Home » Viren, Trojaner & Malware Forum » JS.Gumblar.a gefunden » Themenansicht

JS.Gumblar.a gefunden
#0
02.06.2009, 13:39
Gnotschi
...neu hier

Beiträge: 7
#1 Hallo,

Kaspersky hat heute beim scannen den Trojaner JS.Gumblar.a gefunden. Ich hoffe mir kann jemand irgendwie helfen.


Hier die Logfile von HijackThis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:34:27 PM, on 6/2/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\PeerGuardian2\pg2.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Windows\ehome\ehmsas.exe
C:\Users\Name\Desktop\Screenshots\picpick.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\trend micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.averatec.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.averatec.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.averatec.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSof1.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSof1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSof1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-3680118293-2243621116-1640393834-1001\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'postgres')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Program Files\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Program Files\PPLive\PPLive.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - (no file)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - (no file)
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{83B3F325-1EAE-40EC-A727-C9D609340B80}: NameServer = 212.18.0.5 212.18.3.5
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: PostgreSQL Server 8.3 (postgresql-8.3) - PostgreSQL Global Development Group - C:/Program Files/PostgreSQL/8.3/bin/pg_ctl.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

--
End of file - 6829 bytes

Anhang: 123.png
Seitenanfang Seitenende
02.06.2009, 14:11
Swisstreasure
Moderator

Beiträge: 5694
#2 >>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\Users\Name\Desktop\Screenshots\picpick.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss
Seitenanfang Seitenende
02.06.2009, 16:02
Gnotschi
...neu hier

Themenstarter

Beiträge: 7
#3 Danke für die schnelle Antwort.

Ergebnis von VirusTotal:

AVG 8.5.0.339 2009.06.02 -
BitDefender 7.2 2009.06.02 -
DrWeb 5.0.0.12182 2009.06.02 -
eSafe 7.0.17.0 2009.06.02 Suspicious File
F-Secure 8.0.14470.0 2009.06.02 -
GData 19 2009.06.02 -
K7AntiVirus 7.10.749 2009.05.29 -
McAfee-GW-Edition 6.7.6 2009.05.29 -
Norman 6.01.05 2009.06.02 -
weitere Informationen
File size: 914432 bytes
MD5...: 55cc17c440cbda46492b5a54df21f9f1
SHA1..: 43b3eba6236092985ede03fb76d847967b2c4158
SHA256: 3e59cf0207d753a6d934d9e33ed1fbac1666e81882bac3c033a41d176bd9ea13
ssdeep: -
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (42.6%)
Win32 EXE Yoda's Crypter (37.0%)
Win32 Executable Generic (11.8%)
Win16/32 Executable Delphi generic (2.8%)
Generic Win/DOS Executable (2.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2bc6a0
timedatestamp.....: 0x49e3f691 (Tue Apr 14 02:36:01 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x1ff000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x200000 0xbd000 0xbca00 7.94 c71d30a298c7a82eaf1264adb4059edd
.rsrc 0x2bd000 0x23000 0x22600 4.67 b59f867605919f962bb5963db7000ae9

( 13 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> advapi32.dll: RegFlushKey
> comctl32.dll: ImageList_Add
> comdlg32.dll: PrintDlgA
> gdi32.dll: SaveDC
> ole32.dll: OleDraw
> oleaut32.dll: VariantCopy
> shell32.dll: SHGetMalloc
> user32.dll: GetDC
> version.dll: VerQueryValueA
> winmm.dll: timeGetTime
> winspool.drv: AddFormA
> wsock32.dll: WSACleanup

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-




Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2213
Windows 6.0.6001 Service Pack 1

6/2/2009 3:45:05 PM
mbam-log-2009-06-02 (15-45-05).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 230954
Laufzeit: 1 hour(s), 6 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Qoobox\quarantine\C\program files\relevantknowledge\rlservice.exe.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
Seitenanfang Seitenende
02.06.2009, 16:19
Swisstreasure
Moderator

Beiträge: 5694
#4 Das ist nicht das ganze Virustotal-Log.

Bitte poste das ganze.

Hmm wann und warum hast du combofix angewendet?

Poste mal das Log von Combofix.

Gruss Swiss
Seitenanfang Seitenende
02.06.2009, 17:35
Gnotschi
...neu hier

Themenstarter

Beiträge: 7
#5 VirusTotal log:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.06.02 -
AhnLab-V3 5.0.0.2 2009.06.02 -
AntiVir 7.9.0.180 2009.06.02 -
Antiy-AVL 2.0.3.1 2009.06.02 -
Authentium 5.1.2.4 2009.06.02 -
Avast 4.8.1335.0 2009.06.01 -
AVG 8.5.0.339 2009.06.02 -
BitDefender 7.2 2009.06.02 -
CAT-QuickHeal 10.00 2009.06.02 -
ClamAV 0.94.1 2009.06.02 -
Comodo 1236 2009.06.02 -
DrWeb 5.0.0.12182 2009.06.02 -
eSafe 7.0.17.0 2009.06.02 Suspicious File
eTrust-Vet 31.6.6535 2009.06.02 -
F-Prot 4.4.4.56 2009.06.02 -
F-Secure 8.0.14470.0 2009.06.02 -
Fortinet 3.117.0.0 2009.06.02 -
GData 19 2009.06.02 -
Ikarus T3.1.1.57.0 2009.06.02 -
K7AntiVirus 7.10.752 2009.06.02 -
Kaspersky 7.0.0.125 2009.06.02 -
McAfee 5634 2009.06.02 -
McAfee+Artemis 5633 2009.06.01 -
McAfee-GW-Edition 6.7.6 2009.05.29 -
Microsoft 1.4701 2009.06.02 -
NOD32 4123 2009.06.02 -
Norman 6.01.05 2009.06.02 -
nProtect 2009.1.8.0 2009.06.02 -
Panda 10.0.0.14 2009.06.01 -
Prevx 3.0 2009.06.02 -
Rising 21.32.14.00 2009.06.02 -
Sophos 4.42.0 2009.06.02 -
Sunbelt 3.2.1858.2 2009.06.02 -
Symantec 1.4.4.12 2009.06.02 -
TheHacker 6.3.4.3.335 2009.06.01 -
TrendMicro 8.950.0.1092 2009.06.02 -
VBA32 3.12.10.6 2009.06.02 -
ViRobot 2009.6.2.1765 2009.06.02 -
VirusBuster 4.6.5.0 2009.06.02 -
weitere Informationen
File size: 914432 bytes
MD5...: 55cc17c440cbda46492b5a54df21f9f1
SHA1..: 43b3eba6236092985ede03fb76d847967b2c4158
SHA256: 3e59cf0207d753a6d934d9e33ed1fbac1666e81882bac3c033a41d176bd9ea13
ssdeep: -
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (42.6%)
Win32 EXE Yoda's Crypter (37.0%)
Win32 Executable Generic (11.8%)
Win16/32 Executable Delphi generic (2.8%)
Generic Win/DOS Executable (2.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2bc6a0
timedatestamp.....: 0x49e3f691 (Tue Apr 14 02:36:01 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x1ff000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x200000 0xbd000 0xbca00 7.94 c71d30a298c7a82eaf1264adb4059edd
.rsrc 0x2bd000 0x23000 0x22600 4.67 b59f867605919f962bb5963db7000ae9

( 13 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> advapi32.dll: RegFlushKey
> comctl32.dll: ImageList_Add
> comdlg32.dll: PrintDlgA
> gdi32.dll: SaveDC
> ole32.dll: OleDraw
> oleaut32.dll: VariantCopy
> shell32.dll: SHGetMalloc
> user32.dll: GetDC
> version.dll: VerQueryValueA
> winmm.dll: timeGetTime
> winspool.drv: AddFormA
> wsock32.dll: WSACleanup

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX




Combofix Log:

ComboFix 09-05-31.06 -Name 06/02/2009 17:02.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.2038.1023 [GMT 2:00]
ausgeführt von:: c:\users\Name\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning enabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *enabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
SP: Kaspersky Internet Security *enabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((( Dateien erstellt von 2009-05-02 bis 2009-06-02 ))))))))))))))))))))))))))))))
.

2009-06-02 15:05 . 2009-06-02 15:05 -------- d-----w- c:\users\Name\AppData\Local\temp
2009-06-02 12:33 . 2009-06-02 12:33 -------- d-----w- c:\users\Name\AppData\Roaming\Malwarebytes
2009-06-02 12:33 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-02 12:33 . 2009-06-02 12:33 -------- d-----w- c:\programdata\Malwarebytes
2009-06-02 12:33 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-02 12:33 . 2009-06-02 12:33 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-02 10:43 . 2009-06-02 10:43 -------- d-----w- c:\program files\RVG Software
2009-06-02 10:18 . 2009-06-02 10:17 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-06-02 10:17 . 2009-06-02 11:15 -------- d-----w- c:\users\name\.housecall6.6
2009-06-02 10:02 . 2009-06-02 10:24 -------- d-----w- c:\program files\trend micro
2009-06-02 10:01 . 2009-06-02 10:03 -------- d-----w- C:\rsit
2009-05-28 10:14 . 2009-05-28 10:14 -------- d-----w- c:\program files\PostgreSQL
2009-05-27 18:43 . 2009-05-27 18:43 -------- d-----w- c:\programdata\TVU Networks
2009-05-27 04:48 . 2009-05-27 04:48 -------- d-----w- c:\users\name\AppData\Roaming\Pokerazor
2009-05-27 04:48 . 2009-05-27 04:49 -------- d-----w- C:\Pokerazor
2009-05-23 13:27 . 2009-05-23 13:27 7168160 ----a-w- c:\users\name\AppData\Roaming\PPLive\Update\Update.exe
2009-05-23 13:13 . 2009-05-23 13:13 -------- d-----w- c:\users\name\AppData\Roaming\JLC's Software
2009-05-23 13:13 . 2009-05-23 13:13 -------- d-----w- c:\users\name\AppData\Roaming\Desktopicon
2009-05-23 13:13 . 2009-05-23 13:13 -------- d-----w- c:\program files\JLC's Software
2009-05-23 13:06 . 2009-05-23 13:12 -------- d-----w- c:\program files\PPMate
2009-05-23 10:51 . 2009-05-23 19:20 -------- d-----w- c:\users\name\AppData\Roaming\dvdcss
2009-05-18 13:06 . 2009-05-18 13:10 -------- d-----w- c:\users\holdemmanger
2009-05-18 12:45 . 2009-05-18 12:45 -------- d-----w- c:\users\name\PARTYPokerDir
2009-05-08 06:52 . 2009-05-08 06:52 2082104 ----a-w- c:\users\name\AppData\Roaming\Mozilla\Firefox\Profiles\a4jsb76l.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-02 13:53 . 2009-04-30 13:39 -------- d-----w- c:\programdata\Kaspersky Lab
2009-06-02 13:45 . 2009-04-30 13:39 679968 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-06-02 13:45 . 2009-04-30 13:39 4390432 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-06-02 13:45 . 2009-04-30 13:39 35380 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-06-02 13:45 . 2009-04-30 13:39 3404 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-05-30 18:01 . 2009-02-13 13:24 -------- d-----w- c:\users\Name\AppData\Roaming\uTorrent
2009-05-28 13:18 . 2009-04-28 15:08 -------- d-----w- c:\program files\CamStudio
2009-05-27 18:43 . 2009-02-24 20:05 -------- d-----w- c:\program files\TVUPlayer
2009-05-27 13:10 . 2008-12-05 16:45 -------- d-----w- c:\program files\Full Tilt Poker
2009-05-23 13:27 . 2009-03-21 15:35 -------- d-----w- c:\program files\PPLive
2009-05-23 13:27 . 2009-02-14 15:16 -------- d-----w- c:\program files\SopCast
2009-05-23 13:27 . 2009-03-21 15:35 -------- d-----w- c:\users\Name\AppData\Roaming\PPLive
2009-05-20 13:05 . 2009-04-30 13:39 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-05-20 13:05 . 2009-04-30 13:39 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-05-14 07:46 . 2008-04-14 12:27 -------- d-----w- c:\programdata\Microsoft Help
2009-05-10 12:44 . 2008-12-17 19:44 -------- d-----w- c:\program files\ICQ6.5
2009-05-06 07:38 . 2008-01-21 07:15 621714 ----a-w- c:\windows\system32\perfh007.dat
2009-05-06 07:38 . 2008-01-21 07:15 123646 ----a-w- c:\windows\system32\perfc007.dat
2009-05-05 13:52 . 2009-05-05 13:52 44838 ----a-w- c:\program files\Eclipse-Everlong.jpg
2009-05-05 13:46 . 2009-05-05 13:46 4940 ----a-w- c:\program files\tableRT.png
2009-05-02 12:48 . 2009-05-02 12:48 -------- d-----w- c:\users\Name\AppData\Roaming\Microsoft Games
2009-05-02 11:44 . 2006-11-02 12:37 -------- d-----w- c:\program files\Microsoft Games
2009-04-30 18:46 . 2009-02-19 12:16 -------- d-----w- c:\program files\Softonic_Deutsch
2009-04-30 13:55 . 2008-01-29 15:29 33808 ----a-w- c:\windows\system32\drivers\klbg.sys
2009-04-30 13:55 . 2009-04-30 13:55 33808 ----a-w- c:\programdata\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\klbg.sys
2009-04-30 13:55 . 2009-04-30 13:55 239120 ----a-w- c:\programdata\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\Vista\klif.sys
2009-04-30 13:55 . 2009-04-30 13:55 206088 ----a-w- c:\programdata\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe
2009-04-30 13:39 . 2009-04-30 13:39 -------- d-----w- c:\program files\Kaspersky Lab
2009-04-30 06:48 . 2009-02-11 10:23 -------- d-----w- c:\program files\PokerStars
2009-04-28 18:04 . 2009-04-28 18:04 -------- d-----w- c:\program files\Windows Media Components
2009-04-26 07:59 . 2009-04-25 22:02 -------- d-----w- c:\program files\Quiz_2
2009-04-26 07:58 . 2008-12-05 16:50 100256 ----a-w- c:\users\name\AppData\Local\GDIPFONTCACHEV1.DAT
2009-04-25 09:00 . 2009-04-25 09:00 -------- d-----w- c:\programdata\RTL Winter Sports 2009
2009-04-25 09:00 . 2009-04-25 09:00 3112408 ----a-w- c:\users\Name\AppData\Roaming\ProtectDisc\pe17af2e81.dll
2009-04-25 09:00 . 2009-04-25 09:00 -------- d-----w- c:\users\Name\AppData\Roaming\ProtectDisc
2009-04-25 08:04 . 2009-02-25 11:49 -------- d-----w- c:\program files\DivX Free Codec
2009-04-21 18:51 . 2009-02-25 11:50 -------- d-----w- c:\users\Name\AppData\Roaming\vlc
2009-04-17 15:41 . 2009-04-17 15:37 -------- d-----w- c:\program files\Free Window Registry Repair
2009-04-17 15:33 . 2009-02-08 10:48 -------- d-----w- c:\program files\TweakPower
2009-04-17 13:37 . 2008-04-14 11:29 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-04-16 10:21 . 2008-12-11 16:05 -------- d-----w- c:\program files\Java
2009-04-07 18:57 . 2009-04-07 18:57 -------- d-----w- c:\users\name\AppData\Roaming\TVU networks
2009-04-05 11:27 . 2009-04-05 11:27 0 ----a-w- c:\windows\nsreg.dat
2009-03-24 10:48 . 2009-03-24 10:48 89088 ----a-w- c:\users\name\AppData\Roaming\Desktopicon\eBayShortcuts.exe
2009-03-17 03:38 . 2009-04-15 08:17 13824 ----a-w- c:\windows\system32\apilogen.dll
2009-03-17 03:38 . 2009-04-15 08:17 24064 ----a-w- c:\windows\system32\amxread.dll
2009-03-09 03:19 . 2008-12-11 16:05 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-03-05 17:51 . 2009-03-05 17:51 1080648 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-06-02_11.49.30 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-21 01:58 . 2009-06-02 13:54 46158 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 13:05 . 2009-06-02 13:54 85150 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-12-05 16:46 . 2009-06-02 13:47 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2008-12-05 16:46 . 2009-05-30 09:07 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2008-12-05 16:46 . 2009-05-30 09:07 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-12-05 16:46 . 2009-06-02 13:47 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-12-05 16:46 . 2009-06-02 13:47 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-12-05 16:46 . 2009-05-30 09:07 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2008-12-05 17:52 . 2009-06-02 13:54 6656 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3680118293-2243621116-1640393834-1000_UserData.bin
+ 2009-06-02 13:46 . 2009-06-02 13:46 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2009-06-02 11:17 . 2009-06-02 11:17 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-06-02 13:46 . 2009-06-02 13:46 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-06-02 11:17 . 2009-06-02 11:17 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
2009-02-20 15:44 1882136 ----a-w- c:\program files\Softonic_Deutsch\tbSof1.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"PeerGuardian"="c:\program files\PeerGuardian2\pg2.exe" [2005-09-18 1421824]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"ISUSPM"="c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2006-03-20 213936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-04-30 206088]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-01-29 4911104]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\KASPER~1\KASPER~1\mzvkbd.dll c:\progra~1\KASPER~1\KASPER~1\mzvkbd3.dll c:\progra~1\KASPER~1\KASPER~1\adialhk.dll c:\progra~1\KASPER~1\KASPER~1\kloehk.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3680118293-2243621116-1640393834-500]
"EnableNotificationsRef"=dword:00000004

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{68977817-3F11-4DE9-B218-87A50036F610}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{DF261CC5-5D89-4DB6-8A95-FA6798C134F6}"= c:\program files\CyberLink\PowerDVD\PowerDVD.EXE:CyberLink PowerDVD
"{B6B4ADB2-D85C-4A99-916A-AF7397C34F8B}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{062425ED-2DFB-4BC1-B9CB-4F414A980E36}c:\\programdata\\kaspersky lab setup files\\kaspersky internet security 2009\\german\\setup.exe"= UDP:c:\programdata\kaspersky lab setup files\kaspersky internet security 2009\german\setup.exe:Installationsprogramm für Kaspersky Internet Security 2009
"UDP Query User{DDBC6047-3B90-4C66-AF86-9AA6444804AB}c:\\programdata\\kaspersky lab setup files\\kaspersky internet security 2009\\german\\setup.exe"= TCP:c:\programdata\kaspersky lab setup files\kaspersky internet security 2009\german\setup.exe:Installationsprogramm für Kaspersky Internet Security 2009
"{36096C2E-C815-4C26-8928-A9115BE55881}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{065EE7EC-0013-431C-BE15-70D3BF7DA2A6}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"{E81975F0-8FD7-4693-B38F-1DD5E52B020C}"= UDP:c:\program files\PPLive\PPLive.exe:pPLive
"{CD242627-0681-495F-9A7F-1EB1A312296C}"= TCP:c:\program files\PPLive\PPLive.exe:pPLive
"{0E924F40-7EB6-4171-82D9-B8DB5CBD9533}"= UDP:5432:postgreSQL
"{3FE81206-D3AE-4C26-B1B4-DC4E979EF6EE}"= UDP:c:\program files\RVG Software\Holdem Manager\DBControlPanel.exe;)BControlPanel
"{B87C9151-9A57-42B7-BE02-695CC822D632}"= TCP:c:\program files\RVG Software\Holdem Manager\DBControlPanel.exe;)BControlPanel
"{3F6B8567-3D84-4097-B7F1-372A0F8792BD}"= UDP:c:\program files\RVG Software\Holdem Manager\HMHud.exe:HMHud
"{97D403E4-8079-475A-9DD7-7741055921D0}"= TCP:c:\program files\RVG Software\Holdem Manager\HMHud.exe:HMHud
"{A46117BA-2D38-4802-93A2-F7CD65EFD792}"= UDP:c:\program files\PostgreSQL\8.3\bin\postgres.exe:postgres
"{FFBCA4EB-E3F0-49C1-846B-28439A050845}"= TCP:c:\program files\PostgreSQL\8.3\bin\postgres.exe:postgres
"{6D22F46B-DFE9-4B9E-AAF9-3C4807A750D3}"= UDP:c:\program files\Tipp10\unins000.exe;)einstallieren
"{D11D5FD4-C373-4DD6-AF6F-32C0A97061E0}"= TCP:c:\program files\Tipp10\unins000.exe;)einstallieren
"{1ACD6F6B-4455-48AB-948F-3E48735BFC14}"= UDP:c:\program files\RVG Software\Holdem Manager\HoldemManager.exe:HoldemManager
"{E79700CD-9E40-4F3E-84DC-0424724E2B0A}"= TCP:c:\program files\RVG Software\Holdem Manager\HoldemManager.exe:HoldemManager

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\PPMate\\ppmate.exe"= c:\program files\PPMate\ppmate.exe:*:Enabled:pPMate

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\System32\drivers\klbg.sys [1/29/2008 5:29 PM 33808]
R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\System32\drivers\klim6.sys [7/9/2008 5:28 PM 20496]
R2 postgresql-8.3;PostgreSQL Server 8.3;C:/Program Files/PostgreSQL/8.3/bin/pg_ctl.exe runservice -N "postgresql-8.3" -D "C:/Program Files/PostgreSQL/8.3/data" -w --> C:/Program Files/PostgreSQL/8.3/bin/pg_ctl.exe runservice -N postgresql-8.3 [?]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\System32\drivers\klfltdev.sys [3/13/2008 6:02 PM 26640]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - PGFILTER
.
Inhalt des "geplante Tasks" Ordners

2009-06-02 c:\windows\Tasks\User_Feed_Synchronization-{A0AA2EA4-E358-4ACC-9B9C-277314D5006C}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.averatec.biz/
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {83B3F325-1EAE-40EC-A727-C9D609340B80} = 212.18.3.5 212.18.0.5
FF - ProfilePath - c:\users\name\AppData\Roaming\Mozilla\Firefox\Profiles\a4jsb76l.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/firefox
FF - component: c:\users\name\AppData\Roaming\Mozilla\Firefox\Profiles\a4jsb76l.default\extensions\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}\components\FFAlert.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\programdata\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\users\name\AppData\Roaming\Mozilla\Firefox\Profiles\a4jsb76l.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-02 17:05
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\postgresql-8.3]
"ImagePath"="C:/Program Files/PostgreSQL/8.3/bin/pg_ctl.exe runservice -N \"postgresql-8.3\" -D \"C:/Program Files/PostgreSQL/8.3/data\" -w"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\postgresql-8.3]
"ImagePath"="C:/Program Files/PostgreSQL/8.3/bin/pg_ctl.exe runservice -N \"postgresql-8.3\" -D \"C:/Program Files/PostgreSQL/8.3/data\" -w"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG*]
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2009-06-02 17:07
ComboFix-quarantined-files.txt 2009-06-02 15:07
ComboFix2.txt 2009-06-02 11:51

Vor Suchlauf: 22 Verzeichnis(se), 281,792,970,752 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 281,764,429,824 Bytes frei

242 --- E O F --- 2009-05-14 07:46
Seitenanfang Seitenende
02.06.2009, 18:20
Swisstreasure
Moderator

Beiträge: 5694
#6 >>
Combofix entfernen:
Windows Taste + R drücken
Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
mache einen Onlinescan mit eset + poste den report
http://virus-protect.org/artikel/tools/eset-nod.html

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt
>>
Noch Meldungen?

Gruss Swiss
Seitenanfang Seitenende
02.06.2009, 19:38
Gnotschi
...neu hier

Themenstarter

Beiträge: 7
#7 -Combofix entfernt

-eset hat nichts gefunden. soll ich die log file posten?

-Den Text soll ich genau so kopieren wie er oben steht, oder muss ich meinen Namen für %userName% einfügen?

es erscheint dies wenn ich ihn kopiere wie er oben steht:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\name\Lokale Einstellungen\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\name\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme\Gemeinsame Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Windows\tasks

04/17/2009 05:34 PM <DIR> .
04/17/2009 05:34 PM <DIR> ..
06/02/2009 05:09 PM 32,558 SCHEDLGU.TXT
1 Datei(en), 32,558 Bytes
2 Verzeichnis(se), 281,648,943,104 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme\Gemeinsame Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Windows\tasks

04/17/2009 05:34 PM <DIR> .
04/17/2009 05:34 PM <DIR> ..
06/02/2009 05:09 PM 32,558 SCHEDLGU.TXT
1 Datei(en), 32,558 Bytes
2 Verzeichnis(se), 281,650,843,648 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\name\Lokale Einstellungen\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\name\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme\Gemeinsame Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Windows\tasks

04/17/2009 05:34 PM <DIR> .
04/17/2009 05:34 PM <DIR> ..
06/02/2009 05:09 PM 32,558 SCHEDLGU.TXT
1 Datei(en), 32,558 Bytes
2 Verzeichnis(se), 281,650,540,544 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\name\Lokale Einstellungen\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\name\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme\Gemeinsame Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Windows\tasks

04/17/2009 05:34 PM <DIR> .
04/17/2009 05:34 PM <DIR> ..
06/02/2009 05:09 PM 32,558 SCHEDLGU.TXT
1 Datei(en), 32,558 Bytes
2 Verzeichnis(se), 281,650,032,640 Bytes frei



ich habe meinen Namen durch "name" ersetzt
Seitenanfang Seitenende
02.06.2009, 19:43
Swisstreasure
Moderator

Beiträge: 5694
#8 Nein genau so wie er steht ;) Nichts verändern ;)
Das ESET Log brauche ich demzufolge nicht.

Gruss Swiss
Seitenanfang Seitenende
02.06.2009, 19:48
Gnotschi
...neu hier

Themenstarter

Beiträge: 7
#9 ok und nun? Ist das Ding weg? Nach allem was ich über diesen Trojaner gelesen habe lässt es sich anscheinend nicht so einfach entfernen.
Seitenanfang Seitenende
02.06.2009, 20:02
Swisstreasure
Moderator

Beiträge: 5694
#10 Mach das nochmal aber ohne was zu verändern:

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint


Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt
>>
Danach noch einen Scan mit Superantispyware:
http://board.protecus.de/t31252.htm

Gruss Swiss
Seitenanfang Seitenende
02.06.2009, 20:51
Gnotschi
...neu hier

Themenstarter

Beiträge: 7
#11 listen.bat:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\name\Lokale Einstellungen\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\name\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme\Gemeinsame Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Windows\tasks

04/17/2009 05:34 PM <DIR> .
04/17/2009 05:34 PM <DIR> ..
06/02/2009 05:09 PM 32,558 SCHEDLGU.TXT
1 Datei(en), 32,558 Bytes
2 Verzeichnis(se), 281,648,943,104 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme\Gemeinsame Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Windows\tasks

04/17/2009 05:34 PM <DIR> .
04/17/2009 05:34 PM <DIR> ..
06/02/2009 05:09 PM 32,558 SCHEDLGU.TXT
1 Datei(en), 32,558 Bytes
2 Verzeichnis(se), 281,650,843,648 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\name\Lokale Einstellungen\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\name\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme\Gemeinsame Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Windows\tasks

04/17/2009 05:34 PM <DIR> .
04/17/2009 05:34 PM <DIR> ..
06/02/2009 05:09 PM 32,558 SCHEDLGU.TXT
1 Datei(en), 32,558 Bytes
2 Verzeichnis(se), 281,650,540,544 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\name\Lokale Einstellungen\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\name\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme\Gemeinsame Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Windows\tasks

04/17/2009 05:34 PM <DIR> .
04/17/2009 05:34 PM <DIR> ..
06/02/2009 05:09 PM 32,558 SCHEDLGU.TXT
1 Datei(en), 32,558 Bytes
2 Verzeichnis(se), 281,650,032,640 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\name\Lokale Einstellungen\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\name\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Programme\Gemeinsame Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9425-AB00

Verzeichnis von C:\Windows\tasks

04/17/2009 05:34 PM <DIR> .
04/17/2009 05:34 PM <DIR> ..
06/02/2009 05:09 PM 32,558 SCHEDLGU.TXT
1 Datei(en), 32,558 Bytes
2 Verzeichnis(se), 281,645,039,616 Bytes frei

Anhang: 124.png
Seitenanfang Seitenende
02.06.2009, 20:56
Swisstreasure
Moderator

Beiträge: 5694
#12 Also lediglich noch Cookies. Ansonsten sehe ich nichts mehr.
Hast Du dann noch Probleme?

>>
klicke auf "Start/Systemsteuerung/Sicherung und Wiederherstellen".
Klicke links auf "Wiederherstellungspunkt erstellen oder Einstellungen ändern".
klicke unter "Systemsteuerung" auf "System" und dann links im Menü auf "Erweiterte Systemeinstellungen". Wechsel dann zum Reiter "Computerschutz".
Entferne das Häkchen vor dem Datenträger
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)

Gruss Swiss
Seitenanfang Seitenende
02.06.2009, 21:13
Gnotschi
...neu hier

Themenstarter

Beiträge: 7
#13 Probleme habe ich keine. Hatte auch noch keine. Ausser das Kaspersky mir den Trojaner angezeigt hat.
Danke für die Hilfe.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1