Trojaner TR/Crypt.CFI.Gen kommt immer wieder

#0
31.08.2009, 23:12
Member

Beiträge: 12
#1 Hallo,

ich hoffe, hier kann mir jemand helfen, ich habe o.g. Trojaner, später sind dann noch folgende weitere von Antivir gemeldet worden:

APPL/NirCMD.3
TR/PWS.45512

Der Trojaner legt exe-Dateien mit den Namen meiner Ordner an, ich habe keine der Dateien ausgeführt. Spybot im abgesichterten Modus ausgeführt, es wurde dabei festgestellt, dass das Windows Security Center deaktiviert war, das Problem hat Spybot dann behoben, es ist bei späteren Scans auch nicht mehr aufgetreten.

Nun habe ich Antivir agressiv konfiguriert und im abgesicherten Modus ausgeführt, dabei wurden 64 Funde gelöscht.
Solange ich nicht mit dem Internet verbunden bin, wird bei weiteren Scans auch nichts mehr gefunden.
Verbinde ich mich aber wieder mit dem Internet, meldet der AV Guard erneut den Virus (oder auch einen der anderen) und ein erneuter Scan bringt wieder zahlreiche Funde.

Hier mein HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:44:22, on 31.08.2009
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Intel\Wireless\Bin\S24EvMon.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir Desktop\sched.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\TortoiseSVN\bin\TSVNCache.exe
E:\WINDOWS\system32\hkcmd.exe
E:\WINDOWS\vsnpstd.exe
E:\Programme\Protector Suite QL\psqltray.exe
E:\Programme\Sony\ISB Utility\ISBMgr.exe
E:\Programme\Sony\VAIO Power Management\SPMgr.exe
E:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
E:\Programme\Avira\AntiVir Desktop\avgnt.exe
E:\Programme\PDFDrucker\PDF24Updater.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Avira\AntiVir Desktop\avguard.exe
E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
E:\WINDOWS\system32\IFXSPMGT.exe
E:\Programme\Sony\VAIO Power Management\OPT Drive Power Saving.exe
E:\WINDOWS\system32\IFXTCS.exe
E:\Programme\FRITZ!DSL\IGDCTRL.EXE
E:\WINDOWS\system32\IfxPsdSv.exe
E:\Programme\Intel\Wireless\Bin\RegSrvc.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Sony\VAIO Event Service\VESMgr.exe
E:\Programme\Infineon\Security Platform Software\PSDrt.exe
E:\Programme\Infineon\Security Platform Software\SpTna.exe
E:\WINDOWS\system32\NOTEPAD.EXE
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Outlook Express\msimn.exe
E:\Programme\OE-QuoteFix\oequotefix.exe
E:\Programme\EasyClean\EasyClean.exe
E:\WINDOWS\system32\wuauclt.exe
C:\Dokumente\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://bauskript.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - E:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - E:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - E:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: (no name) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - E:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] E:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [IgfxTray] E:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] E:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PSQLLauncher] "E:\Programme\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [snpstd] E:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [ISBMgr.exe] E:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [SonyPowerCfg] "E:\Programme\Sony\VAIO Power Management\SPMgr.exe"
O4 - HKLM\..\Run: [OPT Drive Power Saving] "E:\Programme\Sony\VAIO Power Management\OPT Drive Power Saving.EXE"
O4 - HKLM\..\Run: [Switcher.exe] "E:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe"
O4 - HKLM\..\Run: [IFXSPMGT] E:\WINDOWS\system32\IFXSPMGT.exe /NotifyLogon
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [PDFPrint] "E:\Programme\PDFDrucker\PDF24Updater.exe"
O4 - HKLM\..\Run: [Google Quick Search Box] "E:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zu &Windows Live Favorites hinzufügen - h**p://favorites.live.com/quickadd.aspx
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - E:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {03B39B10-9AB9-4DBB-8189-7F76E0CE5F3F} (FavImport Class) - https://favorites.live.com/cab/ImportAx.cab?v=13,0,1609,00
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200763801062
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - h**p://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file:///E:/Programme/AutoCAD%202002%20Deu/AcPreview.ocx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - (no file)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - E:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Google Software Updater (gusvc) - Google - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - E:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - E:\WINDOWS\system32\IFXTCS.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - E:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Personal Secure Drive-Dienst (PersonalSecureDriveService) - Infineon Technologies AG - E:\WINDOWS\system32\IfxPsdSv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - E:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: VAIO Event Service - Sony Corporation - E:\Programme\Sony\VAIO Event Service\VESMgr.exe

--
End of file - 9740 bytes





Ein Scan mit Malwarebytes hat keinen Fund ergeben.
Ein Scan mit eScan hat folgende Virenlog geliefert:





Invalid Entry DllName = appmgmts.dll (in key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Action Taken: Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}.
Objekt "InstantAccess Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "Cydoor.TOPicks.a Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "Cydoor.TOPicks.a Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "Spyware.KeyProwler Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "E:\WINDOWS\Downloaded Program Files\gp.ocx". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Entwicklung\Entwicklung.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Entwicklung\Entwürfe\Entwürfe.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Entwicklung\HOAI\HOAI.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Entwicklung\Online-*****\Entwicklung\Entwicklung.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Entwicklung\Online-*****\Kundendaten\Kundendaten.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Entwicklung\Online-*****\Online-*****.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Entwicklung\Übersetzungen\Übersetzungen.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Intern\Ideen!\Ideen!.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Intern\Intern.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\Data Owner.YOUR-74E600FAFB.exe ist durch den Virus "Exe.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{C98AE23E-93F0-4790-B4E7-86A8968C9ABC}\RP273\A0088968.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Programme\Microsoft ACT\ActPrjProjectItems\ACT\ACTBrowserRecord.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Programme\Microsoft ACT\ActPrjProjectItems\ACT\ACTFile.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Programme\Microsoft Visual Studio .NET 2003\VC#\CSharpProjectItems\VBScript.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Programme\Microsoft Visual Studio 8\Common7\IDE\ItemTemplatesCache\CSharp\1033\VBScript.zip\VBScript.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\System Volume Information\_restore{C98AE23E-93F0-4790-B4E7-86A8968C9ABC}\RP276\A0090557.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\System Volume Information\_restore{C98AE23E-93F0-4790-B4E7-86A8968C9ABC}\RP279\A0102536.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\System Volume Information\_restore{C98AE23E-93F0-4790-B4E7-86A8968C9ABC}\RP282\A0103510.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\System Volume Information\_restore{C98AE23E-93F0-4790-B4E7-86A8968C9ABC}\RP283\A0103735.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Ich hoffe auf Hilfe, Vielen Dank!
Seitenanfang Seitenende
01.09.2009, 02:55
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Scanne mit das AVP von Kaspersky,schalte dabei dein eigener Virenscanner ab

http://www.virus-protect.org/artikel/tools/kaspersky.html
Download : http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/

Und poste das Log in dein naechten Antwort
__________
MfG Argus
Seitenanfang Seitenende
01.09.2009, 12:15
Member

Themenstarter

Beiträge: 12
#3 Hallo Argus,

vielen Dank, leider funktioniert der Downloadlink nicht, wo finde ich das Tool?

Gruß
Anton
Seitenanfang Seitenende
01.09.2009, 13:11
Ehrenmitglied
Avatar Argus

Beiträge: 6028
Seitenanfang Seitenende
02.09.2009, 20:05
Member

Themenstarter

Beiträge: 12
#5 Hallo,

OK, vielen Dank, hat leider etwas gedauert, aber hier das Log:

Scan
----
Scanned: 1498081
Detected: 3
Untreated: 0
Start time: 02.09.2009 10:23:52
Duration: 09:38:11
Finish time: 02.09.2009 20:02:03


Detected
--------
Status Object
------ ------
deleted: Trojan program Exploit.HTML.Iframe.FileDownload (modification) Email message body: Hauptidentität\Lokale Ordner\Posteingang\****\Allgemein\[From:"Mail Delivery Subsystem" <MAILER-DAEMON@milestone.prohost.de>][Subject:Message is infected : Returned mail: see transcript for details][Time:2003/08/16 16:38:06]/message/rfc822/text/html
deleted: virus Email-Worm.Win32.Klez.h Email message attachment: Hauptidentität\Lokale Ordner\Posteingang\****\Allgemein\[From:"Mail Delivery Subsystem" <MAILER-DAEMON@milestone.prohost.de>][Subject:Message is infected : Returned mail: see transcript for details][Time:2003/08/16 16:38:06]/message/rfc822/src.bat
deleted: virus Email-Worm.Win32.Bagle.i Email message attachment: Hauptidentität\Lokale Ordner\Posteingang\****\Allgemein\[From:<administration@plusaufbau.com>][Subject:Message is infected : Warning about your e-mail account.][Time:2004/03/04 06:46:19]/TextDocument.zip


Events
------
Time Name Status Reason
---- ---- ------ ------
02.09.2009 10:24:32 Running module: smss.exe\smss.exe ok scanned


Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------


Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----
Seitenanfang Seitenende
02.09.2009, 20:43
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 ComboFix© by sUBs)
Download ComboFix und speichert es auf den Desktop!
Download link 1 ComboFix© by sUBs
Download link 2 ComboFix© by sUBs
Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut
Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen

Starte combofix.exe
Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Befolge diese Anleitung
__________
MfG Argus
Seitenanfang Seitenende
02.09.2009, 21:49
Member

Themenstarter

Beiträge: 12
#7 ComboFix 09-09-01.07 - w****m 02.09.2009 21:32.2.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2038.1448 [GMT 2:00]
ausgeführt von:: e:\dokumente und einstellungen\w****m\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

e:\windows\AegisP.inf
e:\windows\system32\mdm.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-02 bis 2009-09-02 ))))))))))))))))))))))))))))))
.

2009-09-02 07:40 . 2009-09-02 19:38 7858208 --sha-w- e:\windows\system32\drivers\fidbox.dat
2009-09-02 07:40 . 2009-09-02 07:40 -------- d-----w- e:\windows\LastGood
2009-09-02 07:40 . 2008-07-08 12:54 148496 ----a-w- e:\windows\system32\drivers\89995536.sys
2009-09-02 07:40 . 2009-09-02 19:21 -------- d-----w- e:\programme\Virus Removal Tool
2009-08-31 23:52 . 2009-08-31 23:52 -------- d-----w- e:\windows\system32\wbem\Repository
2009-08-31 23:48 . 2009-08-31 23:48 -------- d-----w- E:\Vuze
2009-08-31 23:47 . 2009-08-31 23:48 -------- d-----w- e:\programme\Backgammon Pro
2009-08-31 23:47 . 2009-08-31 23:47 -------- d-----w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\BigFishGamesCache
2009-08-31 23:47 . 2009-08-31 23:47 -------- d-----w- e:\programme\bfgclient
2009-08-31 16:33 . 2009-08-31 23:46 -------- d-----w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2009-08-31 15:48 . 2009-08-31 15:48 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\Malwarebytes
2009-08-31 15:48 . 2009-08-31 15:48 -------- d-----w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-31 15:48 . 2009-08-31 23:46 -------- d-----w- e:\programme\Malwarebytes' Anti-Malware
2009-08-27 22:12 . 2009-08-31 23:46 -------- d-----w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-27 22:12 . 2009-08-31 23:46 -------- d-----w- e:\programme\Spybot - Search & Destroy
2009-08-26 14:23 . 2009-08-26 14:23 -------- d-----w- e:\programme\b****t(2)
2009-08-26 14:16 . 2009-08-26 14:16 -------- d-----w- e:\programme\b****t(3)
2009-08-16 14:42 . 2009-08-16 14:42 -------- d-----w- e:\dokumente und einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\Microsoft Help
2009-08-16 14:40 . 2009-08-16 14:42 -------- d-----w- e:\dokumente und einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\Microsoft
2009-08-16 14:40 . 2009-08-16 14:40 -------- d-----w- e:\windows\system32\Visual Studio 2005Templates
2009-08-16 14:40 . 2009-08-16 14:40 -------- d-----w- e:\windows\system32\Visual Studio 2005
2009-08-16 14:38 . 2009-08-16 14:38 -------- d-----w- e:\programme\CE Remote Tools
2009-08-14 00:59 . 2009-08-14 00:59 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\SmartFTP
2009-08-14 00:57 . 2009-08-14 00:57 -------- d-----w- e:\programme\SmartFTP Client
2009-08-14 00:57 . 2009-08-14 00:57 -------- d-----w- e:\programme\SmartFTP Client 3.0 Setup Files
2009-08-13 13:29 . 2009-08-31 23:48 -------- d-----w- e:\programme\b****t
2009-08-11 23:09 . 2009-08-12 23:23 -------- d-----w- e:\programme\Emailfactory
2009-08-11 22:04 . 2009-08-31 23:47 -------- d-----w- e:\programme\SendBlaster

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-02 19:20 . 2009-09-02 07:40 70352 --sha-w- e:\windows\system32\drivers\fidbox.idx
2009-09-02 19:12 . 2008-01-19 13:43 -------- d-----w- e:\programme\EasyClean
2009-09-02 18:26 . 2008-01-20 19:52 -------- d-----w- e:\programme\StarMoney 6.0 S-Edition
2009-09-02 16:49 . 2008-01-23 19:38 -------- d-----w- e:\programme\OE-QuoteFix
2009-09-02 07:08 . 2008-01-21 22:06 -------- d-----w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-08-31 23:48 . 2009-05-27 15:10 -------- d-----w- e:\programme\PDFDrucker
2009-08-31 23:48 . 2009-05-07 23:47 -------- d-----w- e:\programme\Backgammon
2009-08-31 23:47 . 2009-06-03 18:18 -------- d-----w- e:\programme\DivX
2009-08-31 23:47 . 2009-06-03 18:23 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\DivX
2009-08-31 23:47 . 2009-06-03 18:18 -------- d-----w- e:\programme\Gemeinsame Dateien\DivX Shared
2009-08-31 23:47 . 2008-01-21 20:43 -------- d-----w- e:\programme\Google
2009-08-31 23:47 . 2008-01-21 18:22 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\PADGen
2009-08-31 23:47 . 2008-01-21 18:24 -------- d-----w- e:\programme\Ghostscript
2009-08-31 23:47 . 2009-06-24 22:08 -------- d-----w- e:\programme\Syberia
2009-08-31 23:47 . 2009-05-29 23:43 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\Azureus
2009-08-31 23:47 . 2009-06-02 17:17 -------- d-----w- e:\programme\Windiff
2009-08-31 23:47 . 2009-05-29 23:41 -------- d-----w- e:\programme\Gemeinsame Dateien\i4j_jres
2009-08-31 23:30 . 2008-10-16 09:55 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\Skype
2009-08-31 22:59 . 2008-10-16 09:56 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\skypePM
2009-08-28 23:16 . 2009-01-27 10:18 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\FileZilla
2009-08-26 15:28 . 2009-05-29 23:43 -------- d-----w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Azureus
2009-08-20 14:13 . 2009-05-08 17:33 -------- d-----w- e:\programme\PamFax
2009-08-14 15:30 . 2009-03-19 11:12 55656 ----a-w- e:\windows\system32\drivers\avgntflt.sys
2009-08-12 20:31 . 2003-04-02 12:00 91192 ----a-w- e:\windows\system32\perfc007.dat
2009-08-12 20:31 . 2003-04-02 12:00 450480 ----a-w- e:\windows\system32\perfh007.dat
2009-07-28 18:44 . 2009-07-24 20:50 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\TortoiseSVN
2009-07-24 17:53 . 2009-07-24 17:53 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\Subversion
2009-07-24 17:48 . 2009-07-24 17:48 -------- d-----w- e:\programme\TortoiseSVN
2009-07-24 17:48 . 2009-07-24 17:48 -------- d-----w- e:\programme\Gemeinsame Dateien\TortoiseOverlays
2009-07-22 19:25 . 2009-07-22 19:25 -------- d-----w- e:\programme\Baumonitor-Bauinformationssystem
2009-07-17 23:50 . 2009-07-17 23:50 -------- d-----w- e:\programme\Java
2009-07-17 01:56 . 2008-12-06 14:43 -------- d---a-w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-07-11 19:53 . 2009-03-19 10:48 -------- d-----w- e:\programme\FileZilla FTP Client
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay]
@="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}"
[HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}]
2007-06-05 22:16 2955264 ----a-w- e:\programme\Protector Suite QL\farchns.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen]
@="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}"
[HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}]
2007-06-05 22:16 2955264 ----a-w- e:\programme\Protector Suite QL\farchns.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="e:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-23 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="e:\programme\Realtek\InstallShield\AzMixerSel.exe" [2008-01-19 53248]
"IgfxTray"="e:\windows\system32\igfxtray.exe" [2008-01-19 141848]
"HotKeysCmds"="e:\windows\system32\hkcmd.exe" [2008-01-19 162328]
"PSQLLauncher"="e:\programme\Protector Suite QL\launcher.exe" [2007-06-05 49168]
"snpstd"="e:\windows\vsnpstd.exe" [2004-06-10 286720]
"ISBMgr.exe"="e:\programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"SonyPowerCfg"="e:\programme\Sony\VAIO Power Management\SPMgr.exe" [2007-08-21 217088]
"OPT Drive Power Saving"="e:\programme\Sony\VAIO Power Management\OPT Drive Power Saving.EXE" [2007-08-21 1486848]
"Switcher.exe"="e:\programme\Sony\Wireless Switch Setting Utility\Switcher.exe" [2007-08-31 503808]
"IFXSPMGT"="e:\windows\system32\IFXSPMGT.exe" [2007-02-09 661024]
"avgnt"="e:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"PDFPrint"="e:\programme\PDFDrucker\PDFPrintBackend.exe" [2005-07-03 71080]
"Google Quick Search Box"="e:\programme\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-07-04 122368]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="e:\windows\System32\CTFMON.EXE" [2007-12-01 15360]

e:\dokumente und einstellungen\w****m\Startmen\Programme\Autostart\
is-FV97I.lnk - e:\programme\Virus Removal Tool\is-FV97I\startup.exe [2009-9-2 65536]

e:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - e:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 1 (0x1)
"SynchronousUserGroupPolicy"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 1 (0x1)
"FoFileAssociate"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-06-05 22:03 90112 ----a-w- e:\windows\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2007-05-16 18:50 73728 ----a-w- e:\windows\system32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"MDM"=2 (0x2)
"IGDCTRL"=2 (0x2)
"gusvc"=3 (0x3)
"EvtEng"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Persistence"=e:\windows\system32\igfxpers.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programme\\Microsoft Visual Studio\\Common\\Tools\\VS-Ent98\\Vanalyzr\\VARPC.EXE"=
"e:\\WINDOWS\\system32\\AUTMGR32.EXE"=
"e:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"e:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"e:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"e:\\WINDOWS\\system32\\dpvsetup.exe"=
"e:\programme\Microsoft ActiveSync\rapimgr.exe"= e:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"e:\programme\Microsoft ActiveSync\wcescomm.exe"= e:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"e:\programme\Microsoft ActiveSync\WCESMgr.exe"= e:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"e:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"e:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe"=
"e:\\Dokumente und Einstellungen\\w****m\\Lokale Einstellungen\\Anwendungsdaten\\Xenocode\\Sandbox\\Fax\\1.0.0.35\\2008.08.26T21.34\\Native\\STUBEXE\\@PROGRAMFILES@\\Skype\\Phone\\Skype.exe"=
"e:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"e:\\Programme\\FileZilla FTP Client\\filezilla.exe"=
"e:\\Programme\\Skype\\Phone\\Skype.exe"=
"e:\\Programme\\SmartFTP Client\\SmartFTP.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 is-FV97Idrv;is-FV97Idrv;e:\windows\system32\drivers\89995536.sys [02.09.2009 09:40 148496]
R1 PersonalSecureDrive;PersonalSecureDrive;e:\windows\system32\drivers\psd.sys [09.02.2007 08:12 39080]
R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 13:12 108289]
R2 IGDCTRL;AVM IGD CTRL Service;e:\programme\FRITZ!DSL\IGDCTRL.EXE [04.09.2007 11:14 87344]
R3 5U870UVC;Sony Visual Communication Camera VGP-VCC7;e:\windows\system32\drivers\5U870UVCx86.sys [04.09.2007 10:30 70144]
R3 IFXTPM;IFXTPM;e:\windows\system32\drivers\ifxtpm.sys [04.09.2007 10:52 41216]
R3 SPI;Sony Programmable I/O Control Device;e:\windows\system32\drivers\SonyPI.sys [19.01.2008 02:27 71961]
S2 VPCAppSv;Virtual PC Application Services;e:\windows\system32\drivers\VPCAppSv.sys [21.05.2002 00:31 10374]
S3 ASPI;Advanced SCSI Programming Interface Driver;e:\windows\system32\drivers\ASPI32.SYS [04.11.2008 00:42 16512]
S3 NDISLOOP;Virtual TT-DVB USB Adapter Driver;e:\windows\system32\drivers\ndisloop.sys [01.06.2008 21:30 39280]
S3 TTDVBUSB;TechnoTrend - TT-DVB USB Driver;e:\windows\system32\drivers\ttdvbusb.sys [01.06.2008 21:34 39280]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;e:\programme\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [02.12.2006 07:17 2805000]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-GEKKOWBuch - (no file)
HKLM-Run-NWEReboot - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://b****t.de/
IE: Nach Microsoft &Excel exportieren - e:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Zu &Windows Live Favorites hinzufügen - http://favorites.live.com/quickadd.aspx
DPF: {03B39B10-9AB9-4DBB-8189-7F76E0CE5F3F} - hxxps://favorites.live.com/cab/ImportAx.cab?v=13,0,1609,00
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-02 21:38
Windows 5.1.2600 Service Pack 3, v.3264 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(928)
e:\windows\system32\vrlogon.dll
e:\windows\system32\psqlpwd.dll
e:\programme\Protector Suite QL\homefus2.dll
e:\programme\Protector Suite QL\infra.dll
e:\programme\Protector Suite QL\homepass.dll
e:\programme\Protector Suite QL\bio.dll
e:\programme\Protector Suite QL\remote.dll
e:\windows\system32\VESWinlogon.dll
e:\programme\Protector Suite QL\crypto.dll

- - - - - - - > 'lsass.exe'(984)
e:\windows\system32\psqlpwd.dll
e:\programme\Protector Suite QL\homefus2.dll
e:\programme\Protector Suite QL\infra.dll
.
Zeit der Fertigstellung: 2009-09-02 21:40
ComboFix-quarantined-files.txt 2009-09-02 19:40

Vor Suchlauf: 9 Verzeichnis(se), 39.670.378.496 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 47.204.491.264 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
e:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

254 --- E O F --- 2009-09-02 07:10
Seitenanfang Seitenende
03.09.2009, 08:44
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 CombiFix entfernen
Start > Ausführen> Kopiere rein ComboFix /U OK

SDFix
Download SDFix zum Desktop
Platform: Windows 2000 und Windows XP
SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner
Doppelklick RunThis.bat
Waehle im Fenster Option 3 >Enter



Unzip die Daten en waehle am Ende Close >Enter
Jetzt wird Sophos ge-updated
Waehle im naechsten Fenster Option 5 >Enter


Waehrend SDFix lauft kein andere sachen am Rechner ausfuehren

Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte

Kopiere den Inhalt des Berichts SophosReport.txt in diesen Thread
Note:Wenn die Immunisierfunktion von Spybot s&d benutzt wird,nachher wieder installieren,weil SDFix sie entfernt

Und ein log von Hijack This

Wie ich sehe hast du Kaspersky AVP auch in Normal Modus benuztz

Start>Ausfuehren> Kopiere rein msconfig ok >>Reiter systemstart
Entferne bei is-FV97I.lnk den Haken und starte neu

Im Datei Virus Removal Tool auf dein Desktop gibt es ein UnInstaller benutze es
dabei muss der Rechner wieder neu gestartet werden
__________
MfG Argus
Seitenanfang Seitenende
03.09.2009, 16:09
Member

Themenstarter

Beiträge: 12
#9 mhhh, ich hatte diese Optionen gar nicht, das Programm hat sofort losgelegt und folgenden Report erstellt. Ich denke Sophos wurde gar nicht benutzt. Ich mache das ganze nochmal.


SDFix: Version 1.240
Run by w*****m on 03.09.2009 at 15:43

Microsoft Windows XP [Version 5.1.2600]
Running From: E:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-03 15:58:03
Windows 5.1.2600 Service Pack 3, v.3264 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"E:\\Programme\\Microsoft Visual Studio\\Common\\Tools\\VS-Ent98\\Vanalyzr\\VARPC.EXE"="E:\\Programme\\Microsoft Visual Studio\\Common\\Tools\\VS-Ent98\\Vanalyzr\\VARPC.EXE:*:Enabled:Microsoft (R) Visual Studio VSA RPC Event Creator"
"E:\\WINDOWS\\system32\\AUTMGR32.EXE"="E:\\WINDOWS\\system32\\AUTMGR32.EXE:*;)isabled:Microsoft Remote-Automatisierungs-Manager fr Windows NT(TM)"
"E:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"="E:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE:*:Enabled:AVM FRITZ!DSL - igdctrl.exe"
"E:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"="E:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE:*:Enabled:AVM FRITZ!DSL - fboxupd.exe"
"E:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"="E:\\Programme\\FRITZ!DSL\\WebwaIgd.exe:*:Enabled:AVM FRITZ!DSL - webwaigd.exe"
"E:\\WINDOWS\\system32\\dpvsetup.exe"="E:\\WINDOWS\\system32\\dpvsetup.exe:*;)isabled:Microsoft DirectPlay Voice Test"
"E:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="E:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"E:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="E:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"E:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="E:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"E:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="E:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"E:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe"="E:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe:*:Enabled:XPressUpdate"
"E:\\Dokumente und Einstellungen\\w*****m\\Lokale Einstellungen\\Anwendungsdaten\\Xenocode\\Sandbox\\Fax\\1.0.0.35\\2008.08.26T21.34\\Native\\STUBEXE\\@PROGRAMFILES@\\Skype\\Phone\\Skype.exe"="E:\\Dokumente und Einstellungen\\w*****m\\Lokale Einstellungen\\Anwendungsdaten\\Xenocode\\Sandbox\\Fax\\1.0.0.35\\2008.08.26T21.34\\Native\\STUBEXE\\@PROGRAMFILES@\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"E:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="E:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"E:\\Programme\\FileZilla FTP Client\\filezilla.exe"="E:\\Programme\\FileZilla FTP Client\\filezilla.exe:*:Enabled:FileZilla FTP Client"
"E:\\Programme\\Skype\\Phone\\Skype.exe"="E:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"E:\\Programme\\SmartFTP Client\\SmartFTP.exe"="E:\\Programme\\SmartFTP Client\\SmartFTP.exe:*:Enabled:SmartFTP Client 3.0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"E:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="E:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"E:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="E:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"E:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="E:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"E:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="E:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"E:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="E:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

Remaining Files :



Files with Hidden Attributes :

Thu 9 Apr 2009 738,640 A..H. --- "E:\Programme\Syberia\Game.exe"
Tue 18 Nov 2008 21,504 A..H. --- "E:\Dokumente und Einstellungen\w*****m\Anwendungsdaten\Microsoft\Emulator for Windows CE\VPCKeyboard.dll"
Tue 14 Mar 2006 49,152 ...H. --- "E:\Programme\Trolltech\Qt VS Integration\bin\7.1\Qt4VSa.dll"
Tue 22 Jan 2008 55,250 A..H. --- "E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\visualstudio\7.1\vs000223.tmp"

Finished!
Seitenanfang Seitenende
03.09.2009, 17:20
Member

Themenstarter

Beiträge: 12
#10 Ahhh, ok das lag daran, dss ichs im abgesicherten Modus ausgeführt hatte. Im Normalmodus ging es dann (fast), ich komme nur bis zum Sophos update, wenn ich danach eine beliebige Taste zum Fortsetzen drücke, schließt sich das Fenster und es passiert nichts mehr. Was mache ich falsch?
Seitenanfang Seitenende
04.09.2009, 10:50
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#11 Warten bis das Tool angibt "druecke eine beliebege Taste"
Bei mir lauft Sophos gerade

__________
MfG Argus
Seitenanfang Seitenende
04.09.2009, 12:55
Member

Themenstarter

Beiträge: 12
#12 OK, jetzt aber:

Sophos Anti-Virus
Version 4.45.0 [Win32/Intel]
Virus data version 4.45E, September 2009
Includes detection for 986561 viruses, trojans and worms
Copyright (c) 1989-2009 Sophos Plc. All rights reserved.

System time 11:02:28, System date 04 September 2009
Command line qualifiers are: -f -di -nc -nb -dn --stop-scan -idedir=E:\SDFix\IDE -p=E:\SDFix\SophosReport.txt

Full Scanning

Password protected file C:\Dokumente\B*****t\Intern\Hontafel2002.xls
Password protected file C:\Dokumente\Privat\Sport\IS-Kalender.xls
Password protected file C:\Dokumente\Privat\Sport\IS-Komplett.xls

2 boot sectors swept.
65955 files swept in 1 hour, 41 minutes and 45 seconds.
3 errors were encountered.
No viruses were discovered.
3 encrypted files were not checked.
Ending Sophos Anti-Virus.
Seitenanfang Seitenende
04.09.2009, 13:01
Member

Themenstarter

Beiträge: 12
#13 Und HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:59:24, on 04.09.2009
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Intel\Wireless\Bin\S24EvMon.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir Desktop\sched.exe
E:\Programme\Avira\AntiVir Desktop\avguard.exe
E:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
E:\WINDOWS\system32\IFXSPMGT.exe
E:\WINDOWS\system32\IFXTCS.exe
E:\Programme\FRITZ!DSL\IGDCTRL.EXE
E:\WINDOWS\system32\IfxPsdSv.exe
E:\Programme\Intel\Wireless\Bin\RegSrvc.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Sony\VAIO Event Service\VESMgr.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\TortoiseSVN\bin\TSVNCache.exe
E:\WINDOWS\system32\hkcmd.exe
E:\WINDOWS\vsnpstd.exe
E:\Programme\Protector Suite QL\psqltray.exe
E:\Programme\Sony\ISB Utility\ISBMgr.exe
E:\Programme\Sony\VAIO Power Management\SPMgr.exe
E:\Programme\Sony\VAIO Power Management\OPT Drive Power Saving.EXE
E:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
E:\Programme\Avira\AntiVir Desktop\avgnt.exe
E:\Programme\PDFDrucker\PDFPrintBackend.exe
E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Infineon\Security Platform Software\PSDrt.exe
E:\Programme\Infineon\Security Platform Software\SpTna.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Programme\Outlook Express\msimn.exe
E:\Programme\OE-QuoteFix\oequotefix.exe
E:\Programme\Microsoft Office\Office10\EXCEL.EXE
E:\Programme\StarMoney 6.0 S-Edition\StarMoney.exe
E:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Dokumente\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://b*****t.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - E:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - E:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - E:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - E:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [AzMixerSel] E:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [IgfxTray] E:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] E:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PSQLLauncher] "E:\Programme\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [snpstd] E:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [ISBMgr.exe] E:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [SonyPowerCfg] "E:\Programme\Sony\VAIO Power Management\SPMgr.exe"
O4 - HKLM\..\Run: [OPT Drive Power Saving] "E:\Programme\Sony\VAIO Power Management\OPT Drive Power Saving.EXE"
O4 - HKLM\..\Run: [Switcher.exe] "E:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe"
O4 - HKLM\..\Run: [IFXSPMGT] E:\WINDOWS\system32\IFXSPMGT.exe /NotifyLogon
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [PDFPrint] "E:\Programme\PDFDrucker\PDFPrintBackend.exe"
O4 - HKLM\..\Run: [Google Quick Search Box] "E:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun
O4 - HKCU\..\Run: [swg] "E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: is-FV97I.lnk = E:\Programme\Virus Removal Tool\is-FV97I\startup.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zu &Windows Live Favorites hinzufügen - h**p://favorites.live.com/quickadd.aspx
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - E:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {03B39B10-9AB9-4DBB-8189-7F76E0CE5F3F} (FavImport Class) - h**ps://favorites.live.com/cab/ImportAx.cab?v=13,0,1609,00
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200763801062
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - h**p://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file:///E:/Programme/AutoCAD%202002%20Deu/AcPreview.ocx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - (no file)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - E:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Google Software Updater (gusvc) - Google - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - E:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - E:\WINDOWS\system32\IFXTCS.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - E:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Personal Secure Drive-Dienst (PersonalSecureDriveService) - Infineon Technologies AG - E:\WINDOWS\system32\IfxPsdSv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - E:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: VAIO Event Service - Sony Corporation - E:\Programme\Sony\VAIO Event Service\VESMgr.exe

--
End of file - 8970 bytes
Seitenanfang Seitenende
04.09.2009, 15:12
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#14 Sowas braucht man hier nicht zu machen "h**p://b*****t.de/" ;)
Wir sind hier nicht bei Trojaner Board

Wuerde mich interessieren was eScan jetzt noch findet
Entferne es und lade es neu runter und poste das Log
Früher benutze ich eScan und auf eine meine Rechner lauft es noch bis 2011
Gibt leider viele "False Positive"an findet also sachen die gar nicht da sind
Hatte mir vor ein par Wochen nochmal ein Trail runter geladen und da steckt jetzt ein E-mal Spamfilter mit drin danach bekam ich an die 50 Mails pro Tag
__________
MfG Argus
Seitenanfang Seitenende
04.09.2009, 17:18
Member

Themenstarter

Beiträge: 12
#15 Hallo Argus,

ich mache die **** vor allem um meinen Firmennamen zu entfernen, meine Kunden sollen, wenn sie bei Google nach meiner Firma suchen nicht unbedingt auf dieser Seite hier landen :-)

eScan hat noch einiges gefunden, wobei vor allem die Kundendaten.exe auf jeden Fall ein echter Treffer war, warum die bisher von den Scannern nicht beseitigt wurde, verstehe ich nicht. Was mit den anderen Funden ist, kann ich nicht beurteile:

Invalid Entry DllName = appmgmts.dll (in key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Action Taken: Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}.
Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "InstantAccess Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "Spyware.ExpressKeylog Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "AntiSpyware Pro XP Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "Spyware.KeyProwler Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\VisualStudio.VSPolicyExtenderProvider.8.0" verweist auf das ungültige Objekt "{2AA841FA-72CF-493d-BD95-81E46540BEC8}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "E:\WINDOWS\Downloaded Program Files\gp.ocx". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\x86\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\sh4\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\mipsIV_fp\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\mipsIV\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\mipsII_fp\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\mipsII\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\mips16\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\armV4i\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\armV4t\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\armV4\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\sdk\inc\coreconui.h". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\bin\ccfilevw.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".bak". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "B**** Software 2009-6 Professional". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "B***** Software 2009-6 Standard". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "B***** Mobile für Pocket PC 2009-6". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "L***** 2009-6 versión completa". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "L***** 2009-6 versión gratis". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "tulox-Wörterbuch". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\B****t\Entwicklung\Online-B****h\Kundendaten\Kundendaten.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\RECYCLER\S-1-5-21-1220945662-884357618-1801674531-1004\Dc15.exe ist durch den Virus "Exe.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\RECYCLER\S-1-5-21-1220945662-884357618-1801674531-1004\Dc31.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Programme\Microsoft ACT\ActPrjProjectItems\ACT\ACTBrowserRecord.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Programme\Microsoft ACT\ActPrjProjectItems\ACT\ACTFile.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Programme\Microsoft Visual Studio .NET 2003\VC#\CSharpProjectItems\VBScript.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Programme\Microsoft Visual Studio 8\Common7\IDE\ItemTemplatesCache\CSharp\1033\VBScript.zip\VBScript.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Seitenanfang Seitenende