TR/Spy.54272 gefunden!! gefährlich? Wenn ja, was tun?

#1 Hey Leute,
bin grade dabei das System zu überprüfen. Und es wurden schon zwei Funde entdeckt.
Einer der beiden: TR/Spy.54272
Ist dies eine gefährlicher Trojaner?
Und wie kriege ich ihn wieder weg?
Kann mir jemand bitte helfen??

#2 Bitte abarbeiten und Logs posten.
http://board.protecus.de/t23187.htm

#3 zu diesem fund gibts leider keine beschreibung...
allerdings wird zu einem anderen das hier aufgelistet:

Name: HTML/Malicious.ActiveX.Gen
Entdeckt am: 14/08/2007
Art: Trojan
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein
Engine Version: 7.04.01.62

Hört sich ja nicht schlimm an, aber wie bekomme ich ihn weg?

#4 indem du erst mal schreibst, was wo (pfadangabe) gefunden wurde und in dem du den Link abarbeitest bitte.

#5 habe endlich den report erhalten.

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 13. August 2009 12:30

Es wird nach 1634859 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : REMS

Versionsinformationen:
BUILD.DAT : 9.0.0.403 17961 Bytes 03.06.2009 17:00:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 11.05.2009 08:14:44
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 10:10:59
ANTIVIR2.VDF : 7.1.5.88 2668032 Bytes 10.08.2009 14:07:44
ANTIVIR3.VDF : 7.1.5.104 228864 Bytes 12.08.2009 14:44:23
Engineversion : 8.2.1.0
AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 10:52:04
AESCRIPT.DLL : 8.1.2.24 459131 Bytes 12.08.2009 14:44:27
AESCN.DLL : 8.1.2.4 127348 Bytes 28.07.2009 10:11:06
AERDL.DLL : 8.1.2.4 430452 Bytes 28.07.2009 10:11:06
AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 15:07:20
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 28.07.2009 10:11:06
AEHEUR.DLL : 8.1.0.154 1917302 Bytes 08.08.2009 11:52:34
AEHELP.DLL : 8.1.5.3 233846 Bytes 28.07.2009 10:11:04
AEGEN.DLL : 8.1.1.56 356725 Bytes 12.08.2009 14:44:25
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.7.6 184694 Bytes 28.07.2009 10:11:03
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, F:, H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +GAME,

Beginn des Suchlaufs: Donnerstag, 13. August 2009 12:30

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '63723' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WudfHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hposts08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpoevm08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winvnc4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DynTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hposol08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpotdd01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DynUpPs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YMailAdvisor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Temp\!Data.Recovery.MegaPack.by.TommY@erektor(last_hope)\O&O DiskRecovery\O&O DiskRecovery.rar
[0] Archivtyp: RAR
--> O&O DiskRecovery V4.0.1231\Keygen\DiskRecovery 4.0.1231.exe
[FUND] Ist das Trojanische Pferd TR/Spy.54272
--> O&O DiskRecovery V4.1.1334_Vistaready\Keygen\O&O.Products-kg.exe
[FUND] Ist das Trojanische Pferd TR/Spy.54272
C:\Temp\Igor\ Extra Found Files\Microsoft Cabinet Archive\203016.cab
[0] Archivtyp: CAB (Microsoft)
--> fp4awec.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Temp\Igor\ Extra Found Files\Microsoft Cabinet Archive\223060.cab
[0] Archivtyp: CAB (Microsoft)
--> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software\Motorola Phone Tools\document\docref.num
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Temp\Igor\ Extra Found Files\Microsoft Cabinet Archive\263523.cab
[0] Archivtyp: CAB (Microsoft)
--> QuickTimeVR_trampoline.qtx
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Temp\Igor\ Extra Found Files\Microsoft Cabinet Archive\275266.cab
[0] Archivtyp: CAB (Microsoft)
--> 3078662f.png
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Temp\Igor\ Extra Found Files\Microsoft Cabinet Archive\298421.cab
[0] Archivtyp: CAB (Microsoft)
--> ul_msvcp80.dll.98CB24AD_52FB_DB5F_FF1F_C8B3B9A1E18E
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Temp\Igor\ Extra Found Files\Microsoft Cabinet Archive\323776.cab
[0] Archivtyp: CAB (Microsoft)
--> ul_msvcp80.dll.98CB24AD_52FB_DB5F_FF1F_C8B3B9A1E18E
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Temp\Igor\ Extra Found Files\Microsoft Cabinet Archive\335306.cab
[0] Archivtyp: CAB (Microsoft)
--> SoftwareUpdateAdmin.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Temp\Igor\ Extra Found Files\Microsoft Cabinet Archive\342735.cab
[0] Archivtyp: CAB (Microsoft)
--> ul_msvcp80.dll.98CB24AD_52FB_DB5F_FF1F_C8B3B9A1E18E
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Temp\Igor\ Extra Found Files\Microsoft Cabinet Archive\377828.cab
[0] Archivtyp: CAB (Microsoft)
--> SoftwareUpdateAdmin.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Temp\Igor\ Extra Found Files\Microsoft Cabinet Archive\380247.cab
[0] Archivtyp: CAB (Microsoft)
--> fp4awec.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Temp\Igor\ Extra Found Files\Microsoft Cabinet Archive\432099.cab
[0] Archivtyp: CAB (Microsoft)
--> QuickTimeVR_trampoline.qtx
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Temp\Igor\ Extra Found Files\Microsoft Cabinet Archive\433272.cab
[0] Archivtyp: CAB (Microsoft)
--> fp4awec.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Temp\Igor\ Extra Found Files\Microsoft Cabinet Archive\472789.cab
[0] Archivtyp: CAB (Microsoft)
--> gearcdr.vxd.2F677E68_1565_4E02_8961_92B66820BA1A
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Temp\Igor\ Extra Found Files\Microsoft Cabinet Archive\472790.cab
[0] Archivtyp: CAB (Microsoft)
--> iTunesMiniPlayer.Resources_iTunesMiniPlayer.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Temp\Igor\ Extra Found Files\Microsoft Cabinet Archive\472791.cab
[0] Archivtyp: CAB (Microsoft)
--> Global_VC_ATLANSI_f0.7EBEDD68_AA66_11D2_B980_006097C4DE24
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Temp\Igor\ Extra Found Files\Microsoft Cabinet Archive\477594.cab
[0] Archivtyp: CAB (Microsoft)
--> ul_msvcp80.dll.98CB24AD_52FB_DB5F_FF1F_C8B3B9A1E18E
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Temp\Igor\ Extra Found Files\Text Document\254492.txt
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Malicious.ActiveX.Gen
Beginne mit der Suche in 'F:\' <Volume>
F:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
F:\Heidi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRK1YDUH\apiplayer[1].swf
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
F:\Igor\Lokale Einstellungen\Temporary Internet Files\Content.IE5\096JGXQN\story.zip.vir
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
--> data.rtf .scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
F:\Marisa\Eigene Dateien\112359.zip
[0] Archivtyp: ZIP
--> ex_nfs_underground_14/Ex_NFS Underground 1.4.exe
[FUND] Ist das Trojanische Pferd TR/Agent.14848.R
F:\Software Install\zonealarm8en.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> WINDOWS6.0-KB929547-V2-X64.MSU
[1] Archivtyp: CAB (Microsoft)
--> Windows6.0-KB929547-v2-x64.cab
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
F:\Temp\Programme\Adobe\Acrobat 7.0\Setup Files\Rdrbig710\DEU\Data1.cab
[0] Archivtyp: CAB (Microsoft)
--> VDK10.SYD
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
F:\Temp\Programme\MSN Games\Diner Dash Flo on the Go\Launch.exe
[FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Downloader.Gen
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [1005]: Auf dem Datenträger befindet sich kein erkanntes Dateisystem.

Beginne mit der Desinfektion:
C:\Temp\!Data.Recovery.MegaPack.by.TommY@erektor(last_hope)\O&O DiskRecovery\O&O DiskRecovery.rar
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ad3170a.qua' verschoben!
C:\Temp\Igor\ Extra Found Files\Text Document\254492.txt
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Malicious.ActiveX.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ab8171e.qua' verschoben!
F:\Heidi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRK1YDUH\apiplayer[1].swf
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aed175a.qua' verschoben!
F:\Igor\Lokale Einstellungen\Temporary Internet Files\Content.IE5\096JGXQN\story.zip.vir
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.HB
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af3175f.qua' verschoben!
F:\Marisa\Eigene Dateien\112359.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ab6171c.qua' verschoben!
F:\Temp\Programme\MSN Games\Diner Dash Flo on the Go\Launch.exe
[FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Downloader.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af9174c.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 13. August 2009 15:36
Benötigte Zeit: 3:00:14 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

16817 Verzeichnisse wurden überprüft
777711 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
777701 Dateien ohne Befall
6807 Archive wurden durchsucht
36 Warnungen
8 Hinweise
63723 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

#6 Hallo, bei der Nutzung von Keygens musst du dich nicht wundern. Arbeite die Anleitung ab und poste die Logs.

#7 was genau ist Keygens?

#8 Programme, die Bezahlsoftware illegal zu vollversionen machen

#9 Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2615
Windows 5.1.2600 Service Pack 3

13.08.2009 16:15:16
mbam-log-2009-08-13 (16-15-16).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 96554
Laufzeit: 6 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

#10 ok, nu noch den Rest.

#11 GMER 1.0.15.15020 [no9untj7[1].exe] - http://www.gmer.net
Rootkit scan 2009-08-13 17:37:14
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT F7BE2C46 ZwCreateKey
SSDT F7BE2C3C ZwCreateThread
SSDT F7BE2C4B ZwDeleteKey
SSDT F7BE2C55 ZwDeleteValueKey
SSDT F7BE2C5A ZwLoadKey
SSDT F7BE2C28 ZwOpenProcess
SSDT F7BE2C2D ZwOpenThread
SSDT F7BE2C64 ZwReplaceKey
SSDT F7BE2C5F ZwRestoreKey
SSDT F7BE2C50 ZwSetValueKey
SSDT F7BE2C37 ZwTerminateProcess

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Internet Explorer\iexplore.exe[1420] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 411951FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1420] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126D3AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1420] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41363C10 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1420] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41363B42 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1420] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41363BAD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1420] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41363A13 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1420] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 41363A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1420] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 41363C73 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1420] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41363AD7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[1568] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes JMP 0056DBBD C:\Programme\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1976] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 411951FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1976] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269521 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1976] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125CB69 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1976] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126D3AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1976] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D43F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1976] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41363C10 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1976] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41363B42 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1976] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41363BAD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1976] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41363A13 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1976] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 41363A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1976] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 41363C73 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1976] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41363AD7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1976] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 4126D408 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1976] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 41363F78 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Programme\Internet Explorer\iexplore.exe[1976] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\mbamswissarmy.sys (*** hidden *** ) [MANUAL] MBAMSwissArmy <-- ROOTKIT !!!

#12 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:06:35, on 13.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Yahoo!\Common\YMailAdvisor.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\DynDNS Updater\DynUpPs.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\DynDNS Updater\DynTray.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Marisa\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LW48DVR0\no9untj7[1].exe
F:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [YMailAdvisor] "C:\Programme\Yahoo!\Common\YMailAdvisor.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] F:\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: DynDNS Updater.lnk = C:\Programme\DynDNS Updater\DynUpPs.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1224681807328
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C0DF423-2810-46BD-AE8E-939FCB8D96EB}: NameServer = 213.168.112.60 194.8.194.60
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 6833 bytes

#13 war das das ganze gmer-log?

#14 es fehlen noch zwei zeilen und das ding ist immer noch am laufen...

#15 ja dann poste das doch bitte erst, wenns fertig ist