Werbung für Google Casino - Trojaner?

...neu hier

Beiträge: 8

#1 Ich habe seit kurzem eine dubiose Werbung auf der deutschen Google Startseite für ein Casino (in Firefox und IE, aber nicht in Opera) und mein Norton Internet Security ist lahm gelegt und reagiert nicht mehr. Mein Dad (der vermutliche Verursacher) meinte, dass er eine .exe ausgeführt hat, die dann plötzlich verschwunden ist. Er hatte beim Surfen wohl etwas für eine Fehlermeldung gehalten und einfach ok gedrückt, aber wohl damit runtergeladen (ist schon etwas älter). Hat jemand schon mal davon gehört, ob es diesen Trojaner gibt oder was das sein kann? Auf anderen Computern erscheint diese Werbung bei Google nicht und ich halte es auch für unwahrscheinlich, dass die für sowas Werbung da machen würden. Malwarebytes und combofix habe ich versucht auszuführen, allerdings funktionieren beide nicht, da ich nicht mehr an Norton rankomme.

Hoffe ihr könnt zunächst mal mit dem Hijackthis log was anfangen und mir vielleicht sagen, wie ich wieder auf Norton zugreifen kann, um die anderen beide Programme auszuführen.

So sieht der Browser nun aus:
Bild Google Casino

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:58:55, on 09.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Norton Internet Security\isPwdSvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Programme\Razer\Krait\razerhid.exe
C:\Programme\NewSoft\Presto! PVR\Monitor.exe
C:\Programme\Razer\Krait\razerofa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\DOKUME~1\VAIO\LOKALE~1\Temp\gkzzwbnk.exe
C:\Programme\NewSoft\Presto! PVR\LiveUpdateTray.exe
C:\DOKUME~1\VAIO\LOKALE~1\Temp\Google Toolbar\gtbE.tmp.exe
C:\Dokumente und Einstellungen\VAIO\Eigene Dateien\Eigene Videos\mbam-setup.exe
C:\DOKUME~1\VAIO\LOKALE~1\Temp\is-OT1MF.tmp\mbam-setup.tmp
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\ping.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Neuer Ordner\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://vcl.vaio.sony.co.jp/eu/PforVAIO.htm
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Krait] C:\Programme\Razer\Krait\razerhid.exe
O4 - HKLM\..\Run: [Presto! PVR Monitor] C:\Programme\NewSoft\Presto! PVR\Monitor.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [] (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [] (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\534718.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\534718.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/de/
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = xxx.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = xxx.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = xxx.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = xxx.de
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Update Service (gupdate1c9a61f9c547ef0) (gupdate1c9a61f9c547ef0) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Programme\Sony\Image Converter 2\IcVzMon.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 13905 bytes

Anhang: googlewdj.jpg

Dieser Beitrag wurde am 10.05.2009 um 00:36 Uhr von deux editiert.

10.05.2009, 01:20

Member

Beiträge: 301

#2 Hi erstmal hier http://board.protecus.de/t23188.htm Punkt 2-4+6 abarbeiten dann machst du es denn Profis einfacher !
Die logs posten !

Zusätzlich würde ich dir empfehlen Spybot laufen zu lassen (Als Admin ausführen ).
Bekommst du hier http://www.netzwelt.de/software-download/15480_2-spybot-search-destroy.html

Bin kein Supporter(hab zwar ne Vermutung wo es herkommt) aber das kriegst du eh als erstes zu hören !
__________
Mein Leben verläuft streng nach Murphys Gesetz

Dieser Beitrag wurde am 10.05.2009 um 01:57 Uhr von chrischahn87 editiert.

10.05.2009, 02:01

Member

Beiträge: 301

Zitat

Malwarebytes und combofix habe ich versucht auszuführen, allerdings funktionieren beide nicht, da ich nicht mehr an Norton rankomme.

Ups hatte ich ganz überlesen ;-)! Schon mal versucht Norton im taskmanager zu beenden ?
__________
Mein Leben verläuft streng nach Murphys Gesetz

10.05.2009, 02:19

...neu hier

Themenstarter

Beiträge: 8

#4 Also Norton scheint nun wirklich der letzte Dreck zu sein. Das Programm hat sich dermaßen leicht aushebeln lassen und hat scheinbat gar nicht mitbekommen, dass sich ein Trojaner installiert hat. Über den Taskmanager funktioniert es leider gar nicht mehr und lässt sich auch sonst nicht mehr starten (arbeitet scheinbar aber noch irgendwie im Hintergrund). Ad-Aware ist übrigens auch im Hintergrund gelaufen und hat auch nichts gemerkt, auch nach einem Scan wurde nichts angezeigt. Das Programm ist also auch für die Tonne.

Ich habe es jetzt zumindest geschafft Malwarebytes zu starten und es wurden auch 5 Sachen gefunden und entfernt. Allerdings ist der Trojaner/Virus/wasauchimmer immer noch auf der Google Startseite vorhanden, lauert also immer noch irgendwo....

Kann mir wirklich niemand helfen?

ETA: Combofix-Log und Uninstall-List sind jetzt auch da.

Hier das Protokoll von Malwarebytes:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3

10.05.2009 02:07:16
mbam-log-2009-05-10 (02-06-57).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 74988
Laufzeit: 4 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\azton.mt (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> No action taken.
C:\WINDOWS\system32\kr_done1 (Malware.Trace) -> No action taken.

Hoffe, jetzt ist alles komplett.

Combofix-log

ComboFix 09-05-08.03 - xxxx 10.05.2009 3:25.1 - NTFSx86
Microsoft Windows XP Home Edition [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\.....
AV: Norton Internet Security *On-access scanning disabled* (Updated)
FW: Norton Internet Security *disabled*
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\INSTALL.LOG
c:\windows\IE4 Error Log.txt
c:\windows\system32\534718.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-04-10 bis 2009-05-10 ))))))))))))))))))))))))))))))
.

2009-05-09 21:32 . 2009-05-09 21:32 -------- d-----w c:\dokumente und einstellungen\VAIO\Anwendungsdaten\Malwarebytes
2009-05-09 21:32 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-09 21:32 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-09 21:31 . 2009-05-09 21:31 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-09 21:31 . 2009-05-09 21:32 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-09 20:31 . 2009-05-09 19:56 15688 ----a-w c:\windows\system32\lsdelete.exe
2009-05-09 20:20 . 2009-05-10 01:27 580096 -c--a-w c:\windows\system32\dllcache\user32.dll
2009-05-09 19:33 . 2009-05-09 19:33 -------- dc-h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-05-09 17:34 . 2009-05-09 23:36 -------- d-----r c:\dokumente und einstellungen\VAIO\My Private Folder
2009-05-09 17:22 . 2009-05-09 17:22 -------- d-----w c:\programme\Microsoft Private Folder 1.0
2009-04-19 11:36 . 2008-04-14 02:22 8192 -c--a-w c:\windows\system32\dllcache\wshirda.dll
2009-04-19 11:36 . 2008-04-14 02:22 8192 ----a-w c:\windows\system32\wshirda.dll
2009-04-19 11:36 . 2008-04-14 02:22 28160 -c--a-w c:\windows\system32\dllcache\irmon.dll
2009-04-19 11:36 . 2008-04-14 02:22 28160 ----a-w c:\windows\system32\irmon.dll
2009-04-19 11:36 . 2008-04-14 02:22 153088 -c--a-w c:\windows\system32\dllcache\irftp.exe
2009-04-19 11:36 . 2008-04-14 02:22 153088 ----a-w c:\windows\system32\irftp.exe
2009-04-15 13:59 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 13:59 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 13:59 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 13:59 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 13:59 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 13:59 . 2009-02-06 10:39 35328 -c----w c:\windows\system32\dllcache\sc.exe
2009-04-15 13:59 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 13:59 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 13:59 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 13:59 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 13:58 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe
2009-04-13 14:54 . 2009-04-18 11:59 -------- d-----w c:\programme\MirandaFusion
2009-04-13 14:05 . 2009-04-13 14:05 -------- d-----w C:\unzipped
2009-04-13 06:58 . 2009-05-09 23:59 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\No23 Recorder
2009-04-10 13:16 . 2009-04-10 13:16 10344 ----a-w c:\windows\system32\drivers\symlcbrd.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-10 01:27 . 2005-11-21 02:33 580096 ----a-w c:\windows\system32\user32.dll
2009-05-10 01:25 . 2008-06-13 15:31 -------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2009-05-09 19:33 . 2009-03-27 14:28 -------- d-----w c:\programme\Lavasoft
2009-05-09 19:05 . 2007-05-30 18:23 -------- d-----w c:\programme\CyberLink
2009-05-09 19:05 . 2005-11-21 12:40 -------- d--h--w c:\programme\InstallShield Installation Information
2009-04-19 11:38 . 2005-11-21 02:33 88460 ----a-w c:\windows\system32\perfc007.dat
2009-04-19 11:38 . 2005-11-21 02:33 448328 ----a-w c:\windows\system32\perfh007.dat
2009-04-13 14:08 . 2007-05-30 18:34 -------- d-----w c:\programme\ICQ
2009-03-27 16:27 . 2007-05-30 18:50 -------- d-----w c:\programme\Ahead
2009-03-27 14:50 . 2008-07-12 23:25 -------- d-----w c:\programme\Bonjour
2009-03-16 10:14 . 2005-11-21 15:53 -------- d-----w c:\programme\Google
2009-03-06 14:19 . 2005-11-21 02:32 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2005-11-21 02:33 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-20 16:49 . 2005-11-21 02:32 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-10 17:03 . 2004-08-04 00:50 2068352 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 14:04 . 2005-11-21 02:33 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2005-11-21 02:32 2191360 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2005-11-21 02:32 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2005-11-21 02:32 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2005-11-21 02:32 736768 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2005-11-21 02:32 678400 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2005-11-21 02:32 740352 ----a-w c:\windows\system32\ntdll.dll
2008-12-19 22:24 . 2007-05-30 18:15 67688 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-12-19 22:24 . 2007-05-30 18:15 54368 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-19 22:24 . 2007-05-30 18:15 34944 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-12-19 22:24 . 2007-05-30 18:15 46712 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-12-19 22:24 . 2007-05-30 18:15 172136 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
2007-05-30 18:44 . 2007-05-30 18:44 56 --sh--r c:\windows\system32\51FFEEDFFB.sys
2007-05-30 18:44 . 2007-05-30 18:44 1682 --sha-w c:\windows\system32\KGyGaAvL.sys
.
[color=blue]Infected c:\windows\system32\user32.dll hex repaired[/color]

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-06-09 6746112]
"Krait"="c:\programme\Razer\Krait\razerhid.exe" [2006-01-24 147456]
"Presto! PVR Monitor"="c:\programme\NewSoft\Presto! PVR\Monitor.exe" [2006-02-23 57344]
"PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2006-06-15 229376]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 115816]
"osCheck"="c:\programme\Norton Internet Security\osCheck.exe" [2007-01-13 771704]
"Symantec PIF AlertEng"="c:\programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-07-10 289064]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-05-09 516440]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-10-24 217194]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2005-05-20 16:42 73728 ----a-w c:\windows\system32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\beep.sys]
@="beep"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Cisco Systems VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Cisco Systems VPN Client.lnk
backup=c:\windows\pss\Cisco Systems VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office OneNote 2003 Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office OneNote 2003 Schnellstart.lnk
backup=c:\windows\pss\Microsoft Office OneNote 2003 Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Norton Ghost"=2 (0x2)
"ERSvc"=2 (0x2)
"AdobeActiveFileMonitor4.0"=2 (0x2)
"Adobe LM Service"=3 (0x3)
"mnmsrvc"=3 (0x3)
"gusvc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Sony\\VAIO Media 5.0\\Vc.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ\\Icq.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=
"c:\\Programme\\audioGnome\\Client4.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MirandaFusion\\miranda32.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;c:\programme\Symantec\LiveUpdate\AluSchedulerSvc.exe [13.06.2008 17:34 554352]
R2 MSSQL$VAIO_VEDB;MSSQL$VAIO_VEDB;c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB --> c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB [?]
R2 Prvflder;Prvflder;c:\windows\system32\drivers\prvflder.sys [21.04.2006 08:22 70912]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [28.02.2009 15:26 101936]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S2 gupdate1c9a61f9c547ef0;Google Update Service (gupdate1c9a61f9c547ef0);c:\programme\Google\Update\GoogleUpdate.exe [16.03.2009 12:11 133104]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [18.01.2009 23:34 953168]
S3 bdacap;PC-DTV Receiver;c:\windows\system32\drivers\bdacap.sys [31.05.2007 00:05 217728]
S3 GLHIDKBFILTER;GLHIDKBFILTER;c:\windows\system32\drivers\GLKbFilter.sys [31.05.2007 00:11 11264]
S3 krait03;Razer krait USB Filter Driver;c:\windows\system32\drivers\krait.sys [09.08.2007 11:34 13324]
S3 SQLAgent$VAIO_VEDB;SQLAgent$VAIO_VEDB;c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB --> c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - COMHOST
.
Inhalt des "geplante Tasks" Ordners

2009-05-09 c:\windows\Tasks\Ad-Aware Update (Daily).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 19:55]

2009-05-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]

2009-05-10 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-05-11 22:12]

2009-05-10 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-16 10:11]

2009-05-07 c:\windows\Tasks\Norton Internet Security - Systemprüfung ausführen - VAIO.job
- c:\programme\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-01-14 01:09]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://vcl.vaio.sony.co.jp/eu/PforVAIO.htm
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\VAIO\Anwendungsdaten\Mozilla\Firefox\Profiles\8vhiggly.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-10 03:32
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(956)
c:\windows\system32\VESWinlogon.dll

- - - - - - - > 'explorer.exe'(1800)
c:\programme\Microsoft Private Folder 1.0\ShellExt.dll
c:\windows\system32\PFLib.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 6\PCSCM.dll
c:\windows\system32\ConnAPI.DLL
c:\programme\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\programme\Microsoft Office\OFFICE11\msohev.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\windows\system32\rundll32.exe
c:\programme\Norton Internet Security\isPwdSvc.exe
c:\programme\Razer\Krait\razerofa.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Microsoft Private Folder 1.0\PrfldSvc.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Sony\VAIO Event Service\VESMgr.exe
c:\programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
c:\programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
c:\programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
c:\programme\iPod\bin\iPodService.exe
c:\progra~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
c:\programme\Symantec\LiveUpdate\AUPDATE.EXE
c:\programme\Symantec\LiveUpdate\LuCallbackProxy.exe
c:\programme\Symantec\LiveUpdate\LuCallbackProxy.exe
c:\programme\Symantec\LiveUpdate\LuCallbackProxy.exe
c:\programme\Symantec\LiveUpdate\LuCallbackProxy.exe
c:\programme\Symantec\LiveUpdate\LuCallbackProxy.exe
c:\programme\Symantec\LiveUpdate\LuCallbackProxy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-10 3:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-10 01:38

Vor Suchlauf: 12 Verzeichnis(se), 27.082.690.560 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 27.820.462.080 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

258 --- E O F --- 2009-04-15 16:05

Uninstall-List

ACDSee for PENTAX 2.0
Ad-Aware
Ad-Aware
Adobe Acrobat 6.0.1 Professional - English, Français, Deutsch
Adobe Acrobat 7.0.1 and Reader 7.0.1 Update
Adobe Acrobat 7.0.2 and Reader 7.0.2 Update
Adobe Acrobat 7.0.3 and Reader 7.0.3 Update
Adobe Bridge 1.0
Adobe Common File Installer
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Help Center 2.0
Adobe Photoshop CS2
Adobe Photoshop Elements 4.0
Adobe Premiere Elements 2.0
Adobe Reader 7.0 - Deutsch
Adobe Stock Photos 1.0
AppCore
Apple Mobile Device Support
Apple Software Update
Aqua Real
audioGnome
audioGnome Active Installer
AV
Azureus
Biet-O-Matic v2.3.0
Bonjour
Canon ScanGear Toolbox CS 2.2
ccCommon
Civ3 Conquests v1.22 Full
Civilization III
Civilization III: Conquests
Click to DVD 2.0.03 Menu Data
Click to DVD 2.5.00
DVgate Plus
FLV Player 2.0, build 23
Free Mp3 Wma Converter V 1.6.3
Google Earth
Google Toolbar for Internet Explorer
Google Update Helper
Google Updater
HDAUDIO SoftV92 Data Fax Modem with SmartCP
High Definition Audio Driver Package - KB835221
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
i Audiobook
ICQ
Image Converter 2 Plus
Intel(R) Graphics Media Accelerator Driver for Mobile
Intel(R) PRO Network Connections Drivers
Intel(R) PROSet/Wireless Software
iTunes
J2SE Runtime Environment 5.0 Update 5
LAN-Express AS IEEE 802.11 Wireless LAN
LiveUpdate 3.2 (Symantec Corporation)
LiveUpdate Notice (Symantec Corporation)
Malwarebytes' Anti-Malware
mCore
mDriver
Memory Stick Formatter
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office FrontPage 2003
Microsoft Office OneNote 2003
Microsoft Office Professional Edition 2003
Microsoft Office Project Professional 2003
Microsoft Office Visio Professional 2003
Microsoft Private Folder 1.0
Microsoft SQL Server Desktop Engine (VAIO_VEDB)
Microsoft User-Mode Driver Framework Feature Pack 1.0
Miranda Fusion 2.0.2
mMHouse
Mozilla Firefox (2.0.0.20)
Mozilla Firefox (2.0.0.4)
Mp3tag v2.40
mPfMgr
mProSafe
MSRedist
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
mWlsSafe
mXML
Nero 6 Ultra Edition
NeroMIX
No23 Recorder
Nokia Connectivity Cable Driver
Nokia PC Connectivity Solution
Nokia PC Suite
Norton AntiVirus
Norton Confidential Browser Component
Norton Confidential Web Protection Component
Norton Internet Security
Norton Internet Security
Norton Internet Security
Norton Internet Security
Norton Internet Security (Symantec Corporation)
Norton Protection Center
NVIDIA Drivers
OpenMG Limited Patch 4.3-05-10-05-01
OpenMG Secure Module 4.3.00
Opera 9.27
PC-DTV Receiver
Presto! PVR
QuickTime
Razer Krait
RealPlayer
Realtek High Definition Audio Driver
Roxio DigitalMedia Audio
Roxio DigitalMedia Copy
Roxio DigitalMedia Data
SafeGuard® PrivateDisk 1.00.6 - Try and Buy Version
Setting Utility Series
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Skype™ 3.8
SonicStage 3.3
SonicStage Mastering Studio 2.1
SonicStage Mastering Studio Audio Filter
SonicStage Mastering Studio Audio Filter Custom Preset
SonicStage Mastering Studio Plugins
Sony MP4 Shared Library
Sony USB Mouse
Sony Utilities DLL
Sony Video Shared Library
SPBBC 32bit
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VAIO Control Center
VAIO Edit Components 6.0
VAIO Entertainment Platform
VAIO Event Service
VAIO Long Battery Life Wallpaper
VAIO Media 5.0
VAIO Media AC3 Decoder 1.0
VAIO Media Integrated Server 5.0
VAIO Media Redistribution 5.0
VAIO Original Screen Saver
VAIO Original Screen Saver VAIO Cozy Screen SD Wide Contents
VAIO Power Management
VAIO Sea Wallpaper
VAIO Starfish Wallpaper
VAIO Update 2
Virtual Earth 3D (Beta)
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
VLC media player 0.9.8a
VobSub v2.23 (Remove Only)
VPN Client
Wichtiges Update für Windows Media Player 11 (KB959772)
Winamp (remove only)
Windows Driver Package - Nokia Modem (07/24/2006 6.81.0.23)
Windows Imaging Component
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Media Player Firefox Plugin
Windows XP Service Pack 3
WinRAR Archivierer
Wireless LAN Starter

Dieser Beitrag wurde am 10.05.2009 um 03:52 Uhr von deux editiert.

10.05.2009, 12:04

Member

Beiträge: 301

#5 Spybot mal laufen lassen ? Vorher updaten!!!Auch die Immuniesirung machen !!

Malwarebytes hast auch nicht aktualliesiert vorm scan !!!

CCleaner benutzt? Auch die Registry säubern !!!
__________
Mein Leben verläuft streng nach Murphys Gesetz

10.05.2009, 12:10

Member

Beiträge: 3716

#6 Hi,
kein spybot bitte, malware aktualisieren das stimmt.
und vor allem das nächste mal bitte die funde löschen ;-)

10.05.2009, 12:13

Member

Beiträge: 301

#7 Hi virenfinder, wollte dich gerade anschreiben!!

Übersteigt sicher mein können ! Spybot wurde von Hijackthis(Auswertung) empfohlen deswegen !

Aber du weißt eher was du tust !!!
__________
Mein Leben verläuft streng nach Murphys Gesetz

10.05.2009, 16:01

...neu hier

Themenstarter

Beiträge: 8

#8 Ich habe die Funde natürlich auch gelöscht, allerdings hat sich der Computer direkt nach dem Löschen neu gestartet und daher war nur das vorherige Protokoll vorhanden. Updaten konnte ich Malwarebytes zunächst nicht, da der Trojaner mir wie gesagt den Zugriff auf Norton genommen hat. Ich habe es aber mittlerweile geschafft und nochmal laufen lassen und es wurde nichts mehr gefunden.

Der Trojaner ist aber immer noch auf der Google Seite und demnach also auch noch irgendwo im System versteckt.

Was soll ich denn jetzt machen? Oder was ist das denn füer ein Trojaner und wie werde ich ihn wieder los? Protokolle habe ich jetzt doch alle beisammmen.

10.05.2009, 16:36

Member

Beiträge: 3716

#9 c:\windows\system32\534718.dll
abkopieren und hier prüfen:
http://www.virustotal.com/en/indexf.html
ergebniss posten, wenn Meldung Datei bereits analysiert, sklicke erneut scannen. Poste das Ergebniss.

10.05.2009, 16:50

...neu hier

Themenstarter

Beiträge: 8

#10 Diese Datei ist in dem Ordner nicht mehr vorhanden.

Kann es sein, dass diese schon durch Combofix gelöscht wurde?
im Protokoll oben steht folgendes:

((((((((((((((((((((((((((( Weitere Löschungen)))))))))))))))))))))))))))))))))))))
.

c:\programme\INSTALL.LOG
c:\windows\IE4 Error Log.txt
c:\windows\system32\534718.dll

10.05.2009, 17:08

Member

Beiträge: 3716

#11 kannst ja, sorry kennst du die o17-einträge bist du dir sicher das sie i.o sind?

10.05.2009, 17:16

...neu hier

Themenstarter

Beiträge: 8

#12 Bei den O17 Einträgen stand die Adresse des Rechenzentrums meiner Uni. Allerdings keine Ahnung warum oder wieso das da steht. Ich habe das deshalb nur durch ein x ersetzt, damit nicht jeder weiß woher ich komme. Hoffe ja nicht, dass die mir einen Trojaner unterjubeln würden.

Soll ich das Hijackprogramm nochmal neu laufen lassen und noch mal einen neuen Log posten?

10.05.2009, 17:24

Member

Beiträge: 3716

#13 nein.
sdfix im abgesicherten Modus ausfüren, log posten.
http://virus-protect.org/artikel/tools/sdfix.html

13.05.2009, 10:27