellungen\Ueck\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-02-09 14:04 . 2004-08-04 03:00 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2005-09-29 17:28 2026496 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2005-09-29 17:27 2147840 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2004-08-04 03:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2004-08-04 03:00 736768 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2004-08-04 03:00 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2004-08-04 03:00 740352 ----a-w c:\windows\system32\ntdll.dll
2009-02-09 10:51 . 2004-08-04 03:00 678400 ----a-w c:\windows\system32\advapi32.dll
2009-02-07 13:42 . 2009-02-07 13:42 98304 ----a-w c:\windows\system32\CmdLineExt.dll
2009-02-06 10:39 . 2004-08-04 03:00 35328 ----a-w c:\windows\system32\sc.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-09-23 21755688]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-07-20 729177]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 53248]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-13 7577600]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2005-12-19 15797248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"=c:\programme\Java\jre1.5.0_06\bin\jusched.exe
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"MSPY2002"=c:\windows\system32\IME\PINTLGNT\ImScInst.exe /SYNC
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"nwiz"=nwiz.exe /install
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe"
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe"
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"LaunchApp"=Alaunch
"PHIME2002A"=c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "c:\dokumente und einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2008-12-15 603904]
R3 DMSKSSRh;DMSKSSRh; [x]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]
S2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2005-04-22 4096]
S2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2005-04-22 78208]


--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - ANTIVIRSCHEDULERSERVICE
*NewlyCreated* - ANTIVIRSERVICE
*NewlyCreated* - AVGIO
*NewlyCreated* - AVGNTFLT
*NewlyCreated* - AVIPBB

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-05-04 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 17:07]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-auqse - c:\dokumente und einstellungen\ueck\lokale einstellungen\anwendungsdaten\auqse.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\Ueck\Anwendungsdaten\Mozilla\Firefox\Profiles\yjhk6h3b.default\
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-04 23:04
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-05-04 23:05
ComboFix-quarantined-files.txt 2009-05-04 21:05

Vor Suchlauf: 16 Verzeichnis(se), 45.583.237.120 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 45.636.517.888 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

197 --- E O F --- 2009-05-04 10:37



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:45:33, on 05.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\Ueck\LOKALE~1\Temp\RtkBtMnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Ueck/LOKALE~1/Temp/msohtml1/02/clip_image001.jpg
O24 - Desktop Component 1: (no name) - file:///C:/DOKUME~1/Ueck/LOKALE~1/Temp/msohtml1/04/clip_image001.jpg
O24 - Desktop Component 2: (no name) - file:///C:/DOKUME~1/Ueck/LOKALE~1/Temp/msohtml1/01/clip_image001.jpg

--
End of file - 5809 bytes


__________
Mein Leben verläuft streng nach Murphys Gesetz
Dieser Beitrag wurde am 05.05.2009 um 23:59 Uhr von chrischahn87 editiert.
Seitenanfang Seitenende
06.05.2009, 05:48
Moderator

Beiträge: 7804
#2 Von den REporten her sieht das sauber aus. Bischen ungewoehnlich ist, das eine so grosse Fesplatte/Partition noch in Fat32 formatiert ist.. Aber jeder so wie er will...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.05.2009, 11:24
Member

Themenstarter
Avatar chrischahn87

Beiträge: 301
#3 Dank dir ! Der Key den CCleaner nicht löschen kann ist also nicht bedenklich?
__________
Mein Leben verläuft streng nach Murphys Gesetz
Seitenanfang Seitenende
06.05.2009, 12:15
Moderator

Beiträge: 7804
#4 Das mit dem Schluessel nicht loesche koenen hat etwas mit Antivirs selbstschutz zu tun. Ist nicht so tragisch.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.06.2009, 21:33
Member

Beiträge: 176
#5 Ich habe an dieser Stelle eine weiterführende Frage an die Fachleute: Oft hört man, dass der Trojaner von einer befreundeten oder bekannten Person instaliert wurde, häufig vom Ex-Freund.

Frage 1: Ist es möglich für einen Computerkenner, einen Trojaner zu bauen, der von den gängigen Programmen nicht erkannt wird und womöglich längere Zeit, sogar Monate oder Jahre, auf dem PC des Opfers bleibt?

Frage 2: Wäre es möglich, die Existenz eines solchen Trojaners festzustellen, indem man andere Virenprogramme laufen lässt wie oben beschrieben? Oder benötigt man komplexere Programme? Wie sollte man verfahren, wenn man vermutet, ein befreundete Person (wie oben) könnte ein solches Problem haben?

Die Antwort, System neu aufsetzen scheidet bitte aus!
__________
Firefox - Sofort anonym surfen für Laien - Google Chrome anonymisiert
Homepage mit Infos zum Schutz der Privatsphäre - Klick
Seitenanfang Seitenende
08.06.2009, 21:41
Member

Beiträge: 3716
#6 Meinst du mit "bauen" programieren oder trojaner-baukasten? Das mit dem aufspüren ist natürlich so eine sache, je besser er versteckt ist, desto schwiriger aufzufinden. Möglichkeiten einen trojaner zu erkennen gibt es viele per verhaltensanalyse zb oder mit den programmen die wir hier nutzen. Also jemehr aufwand für einen trojaner o.ä. betrieben wird, desto schwiriger kann das auffinden sein.
Seitenanfang Seitenende
08.06.2009, 21:58
Member

Beiträge: 176
#7 Nehmen wir an es wäre ein Computerexperte, oder er bezahlt einen Computexperten dafür einen Trojaner zu bauen. Dabei könnte es sich um einen Arbeitskollegen handeln. Er benutzt auf Geschäftsreise den Laptop von Fräulein X. mit, kennt also die dort installierten Programme. Da er Konkurrent ist, will er wissen, was sie privat schreibt.

Oder es handelt sich - klassischer Fall hier in Forum - um eine Person, die sich in einer Beziehung mit dem potenziellen Opfer befindet und aus Eifersucht kontrollieren will. Diese Person kann Stunden ungestört am Rechner verbringen.

Oder reicht drittens schon ein Klick auf einen vorbereiteten Link in einer Mail. Die Zielperson wird gefragt, ob man eine Mail checken dürfe - die vorbereitete Mail wird aufgerufen, der Link angeklickt.

Würde die Anwendung anderer Virenscanner, die ich installiere, das Problem erkennen?
__________
Firefox - Sofort anonym surfen für Laien - Google Chrome anonymisiert
Homepage mit Infos zum Schutz der Privatsphäre - Klick
Seitenanfang Seitenende
09.06.2009, 04:36
Member

Themenstarter
Avatar chrischahn87

Beiträge: 301
#8 In meinem Fall war es keine Absicht vom Ex ! Waren irwelche geklauten Spiele und ide Cracks dazu die das Teil so verseucht haben!

Wenn man Zugang hat kann man sicher viel machen was nacher nicht nachzuvollziehen ist !

Zitat

will er wissen, was sie privat schreibt.
Dafür gibts doch Progis die nicht mal als Virus erkannt werden ! z.B. Bildschirmfotos in Sekundentakt! Hab da letztens ein freeprogramm gesehen!


@ zur Hölle

Zitat

Firefox mit eingebauter IP-Verschleierung: Homepage
Download (Update 24.5.09): http://share-now.net/files/192942-Biblefox.zip.html
Gibts dafür auch en FF Addon ? Möchte meinen Ungern neu bauen !
__________
Mein Leben verläuft streng nach Murphys Gesetz
Seitenanfang Seitenende
09.06.2009, 11:51
Member

Beiträge: 3716
#9 Ja, wenn er zugriff hat, kann er ja testen,ob der scanner genau so etwas in seiner Signatur hat, da die meisten erkennungen ja Signaturbasierend sind.
http://de.wikipedia.org/wiki/Antivirenprogramm
Zusätzlich gibt es die heuristik, bei der nach verdächtigem Code gesucht wird.
Und das Hips, dass nach verdächtigen Aktivitäten "ausschau" hält:
http://de.wikipedia.org/wiki/Intrusion_Detection_System
punkt 1.1
er kann die erkennung auch zusätzlich mit laufzeitpackern erschweren:
http://de.wikipedia.org/wiki/Kompression_ausf%C3%BChrbarer_Programmdateien
So, er kann den trojaner halt gleich instalieren, per link verschicken oder wie auch sonst. Und wie esagt, wie schwer er aufzuspüren ist, liegt am Programierer. Es gab auch schon fälle
http://www.viruslist.com/de/analysis?pubid=200883617
etwas älter.
Seitenanfang Seitenende
10.06.2009, 08:15
Member

Beiträge: 176
#10 Ich meinte eher eine Trojaner, der nicht massenhaft verschickt wird. Wird er massenhaft verschickt, taucht er in einer Virensignatur auf und wird gefunden.
__________
Firefox - Sofort anonym surfen für Laien - Google Chrome anonymisiert
Homepage mit Infos zum Schutz der Privatsphäre - Klick
Seitenanfang Seitenende
10.06.2009, 13:12
Member

Beiträge: 3716
#11 ja oder erfüllt die merkmale, die zb durch die heuristik oder ein hips erkannt werden, dies kann man ja umgehen, wenn man am pc des opfers sitzt, oder sich mit dessen konfiguration auskennt
Seitenanfang Seitenende