Silentbank.D wirklich weg?

#1 Hallo,

ich hatte (oder habe) die Trojaner Silentbank.D und Drop.Agent auf dem Rechner und habe jetzt alle Schritte gemacht, die hier im Forum empfohlen wurden. Jetzt kommen die Antivir-Meldungen nicht mehr. Ich würde aber gerne wissen, ob die Trojanerpest wirklich gebannt ist. Wäre jemand so nett, sich die Logfiles mal anzuschauen?

Log Malwarebyte:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2358
Windows 5.1.2600 Service Pack 2

01.07.2009 13:39:05
mbam-log-2009-07-01 (13-35-24).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 84325
Laufzeit: 5 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 8
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Alex\ANWEND~1\MACROM~1\Common\d4ffe01c1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Alex\ANWEND~1\MACROM~1\Common\d4ffe01c1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\WINDOWS\system32\config\SYSTEM~1\ANWEND~1\MACROM~1\Common\d4ffe01c1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\WINDOWS\system32\config\SYSTEM~1\ANWEND~1\MACROM~1\Common\d4ffe01c1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\WINDOWS\system32\config\SYSTEM~1\ANWEND~1\MACROM~1\Common\d4ffe01c1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\WINDOWS\system32\config\SYSTEM~1\ANWEND~1\MACROM~1\Common\d4ffe01c1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\d4ffe01c1.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\WINDOWS\system32\config\SYSTEM~1\ANWEND~1\MACROM~1\Common\d4ffe01c1.dll) Good: (wdmaud.drv) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> No action taken.
C:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> No action taken.

Log Combofix:

ComboFix 09-06-29.07 - Alex 01.07.2009 14:10.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1022.643 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Alex\200 Büro-Organisation Alex\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\zip32.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-06-01 bis 2009-07-01 ))))))))))))))))))))))))))))))
.

2009-07-01 11:46 . 2009-07-01 11:46 65024 ----a-w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\d4ffe01c1.dll
2009-07-01 09:08 . 2009-07-01 09:08 -------- d-----w- c:\dokumente und einstellungen\Alex\Anwendungsdaten\Malwarebytes
2009-07-01 09:08 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-01 09:08 . 2009-07-01 09:08 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-01 09:08 . 2009-07-01 09:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-01 09:08 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-01 09:07 . 2009-07-01 09:07 3561744 ----a-w- c:\dokumente und einstellungen\Alex\mbam-setup.exe
2009-06-20 19:05 . 2009-06-20 19:05 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-01 09:38 . 2007-02-07 21:33 -------- d-----w- c:\programme\ORCA AVA
2009-05-22 10:42 . 2009-04-04 17:55 -------- d-----w- c:\dokumente und einstellungen\Alex\Anwendungsdaten\Move Networks
2009-05-07 15:42 . 2006-02-28 12:00 346624 ------w- c:\windows\system32\localspl.dll
2009-05-04 11:27 . 2007-02-07 21:03 -------- d-----w- c:\programme\QuickTime
2009-05-04 11:27 . 2007-02-07 21:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-05-04 11:25 . 2009-05-04 11:25 -------- d-----w- c:\programme\Apple Software Update
2009-05-04 11:25 . 2009-05-04 11:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-04-29 04:42 . 2006-02-28 12:00 827392 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:41 . 2006-02-28 12:00 78336 ------w- c:\windows\system32\ieencode.dll
2009-04-19 20:06 . 2006-02-28 12:00 1846784 ------w- c:\windows\system32\win32k.sys
2009-04-15 15:11 . 2006-02-28 12:00 584192 ----a-w- c:\windows\system32\rpcrt4.dll
2009-04-04 17:55 . 2009-04-04 17:55 34062 ----a-w- c:\dokumente und einstellungen\Alex\Anwendungsdaten\Move Networks\ie_bin\Uninst.exe
2009-04-04 17:54 . 2009-04-04 17:54 1915520 ----a-w- c:\dokumente und einstellungen\Alex\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2008-01-23 17:55 . 2008-01-23 17:55 21502344 ----a-w- c:\programme\Nokia_PC_Suite_683_rel_14_1_ger_web.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-02-28 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-30 1415824]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-07 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-04 136600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-01 7557120]
"NVRotateSysTray"="c:\windows\system32\nvsysrot.dll" [2006-05-01 49152]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-01 802816]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-01 696320]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-05-01 1519616]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\agrsmmsg.exe [2005-10-15 88203]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-12-19 16062464]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 1294336]

c:\dokumente und einstellungen\Alex\Startmen�\Programme\Autostart\
Nikon Monitor.lnk - c:\programme\Gemeinsame Dateien\Nikon\Monitor\NkMonitor.exe [2007-10-18 479232]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-5-13 113664]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
SrvMod.lnk - c:\windows\twain_32\L12U16U2\SrvMod.exe [2008-7-23 49152]
Terminplan.lnk - c:\programme\VVW\Proman6\TermPlan.exe [2005-3-31 547840]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Graphisoft\\ArchiCAD 10\\ArchiCAD.exe"=
"c:\\Pc-Form\\PC-BAU39\\PC-Formular-BAU_3.9.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\twain_32\\L12U16U2\\SrvMod.exe"=

R1 SSHDRV57;SSHDRV57;c:\windows\system32\drivers\SSHDRV57.sys [26.08.2008 19:55 32768]
S2 HPFECP06;HPFECP06;c:\windows\system32\drivers\hpfecp06.sys [13.02.2007 13:10 38176]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [20.08.2008 09:37 1527900]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [27.10.2008 13:47 33752]
S3 jnv4_mib;jnv4_mib;\??\c:\dokume~1\Alex\LOKALE~1\Temp\jnv4_mib.sys --> c:\dokume~1\Alex\LOKALE~1\Temp\jnv4_mib.sys [?]
S3 TNPacket;T-Systems Nova Packet Capture Driver;c:\programme\T-DSL SpeedManager\TNPACKET.SYS [11.03.2004 18:44 9696]
.
Inhalt des "geplante Tasks" Ordners

2009-06-27 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKCU-Run-MsnMsgr - c:\programme\MSN Messenger\MsnMsgr.Exe
HKCU-Run-rundll32.exe - c:\dokumente und einstellungen\Alex\Anwendungsdaten\Macromedia\Common\d4ffe01c1.dll


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
TCP: {4FB407E6-1980-4E47-9B2C-1A4C4A959A65} = 208.67.220.220,208.67.222.222
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-01 14:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-07-01 14:13
ComboFix-quarantined-files.txt 2009-07-01 12:13

Vor Suchlauf: 12 Verzeichnis(se), 13.546.053.632 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 18.305.753.088 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

118 --- E O F --- 2009-06-12 19:02

Log Hijack this:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:17:32, on 01.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\twain_32\L12U16U2\SrvMod.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Nikon Monitor.lnk = C:\Programme\Gemeinsame Dateien\Nikon\Monitor\NkMonitor.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SrvMod.lnk = C:\WINDOWS\twain_32\L12U16U2\SrvMod.exe
O4 - Global Startup: Terminplan.lnk = C:\Programme\VVW\Proman6\TermPlan.exe
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FB407E6-1980-4E47-9B2C-1A4C4A959A65}: NameServer = 208.67.220.220,208.67.222.222
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

--
End of file - 7450 bytes

Log Highjack this - uninstall Liste
3D-Viewer-innoPlus
Adobe Acrobat 5.0
Adobe Download Manager 2.0 (Nur entfernen)
Adobe Flash Player 10 ActiveX
Adobe Photoshop 7.0
AFPL Ghostscript 8.14
AFPL Ghostscript Fonts
ALDI Foto Manager Free Sued
ALDI Online Druck Service 3.4.3.0 (D)
ALDI Sued Foto Service
Apple Software Update
ArchiCAD 10 R1 GER
ArchiCAD 10 Trainingsleitfaden GER
BDE
CamSort 1.03
Canon CanoScan Toolbox 4.1
CDBurnerXP Pro 3
CD-Druckerei
CT FileTool 1.0
FileSync
Firebird SQL Server - MAGIX Edition
FreePDF XP (Remove only)
getPlus(R) for Adobe
Google Earth
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Heinze Ausschreibungstexte
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Windows XP (KB915865)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows XP (KB909095)
Hotfix für Windows XP (KB914440)
Hotfix für Windows XP (KB935448)
Hotfix für Windows XP (KB952287)
HP DeskJet 1220C Drucker
HP DeskJet 720C Serie (nur entfernen)
Intel(R) PROSet/Wireless Software
J2SE Runtime Environment 5.0 Update 6
Java(TM) 6 Update 11
Java(TM) 6 Update 5
Java(TM) SE Runtime Environment 6 Update 1
Macromedia Dreamweaver 3 De
Macromedia Fireworks 3
Malwarebytes' Anti-Malware
mCore
mDrWiFi
mHelp
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office 2000 Premium
Microsoft Visual C++ 2005 Redistributable
mIWA
mLogView
mMHouse
mPfMgr
mPfWiz
mProSafe
MSVC80_x86
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
mWlsSafe
mXML
mZConfig
Nikon Message Center
Nikon Transfer
Nokia Connectivity Cable Driver
Nokia PC Suite
Nokia PC Suite
NVIDIA Drivers
ORCA AVA
PC Connectivity Solution
PC-Formular BAU 3.9
Picture Control Utility
Projekt-Manager 6.0
QuickTime
Realtek AC'97 Audio
Realtek High Definition Audio Driver
RedMon - Redirection Port Monitor
Samsung PC Studio II PIMS & File Manager
ScanExpress A3 USB 1200 Pro
ScanExpress A3 USB 1200 Pro
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows Media Player 9 (KB936782)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896424)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB904706)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB912919)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB917344)
Sicherheitsupdate für Windows XP (KB917422)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB921503)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923694)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924191)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows XP (KB925902)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Sicherheitsupdate für Windows XP (KB928090)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Sicherheitsupdate für Windows XP (KB929969)
Sicherheitsupdate für Windows XP (KB930178)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931768)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Sicherheitsupdate für Windows XP (KB933566)
Sicherheitsupdate für Windows XP (KB933729)
Sicherheitsupdate für Windows XP (KB935839)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Sicherheitsupdate für Windows XP (KB937143)
Sicherheitsupdate für Windows XP (KB938127)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938829)
Sicherheitsupdate für Windows XP (KB939653)
Sicherheitsupdate für Windows XP (KB941202)
Sicherheitsupdate für Windows XP (KB941568)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB941693)
Sicherheitsupdate für Windows XP (KB943055)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
Sicherheitsupdate für Windows XP (KB944338-v2)
Sicherheitsupdate für Windows XP (KB944653)
Sicherheitsupdate für Windows XP (KB945553)
Sicherheitsupdate für Windows XP (KB946026)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB948590)
Sicherheitsupdate für Windows XP (KB948881)
Sicherheitsupdate für Windows XP (KB950749)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB970238)
Spybot - Search & Destroy 1.4
T-DSL SpeedManager
TOSHIBA Software Modem
Update für Windows XP (KB894391)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB904942)
Update für Windows XP (KB908531)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
Update für Windows XP (KB927891)
Update für Windows XP (KB929338)
Update für Windows XP (KB930916)
Update für Windows XP (KB931836)
Update für Windows XP (KB932823-v3)
Update für Windows XP (KB933360)
Update für Windows XP (KB936357)
Update für Windows XP (KB938828)
Update für Windows XP (KB942763)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
ViewNX
WIBU-KEY Setup (WIBU-KEY Remove)
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Live Sign-in Assistant
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
Windows-Treiberpaket - Nokia Modem (08/03/2007 6.84.0.2)
Windows-Treiberpaket - Nokia Modem (10/12/2007 3.6)
WinHTTrack Website Copier 3.42
WinRAR Archivierer

DANKE

#2 Hallo, warum verwendest du kein antivirenprogramm oder hab ichs net gesehen?
1. wenn du online-banking betreibst, solltest du dringendst deine bank informieren, auch sonstige geschäfte sind oline zu unterlassen, alle pws müssen von nem sauberen sys aus geendert werden.
2. solltest du dir dann überlegen zu formatieren.
3. öffne spybot allgemein,erweitert.
dann werkzeuge resident teatimer deaktivieren.
starte deinen pc neu.
4. öffne malwarebytes, update, scanne, lösche die funde, poste das log.

#3 Hallo, die Trojaner sind leider doch noch drauf. Bitte oben schauen, habe sämtliche geforderten Logfiles ín die Mail kopiert. Wie bekomme ich das Ding nun weg? DANKE

#4 du hast auch gelesen, was ich geschrieben hab, du möchtest also weiter machen.
Dann lade dir gmer, beim tab rootkit aktivire alles. danach schalte alle laufenden programme ab, auch antiviren-software, trenne die internetverbindung, wlan aus oder netzwerkkabel raus, während des scans nichts am pc machen, vor dem posten des logs nicht vergessen, antivirensoftware wieder einzuschalten.
http://virus-protect.org/artikel/tools/gmer.html

#5 Hallo,

danke für die Hilfe. Ich habe jetzt Malwarebytes im abgesicherten Modus durchgeführt und seit dieser Säuberung melden Malwarebytes und Antivir virenfrei. Danach habe ich, wie von virenfinder geraten, gmer ausgeführt.
Hier das Logfile:
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-02 02:27:51
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT F7BC5A9E ZwCreateKey
SSDT F7BC5A94 ZwCreateThread
SSDT F7BC5AA3 ZwDeleteKey
SSDT F7BC5AAD ZwDeleteValueKey
SSDT F7BC5AB2 ZwLoadKey
SSDT F7BC5A80 ZwOpenProcess
SSDT F7BC5A85 ZwOpenThread
SSDT F7BC5ABC ZwReplaceKey
SSDT F7BC5AB7 ZwRestoreKey
SSDT F7BC5AA8 ZwSetValueKey
SSDT F7BC5A8F ZwTerminateProcess

---- EOF - GMER 1.0.15 ----

Rechner scheint insgesamt wieder stabil zu laufen. Würde aber gerne sicher gehen, dass die Trojaner wirklich raus sind. Gibt es Programme, mit denen ich das feststellen kann?
DANKE (sorry, dass ich immer so lang zum Antworten brauch, zwei kleine Kids plus Arbeit, was soll ich sagen:-)

#6 Hallo, wäre jemand so nett, sich meine letzte Frage anzusehen? Bin für die Hilfe sehr dankbar.

#7 Mach mal noch nen Scan mit FSecure:
http://virus-protect.org/artikel/tools/fsecureonline.html

Gruss swiss

#8 Danke für den Tipp.

Gestern fand Antivir Silentbanker nochmal, aber nicht in einer Systemdatei sondern einer anderen Ecke und konnte ihn auch löschen. Danach habe ich (nach Neustart) Komplettchecks mit Antivir, Malawarebytes und fsecureonline laufen lassen, alles ok. Außerdem habe ich den Rootsector (?) mit Gmer checken lassen, wie es in einem anderen Thread beschrieben war. Das Ergebnis ist so, wie es sein soll.

Dann gehe ich - wenn ich von Euch Experten nichts anderes höre - davon aus, dass die Trojaner draußen sind und ich mein System nicht neu aufsezten muss. Vielen Dank für die Hilfe.

#9 >>
Systemwiederherstellung deaktivieren (XP):
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen. (also wieder aktivieren)

>>
Dann würde ich Dir noch empfehlen das SP3 zu installieren:
http://www.pctipp.ch/downloads/betriebssystem/44546/windows_xp_service_pack_3_sp3.html

Gruss Swiss

#10 Alles erledigt, danke nochmal