Malware COGNAC | öffnet websites | mit Anleitung entfernt | bitte checken

#0
28.06.2009, 16:13
...neu hier

Beiträge: 8
#1 Hi Forum,

habe gestern eine vermeintliche JAVA-Datei heruntergeladen und installiert.
Danach öffneten sich mehrfach wie von Geisterhand Websites mit Werbung automatisch. Spybot und AVAST haben verseuchte Dateien gefunden, die entfernt wurden. Im Autostartmanager befand sich danach aber folgender Eintrag: COGNAC, Dateityp war ....b.exe.

Habe danach die Liste von Sabina abgearbeitet.
Anbei die Logs mit der Bitte um Prüfung.

Vielen Dank.

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2345
Windows 5.1.2600 Service Pack 3

28.06.2009 15:07:14
mbam-log-2009-06-28 (15-07-14).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 87856
Laufzeit: 3 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

ComboFix 09-06-26.02 - NAME 28.06.2009 15:19.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.598 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\NAME\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090627-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\AVSredirect.dll
c:\windows\system32\Inetde.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-05-28 bis 2009-06-28 ))))))))))))))))))))))))))))))
.

2009-06-28 12:48 . 2009-06-28 12:48 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\Malwarebytes
2009-06-28 12:48 . 2009-06-17 09:27 38160 -c--a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-28 12:48 . 2009-06-28 12:48 -------- dc----w- c:\programme\Malwarebytes' Anti-Malware
2009-06-28 12:48 . 2009-06-28 12:48 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-28 12:48 . 2009-06-17 09:27 19096 -c--a-w- c:\windows\system32\drivers\mbam.sys
2009-06-28 12:39 . 2009-06-28 12:39 -------- dc----w- c:\programme\Trend Micro
2009-06-28 12:07 . 2009-06-28 12:07 -------- dc----w- c:\windows\system32\Adobe
2009-06-28 11:31 . 2009-06-28 11:31 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\Sync App Settings
2009-06-28 11:31 . 2009-06-28 11:31 -------- dc----w- c:\programme\Allway Sync
2009-06-28 11:12 . 2009-06-28 11:12 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sync App Settings
2009-06-26 19:42 . 2009-06-26 19:44 -------- dc----w- c:\programme\Spybot - Search & Destroy
2009-06-26 19:42 . 2009-06-26 19:44 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-06-26 19:32 . 2009-06-26 19:32 -------- dc----w- c:\programme\Enigma Software Group
2009-06-26 18:22 . 2009-06-27 13:51 -------- dc----w- c:\dokumente und einstellungen\NAME\.housecall6.6
2009-06-26 18:21 . 2009-06-26 18:21 -------- dc----w- c:\windows\Sun
2009-06-26 18:17 . 2009-06-26 18:17 410984 -c--a-w- c:\windows\system32\deploytk.dll
2009-06-26 18:17 . 2009-06-26 18:17 -------- dc----w- c:\programme\Java
2009-06-26 18:17 . 2009-06-26 18:17 152576 -c--a-w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\Sun\Java\jre1.6.0_14\lzma.dll
2009-06-26 17:59 . 2009-06-26 17:59 -------- dc----w- c:\programme\Panda Security
2009-06-15 16:16 . 2009-06-15 16:16 664 -c--a-w- c:\windows\system32\d3d9caps.dat
2009-06-12 15:30 . 2009-06-12 15:30 -------- dc----w- c:\dokumente und einstellungen\NAME\dwhelper
2009-06-11 21:33 . 2009-01-22 13:28 290816 -c--a-w- c:\windows\system32\decdll.dll
2009-06-11 21:33 . 2009-06-11 21:33 -------- dc----w- c:\programme\Free Video Converter
2009-06-11 21:23 . 2009-06-11 21:23 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Licenses
2009-06-06 22:51 . 2009-06-06 22:51 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\Engelmann Media
2009-06-06 22:51 . 2009-06-06 22:51 -------- dc----w- c:\programme\Engelmann Media
2009-06-06 22:46 . 2007-05-17 15:30 318976 -c--a-w- c:\windows\system32\avisynth.dll
2009-06-06 22:46 . 2004-02-22 08:11 719872 -c--a-w- c:\windows\system32\devil.dll
2009-06-06 22:46 . 2004-01-24 22:00 70656 -c--a-w- c:\windows\system32\yv12vfw.dll
2009-06-06 22:46 . 2004-01-24 22:00 70656 -c--a-w- c:\windows\system32\i420vfw.dll
2009-06-06 22:46 . 2008-03-16 13:30 216064 -csh--r- c:\windows\system32\nbDX.dll
2009-06-06 22:46 . 2007-02-21 11:47 31232 -csh--r- c:\windows\system32\msfDX.dll
2009-06-06 22:46 . 2006-05-03 10:06 163328 -csh--r- c:\windows\system32\flvDX.dll
2009-06-06 22:46 . 2009-06-06 22:46 -------- dc----w- c:\programme\eRightSoft
2009-06-01 08:57 . 2009-06-01 08:57 -------- dc----w- c:\windows\system32\de-de
2009-06-01 08:57 . 2009-06-01 08:57 -------- dc----w- c:\windows\l2schemas
2009-06-01 08:57 . 2009-06-01 08:57 -------- dc----w- c:\windows\system32\de
2009-06-01 08:57 . 2009-06-01 08:57 -------- dc----w- c:\windows\system32\bits
2009-05-31 22:50 . 2009-05-31 22:50 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\MSN6
2009-05-31 22:50 . 2009-05-31 22:50 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MSN6
2009-05-31 14:49 . 2009-05-31 14:49 -------- dc----w- c:\programme\XnView
2009-05-31 13:32 . 2009-06-03 18:47 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\XnView
2009-05-29 20:01 . 2009-05-29 20:27 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\ICAClient
2009-05-29 19:57 . 2009-05-29 20:15 -------- dc----w- c:\programme\GAGFAH VPN Zugangssoftware original
2009-05-29 19:56 . 2009-05-29 19:56 -------- dc----w- c:\windows\Internet Logs
2009-05-29 19:55 . 2005-08-18 17:22 94720 -c--a-w- c:\windows\system32\dneinobj.dll
2009-05-29 19:55 . 2005-08-18 17:22 110080 -c--a-w- c:\windows\system32\drivers\dne2000.sys
2009-05-29 19:55 . 2009-05-29 19:55 -------- dc----w- c:\programme\Gemeinsame Dateien\Deterministic Networks
2009-05-29 19:55 . 2009-05-29 19:55 -------- dc----w- c:\programme\Cisco Systems
2009-05-29 19:54 . 2009-05-29 19:54 -------- dc----w- c:\programme\Citrix
2009-05-29 16:24 . 2001-08-18 12:00 403 -c----w- c:\windows\system32\dllcache\npdrmv2.zip

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-27 13:24 . 2009-05-23 09:49 -------- dc----w- c:\programme\MHS Überweisung
2009-06-25 21:03 . 2009-05-24 12:48 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\BOM
2009-06-06 21:15 . 2009-05-22 21:25 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2009-06-06 17:02 . 2009-05-22 20:43 33592 -c--a-w- c:\dokumente und einstellungen\NAME\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-01 09:08 . 2001-08-18 12:00 84524 ----a-w- c:\windows\system32\perfc007.dat
2009-06-01 09:08 . 2001-08-18 12:00 459152 ----a-w- c:\windows\system32\perfh007.dat
2009-06-01 08:59 . 2009-05-22 20:18 76487 -c--a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2009-05-30 08:36 . 2009-05-23 14:37 -------- dc----w- c:\programme\TVersity Codec Pack
2009-05-30 08:36 . 2009-05-23 14:38 -------- dc----w- c:\programme\ffdshow
2009-05-29 18:33 . 2009-05-23 09:57 -------- dc----w- c:\programme\Google
2009-05-24 12:48 . 2009-05-24 12:48 -------- dc----w- c:\programme\Biet-O-Matic
2009-05-24 08:54 . 2009-05-24 08:54 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\Desktopicon
2009-05-24 08:54 . 2009-05-24 08:54 -------- dc----w- c:\programme\Exact Audio Copy
2009-05-24 08:54 . 2009-05-24 08:54 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\AccurateRip
2009-05-24 08:30 . 2009-05-24 08:30 -------- dc----w- c:\programme\Any Audio Converter
2009-05-23 22:37 . 2009-05-23 22:37 -------- dc----w- c:\programme\MSXML 4.0
2009-05-23 19:45 . 2009-05-23 19:45 -------- dc----w- c:\programme\iTunes
2009-05-23 19:45 . 2009-05-23 19:45 -------- dc----w- c:\programme\iPod
2009-05-23 19:45 . 2009-05-23 10:35 -------- dc----w- c:\programme\Gemeinsame Dateien\Apple
2009-05-23 19:45 . 2009-05-23 12:48 -------- dc----w- c:\programme\QuickTime
2009-05-23 19:44 . 2009-05-23 10:34 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-05-23 15:43 . 2009-05-23 15:39 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\cobra
2009-05-23 15:40 . 2009-05-23 15:40 -------- dc----w- c:\programme\Microsoft SQL Server
2009-05-23 15:40 . 2009-05-23 15:40 -------- dc----w- c:\programme\Gemeinsame Dateien\Lexware
2009-05-23 15:40 . 2009-05-23 15:40 -------- dc----w- c:\programme\Gemeinsame Dateien\Outlook Security Manager
2009-05-23 15:40 . 2009-05-23 15:40 -------- dc----w- c:\programme\Gemeinsame Dateien\cobra
2009-05-23 15:40 . 2009-05-23 15:40 -------- dc----w- c:\programme\Gemeinsame Dateien\Data Dynamics
2009-05-23 15:40 . 2009-05-23 15:40 -------- dc----w- c:\programme\TAPIEx ActiveX Control 3.4
2009-05-23 15:40 . 2009-05-23 15:40 -------- dc----w- c:\programme\cobra
2009-05-23 15:40 . 2009-05-23 15:40 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BTrieve
2009-05-23 15:39 . 2009-05-23 15:39 -------- dc----w- c:\programme\Microsoft Sync Framework
2009-05-23 14:36 . 2009-05-23 14:36 -------- dc----w- c:\programme\TVersity
2009-05-23 14:31 . 2009-05-23 14:31 -------- dc----w- c:\programme\prefetch
2009-05-23 14:06 . 2009-05-23 14:03 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\Windows-Optimierer
2009-05-23 13:59 . 2009-05-23 13:59 -------- dc----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-05-23 13:59 . 2009-05-23 13:59 -------- dc----w- c:\programme\DVDVideoSoft
2009-05-23 13:31 . 2009-05-23 13:24 5632 -c--a-w- c:\windows\system32\drivers\StarOpen.sys
2009-05-23 13:24 . 2009-05-22 21:24 -------- dc-h--w- c:\programme\InstallShield Installation Information
2009-05-23 13:24 . 2009-05-22 23:25 -------- dc----w- c:\programme\Samsung
2009-05-23 13:03 . 2009-05-23 12:39 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\Ulead Systems
2009-05-23 12:52 . 2009-05-23 12:52 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\InstallShield
2009-05-23 12:49 . 2009-05-23 12:49 -------- dc----w- c:\programme\SmartSound Software
2009-05-23 12:48 . 2009-05-23 12:48 -------- dc----w- c:\programme\Gemeinsame Dateien\InterVideo
2009-05-23 12:48 . 2009-05-23 12:48 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\InterVideo
2009-05-23 12:46 . 2009-05-23 12:46 -------- dc----w- c:\programme\Windows Media Components
2009-05-23 12:45 . 2009-05-23 12:31 -------- dc----w- c:\programme\Gemeinsame Dateien\Ulead Systems
2009-05-23 12:42 . 2009-05-23 12:31 -------- dc----w- c:\programme\Ulead Systems
2009-05-23 12:38 . 2009-05-23 12:31 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems
2009-05-23 12:38 . 2009-05-23 12:38 -------- dc----w- c:\programme\Gemeinsame Dateien\SONY Digital Images
2009-05-23 12:37 . 2009-05-23 12:37 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
2009-05-23 12:37 . 2009-05-22 21:24 -------- dc----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-05-23 12:35 . 2009-05-23 12:35 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\QuickTime
2009-05-23 12:34 . 2009-05-23 12:34 -------- dc----w- c:\programme\Windows Media-Komponenten
2009-05-23 12:17 . 2009-05-23 08:23 -------- dc----w- c:\programme\RAIDar
2009-05-23 11:39 . 2009-05-23 11:39 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\AdobeUM
2009-05-23 10:37 . 2009-05-23 10:37 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\Apple Computer
2009-05-23 10:37 . 2009-05-23 10:37 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-05-23 10:36 . 2009-05-23 10:36 -------- dc----w- c:\programme\Bonjour
2009-05-23 10:34 . 2009-05-23 10:34 -------- dc----w- c:\programme\Apple Software Update
2009-05-23 10:34 . 2009-05-23 10:34 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-05-23 10:03 . 2009-05-23 10:03 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-05-23 10:03 . 2009-05-23 10:03 -------- dc----w- c:\programme\DVD Shrink
2009-05-23 09:58 . 2009-05-23 09:58 -------- dc----w- c:\programme\ElsterFormular
2009-05-23 09:56 . 2009-05-23 09:56 -------- dc----w- c:\programme\IrfanView
2009-05-23 09:54 . 2009-05-23 09:54 -------- dc----w- c:\programme\PDFCreator
2009-05-23 09:52 . 2009-05-23 09:52 -------- dc----w- c:\programme\Gemeinsame Dateien\xing shared
2009-05-23 09:52 . 2009-05-23 09:51 -------- dc----w- c:\programme\Gemeinsame Dateien\Real
2009-05-23 09:47 . 2009-05-23 09:47 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\Canneverbe_Limited
2009-05-23 09:47 . 2009-05-23 09:47 -------- dc----w- c:\programme\CDBurnerXP
2009-05-23 09:44 . 2009-05-23 09:44 -------- dc----w- c:\programme\ConvertHelper
2009-05-23 08:54 . 2009-05-23 08:54 72512 -c--a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-05-23 08:53 . 2009-05-23 08:53 -------- dc----w- c:\programme\MSBuild
2009-05-23 08:53 . 2009-05-23 08:53 -------- dc----w- c:\programme\Reference Assemblies
2009-05-23 08:50 . 2009-05-23 08:50 -------- dc----w- c:\programme\MSXML 6.0
2009-05-23 08:42 . 2009-05-23 08:42 -------- dc----w- c:\programme\Tools&More
2009-05-23 08:13 . 2009-05-22 23:09 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\FRITZ!
2009-05-23 07:58 . 2009-05-23 07:58 -------- dc----w- c:\programme\Realtek
2009-05-22 23:50 . 2009-05-22 23:50 -------- dc----w- c:\programme\Alwil Software
2009-05-22 23:28 . 2009-05-22 23:28 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\SmarThru4
2009-05-22 23:28 . 2009-05-22 23:27 -------- dc----w- c:\programme\SmarThru 4
2009-05-22 23:27 . 2009-05-22 23:27 -------- dc----w- c:\programme\Readiris
2009-05-22 23:24 . 2009-05-22 23:24 395744 -c--a-w- c:\windows\system32\drivers\timntr.sys
2009-05-22 23:24 . 2009-05-22 23:24 39264 -c--a-w- c:\windows\system32\drivers\tifsfilt.sys
2009-05-22 23:23 . 2009-05-22 23:23 114048 -c--a-w- c:\windows\system32\drivers\snapman.sys
2009-05-22 23:23 . 2009-05-22 23:23 -------- dc----w- c:\programme\Gemeinsame Dateien\Acronis
2009-05-22 23:23 . 2009-05-22 23:23 -------- dc----w- c:\programme\Acronis
2009-05-22 23:09 . 2009-05-22 23:09 -------- dc----w- c:\programme\FRITZ!
2009-05-22 23:09 . 2009-05-22 23:09 -------- dc----w- c:\programme\Gemeinsame Dateien\AVM
2009-05-22 23:09 . 2009-05-22 23:09 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ISDNWatch
2009-05-22 22:54 . 2009-05-22 22:54 -------- dc----w- c:\programme\Lavalys
2009-05-22 22:53 . 2009-05-22 22:53 -------- dc----w- c:\programme\Paragon Software
2009-05-22 21:37 . 2009-05-22 21:37 0 -c--a-w- c:\windows\nsreg.dat
2009-05-22 21:32 . 2009-05-22 21:31 -------- dc----w- c:\dokumente und einstellungen\NAME\Anwendungsdaten\CyberLink
2009-05-22 21:26 . 2009-05-22 21:26 -------- dc----w- c:\programme\Gemeinsame Dateien\Adobe
2009-05-22 21:24 . 2009-05-22 21:24 -------- dc----w- c:\programme\CyberLink
2009-05-22 21:17 . 2009-05-22 21:17 7680 -c--a-w- C:\asferror.dll
2009-05-22 21:14 . 2009-05-22 21:14 229376 -c--a-w- C:\cewmdm.dll
2009-05-22 21:12 . 2009-05-22 21:12 11264 -c--a-w- C:\laprxy.dll
2009-05-22 21:05 . 2009-05-22 21:05 138 -c--a-w- c:\dokumente und einstellungen\NAME\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-05-22 20:18 . 2009-05-22 20:18 -------- dc----w- c:\programme\microsoft frontpage
2006-05-03 10:06 . 2009-06-06 22:46 163328 -csh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2009-06-06 22:46 31232 -csh--r- c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2009-06-06 22:46 216064 -csh--r- c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"Allway Sync"="c:\programme\Allway Sync\Bin\syncappw.exe" [2009-03-12 79568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AcronisTimounterMonitor"="REM" [X]
"Acronis Scheduler2 Service"="REM" [X]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-08-02 7110656]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-08-02 86016]
"PCMService"="c:\programme\CyberLink\PowerCinema\PCMService.exe" [2005-09-09 139264]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-10-18 1189920]
"WHITNEY_S2P"="c:\programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe" [2006-03-27 229376]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-05-23 198160]
"UVS11 Preload"="c:\programme\Ulead Systems\Ulead VideoStudio 11\uvPL.exe" [2007-07-23 341232]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-04-02 342312]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-06-26 148888]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-08-02 1519616]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-12-30 18082304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"TaskbarNoNotification"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\CyberLink\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\CyberLink\\PowerCinema\\PCMService.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\TVersity\\Media Server\\MediaServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [23.05.2009 00:53 38448]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [23.05.2009 01:50 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [23.05.2009 01:50 20560]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [23.05.2009 01:09 59520]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [22.05.2009 22:53 37568]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [22.05.2009 22:53 444416]
R3 MicNgBas;Cinergy Dual T PCIe Base Driver;c:\windows\system32\drivers\MicNgBas.sys [22.05.2009 23:18 44160]
R3 MicNgCap;Cinergy Dual T PCIe Capture Driver;c:\windows\system32\drivers\MicNgCap.sys [22.05.2009 23:18 48896]
R3 MicNgTun;Cinergy Dual T PCIe Tuner Driver;c:\windows\system32\drivers\MicNgTun.sys [22.05.2009 23:18 98176]
R3 PhTVTune;ProVideo WDM TVTuner;c:\windows\system32\drivers\PhTVTune.sys [22.05.2009 23:09 24288]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt [18.08.2005 7168]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-High Definition Audio Property Page Shortcut - REM HDAShCut.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: add to &BOM - c:\\PROGRA~1\\Biet-O-Matic\\\\AddToBOM.hta
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\NAME\Anwendungsdaten\Mozilla\Firefox\Profiles\mxx5rfa3.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-28 15:21
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(1112)
c:\windows\system32\relog_ap.dll
.
Zeit der Fertigstellung: 2009-06-28 15:23
ComboFix-quarantined-files.txt 2009-06-28 13:22

Vor Suchlauf: 10 Verzeichnis(se), 140.244.828.160 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 140.302.004.224 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

275 --- E O F --- 2009-06-11 09:54

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-28 15:50:33
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xEBA6E6B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xEBA6E574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xEBA6EA52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xEBA6E14C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xEBA6E64E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xEBA6E08C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xEBA6E0F0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xEBA6E76E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xEBA6E72E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xEBA6E8AE]

Code \??\C:\DOKUME~1\NAME\LOKALE~1\Temp\catchme.sys pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2CC8 80504564 4 Bytes JMP 924AEBA6
.text ntkrnlpa.exe!ZwCallbackReturn + 2FA0 8050483C 4 Bytes CALL 414533E7
? heozctr.sys Das System kann die angegebene Datei nicht finden. !
? C:\DOKUME~1\NAME\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. !

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[1100] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[1100] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- EOF - GMER 1.0.15 ----


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:51:59, on 28.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TVersity\Media Server\MediaServer.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\explorer.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] REM C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] REM "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [WHITNEY_S2P] C:\Programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UVS11 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Allway Sync] "C:\Programme\Allway Sync\Bin\syncappw.exe" -m
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\Biet-O-Matic\\\\AddToBOM.hta
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TVersityMediaServer - Unknown owner - C:\Programme\TVersity\Media Server\MediaServer.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 8413 bytes


AcronisTrueImageHome
Adobe Flash Player 10 Plugin
Adobe Reader 7.0 - Deutsch
Adobe Shockwave Player 11.5
Allway Sync
Any Audio Converter 1.1.0
Apple Mobile Device Support
Apple Software Update
Autostart-Manager 2006
avast! Antivirus
AVM FRITZ!
Biet-O-Matic v2.10.1
Bonjour
CDBurnerXP
Cisco Systems VPN Client 4.8.01.0300
cobra Adress PLUS 2009
ConvertHelper 2.2
DVD Shrink 3.2
ElsterFormular 2008/2009
EVEREST Home Edition v2.20
Exact Audio Copy 0.99pb5
ffdshow [rev 1723] [2007-12-24]
Free Video Converter V 2.0
Free Video to JPG Converter version 1.3
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
InterVideo DeviceService
IrfanView (remove only)
iTunes
Java(TM) 6 Update 14
Malwarebytes' Anti-Malware
Media Analyst 2.0
MetaFrame Presentation Server Client
MHS Überweisung 1.63
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Office XP Professional mit FrontPage
Microsoft Sync Framework Runtime v1.0 (x86) de
Microsoft Sync Framework Services v1.0 (x86) de
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.10)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
NVIDIA Drivers
Panda ActiveScan 2.0
Paragon Partition Manager 8.5 Personal
PDFCreator
PowerCinema
QuickTime
RAIDar 3.01c1-p1
Readiris Pro 9
RealPlayer
Realtek High Definition Audio Driver
SAMSUNG Mobile Modem Driver Set
Samsung Mobile phone USB driver Software
SAMSUNG Mobile USB Modem 1.0 Software
SAMSUNG Mobile USB Modem Software
Samsung PC Studio 3
Samsung PC Studio 3 USB Driver Installer
Samsung SCX-4x21 Series
Sicherheitsupdate für Windows Media Encoder (KB954156)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB963027)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969897)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB970238)
SmarThru 4
SmarThru PC Fax
SmartSound Quicktracks Plugin
Sony USB Driver
Spybot - Search & Destroy
SUPER © Version 2009.bld.35 (Jan 5, 2009)
TVersity Codec Pack 1.2
TVersity Media Server 1.5 Beta
TVersity Media Server Pro 1.6 Beta
Ulead VideoStudio 11
Ulead VideoStudio 9.0
Uninstall 1.0.0.0
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Windows Imaging Component
Windows Media Encoder 9 Series
Windows Media Encoder 9 Series
Windows XP Service Pack 3
WinRAR archiver
XnView 1.96.1
Seitenanfang Seitenende
28.06.2009, 16:50
Member

Beiträge: 3716
#2 Hi,
öffne spybot, klicke allgemein, erweitert.
dann werkzeuge, resident teatimer und deaktivieren, starte deinen pc neu.
da der teatimer die reinigung blockieren kann, öffne malwarebytes, update bitte, und scanne erneut, log posten.
Seitenanfang Seitenende
28.06.2009, 17:09
...neu hier

Themenstarter

Beiträge: 8
#3 Hi, danke.

Anbei das neue Logfile

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2346
Windows 5.1.2600 Service Pack 3

28.06.2009 17:07:33
mbam-log-2009-06-28 (17-07-33).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 87803
Laufzeit: 3 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Seitenanfang Seitenende
28.06.2009, 17:29
Member

Beiträge: 3716
#4 wie läuft der pc?
Seitenanfang Seitenende
28.06.2009, 17:31
...neu hier

Themenstarter

Beiträge: 8
#5 Seit dem ich die Maßnahmen durchgeführt habe, läuft er mE wie vor dem Befall.
Seitenanfang Seitenende
28.06.2009, 17:50
Member

Beiträge: 3716
#6 öffne hijackthis, klicke scan hake an:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
schließe alle browserfenster klicke fix checked
öffne arbeitsplatz, systemsteuerung software, deinstaliere:
Adobe Reader 7.0 - Deutsch
wird meist mit apple ungefragt mitinstaliert:
Bonjour
Panda ActiveScan 2.0
systemsteuerung schließen.
neueste version von adobe laden:
www.adobe.com/de/products/reader/ -
auf allgemein klicken, einstellungen, java, deaktivieren, erhöt die sicherheit.
Kaspersky online scan ausfüren, untersuchungsobjekt arbeitsplatz wählen, log posten:
www.kaspersky.com/de/virusscanner -
Seitenanfang Seitenende
28.06.2009, 22:35
...neu hier

Themenstarter

Beiträge: 8
#7 Vielen Dank.
habe alles abgearbeitet.
Anbei das Logfile von kapersky:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 28. Juni 2009 22:33:09
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 28/06/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2399841
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
W:\
X:\
Y:\
Z:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 105997
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:01:53

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Tragl\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Tragl\Lokale Einstellungen\Anwendungsdaten\Adobe\Updater6\aum.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Tragl\Lokale Einstellungen\Anwendungsdaten\Adobe\Updater6\Install\reader9rdr-de_DE\AdbeRdrUpd912_all_incr.msp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Tragl\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Tragl\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Tragl\Lokale Einstellungen\Anwendungsdaten\PowerCinema\Trace.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Tragl\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Tragl\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Tragl\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Tragl\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\aswResp.dat Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\Avast4.db Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\AshWebSv.ws Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\aswMaiSv.log Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\nshield.log Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\selfdef.log Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\report\Residenter Schutz.txt Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLML_MAIN\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\TVersity\Media Server\db\admin.db Das Objekt ist gesperrt übersprungen
C:\Programme\TVersity\Media Server\db\medialib.db Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{478391E2-2050-4425-99C2-9A01B88D5363}\RP85\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Antivirus.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\TVersityMediaServer.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\CLML_AGENT_LOG1.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_244.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_6bc.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\sqlite_pecCxxaYnSd5b5k Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\2d7900e4711b9623776148120887\amd64\filterpipelineprintproc.dll Das Objekt ist gesperrt übersprungen
D:\2d7900e4711b9623776148120887\amd64\msxpsdrv.cat Das Objekt ist gesperrt übersprungen
D:\2d7900e4711b9623776148120887\amd64\msxpsdrv.inf Das Objekt ist gesperrt übersprungen
D:\2d7900e4711b9623776148120887\amd64\msxpsinc.gpd Das Objekt ist gesperrt übersprungen
D:\2d7900e4711b9623776148120887\amd64\msxpsinc.ppd Das Objekt ist gesperrt übersprungen
D:\2d7900e4711b9623776148120887\amd64\mxdwdrv.dll Das Objekt ist gesperrt übersprungen
D:\2d7900e4711b9623776148120887\amd64\xpssvcs.dll Das Objekt ist gesperrt übersprungen
D:\2d7900e4711b9623776148120887\i386\filterpipelineprintproc.dll Das Objekt ist gesperrt übersprungen
D:\2d7900e4711b9623776148120887\i386\msxpsdrv.cat Das Objekt ist gesperrt übersprungen
D:\2d7900e4711b9623776148120887\i386\msxpsdrv.inf Das Objekt ist gesperrt übersprungen
D:\2d7900e4711b9623776148120887\i386\msxpsinc.gpd Das Objekt ist gesperrt übersprungen
D:\2d7900e4711b9623776148120887\i386\msxpsinc.ppd Das Objekt ist gesperrt übersprungen
D:\2d7900e4711b9623776148120887\i386\mxdwdrv.dll Das Objekt ist gesperrt übersprungen
D:\2d7900e4711b9623776148120887\i386\xpssvcs.dll Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{478391E2-2050-4425-99C2-9A01B88D5363}\RP85\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
Seitenanfang Seitenende