Trojaner TR/Crypt.CFI.Gen kommt immer wieder |
||
---|---|---|
#0
| ||
31.08.2009, 23:12
Member
Beiträge: 12 |
||
|
||
01.09.2009, 02:55
Ehrenmitglied
Beiträge: 6028 |
#2
Scanne mit das AVP von Kaspersky,schalte dabei dein eigener Virenscanner ab
http://www.virus-protect.org/artikel/tools/kaspersky.html Download : http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/ Und poste das Log in dein naechten Antwort __________ MfG Argus |
|
|
||
01.09.2009, 12:15
Member
Themenstarter Beiträge: 12 |
#3
Hallo Argus,
vielen Dank, leider funktioniert der Downloadlink nicht, wo finde ich das Tool? Gruß Anton |
|
|
||
01.09.2009, 13:11
Ehrenmitglied
Beiträge: 6028 |
||
|
||
02.09.2009, 20:05
Member
Themenstarter Beiträge: 12 |
#5
Hallo,
OK, vielen Dank, hat leider etwas gedauert, aber hier das Log: Scan ---- Scanned: 1498081 Detected: 3 Untreated: 0 Start time: 02.09.2009 10:23:52 Duration: 09:38:11 Finish time: 02.09.2009 20:02:03 Detected -------- Status Object ------ ------ deleted: Trojan program Exploit.HTML.Iframe.FileDownload (modification) Email message body: Hauptidentität\Lokale Ordner\Posteingang\****\Allgemein\[From:"Mail Delivery Subsystem" <MAILER-DAEMON@milestone.prohost.de>][Subject:Message is infected : Returned mail: see transcript for details][Time:2003/08/16 16:38:06]/message/rfc822/text/html deleted: virus Email-Worm.Win32.Klez.h Email message attachment: Hauptidentität\Lokale Ordner\Posteingang\****\Allgemein\[From:"Mail Delivery Subsystem" <MAILER-DAEMON@milestone.prohost.de>][Subject:Message is infected : Returned mail: see transcript for details][Time:2003/08/16 16:38:06]/message/rfc822/src.bat deleted: virus Email-Worm.Win32.Bagle.i Email message attachment: Hauptidentität\Lokale Ordner\Posteingang\****\Allgemein\[From:<administration@plusaufbau.com>][Subject:Message is infected : Warning about your e-mail account.][Time:2004/03/04 06:46:19]/TextDocument.zip Events ------ Time Name Status Reason ---- ---- ------ ------ 02.09.2009 10:24:32 Running module: smss.exe\smss.exe ok scanned Statistics ---------- Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted ------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ --------- Settings -------- Parameter Value --------- ----- Security Level Recommended Action Prompt for action when the scan is complete Run mode Manually File types Scan all files Scan only new and changed files No Scan archives All Scan embedded OLE objects All Skip if object is larger than No Skip if scan takes longer than No Parse email formats No Scan password-protected archives No Enable iChecker technology No Enable iSwift technology No Show detected threats on "Detected" tab Yes Rootkits search Yes Deep rootkits search No Use heuristic analyzer Yes Quarantine ---------- Status Object Size Added ------ ------ ---- ----- Backup ------ Status Object Size ------ ------ ---- |
|
|
||
02.09.2009, 20:43
Ehrenmitglied
Beiträge: 6028 |
#6
ComboFix© by sUBs)
Download ComboFix und speichert es auf den Desktop! Download link 1 ComboFix© by sUBs Download link 2 ComboFix© by sUBs Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner Schalte diese scanner dann aus und download ComboFix erneut Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen Starte combofix.exe Folge den Instruktionen in das Fenster Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" Befolge diese Anleitung __________ MfG Argus |
|
|
||
02.09.2009, 21:49
Member
Themenstarter Beiträge: 12 |
#7
ComboFix 09-09-01.07 - w****m 02.09.2009 21:32.2.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2038.1448 [GMT 2:00] ausgeführt von:: e:\dokumente und einstellungen\w****m\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . e:\windows\AegisP.inf e:\windows\system32\mdm.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-08-02 bis 2009-09-02 )))))))))))))))))))))))))))))) . 2009-09-02 07:40 . 2009-09-02 19:38 7858208 --sha-w- e:\windows\system32\drivers\fidbox.dat 2009-09-02 07:40 . 2009-09-02 07:40 -------- d-----w- e:\windows\LastGood 2009-09-02 07:40 . 2008-07-08 12:54 148496 ----a-w- e:\windows\system32\drivers\89995536.sys 2009-09-02 07:40 . 2009-09-02 19:21 -------- d-----w- e:\programme\Virus Removal Tool 2009-08-31 23:52 . 2009-08-31 23:52 -------- d-----w- e:\windows\system32\wbem\Repository 2009-08-31 23:48 . 2009-08-31 23:48 -------- d-----w- E:\Vuze 2009-08-31 23:47 . 2009-08-31 23:48 -------- d-----w- e:\programme\Backgammon Pro 2009-08-31 23:47 . 2009-08-31 23:47 -------- d-----w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\BigFishGamesCache 2009-08-31 23:47 . 2009-08-31 23:47 -------- d-----w- e:\programme\bfgclient 2009-08-31 16:33 . 2009-08-31 23:46 -------- d-----w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld 2009-08-31 15:48 . 2009-08-31 15:48 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\Malwarebytes 2009-08-31 15:48 . 2009-08-31 15:48 -------- d-----w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-08-31 15:48 . 2009-08-31 23:46 -------- d-----w- e:\programme\Malwarebytes' Anti-Malware 2009-08-27 22:12 . 2009-08-31 23:46 -------- d-----w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-08-27 22:12 . 2009-08-31 23:46 -------- d-----w- e:\programme\Spybot - Search & Destroy 2009-08-26 14:23 . 2009-08-26 14:23 -------- d-----w- e:\programme\b****t(2) 2009-08-26 14:16 . 2009-08-26 14:16 -------- d-----w- e:\programme\b****t(3) 2009-08-16 14:42 . 2009-08-16 14:42 -------- d-----w- e:\dokumente und einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\Microsoft Help 2009-08-16 14:40 . 2009-08-16 14:42 -------- d-----w- e:\dokumente und einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\Microsoft 2009-08-16 14:40 . 2009-08-16 14:40 -------- d-----w- e:\windows\system32\Visual Studio 2005Templates 2009-08-16 14:40 . 2009-08-16 14:40 -------- d-----w- e:\windows\system32\Visual Studio 2005 2009-08-16 14:38 . 2009-08-16 14:38 -------- d-----w- e:\programme\CE Remote Tools 2009-08-14 00:59 . 2009-08-14 00:59 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\SmartFTP 2009-08-14 00:57 . 2009-08-14 00:57 -------- d-----w- e:\programme\SmartFTP Client 2009-08-14 00:57 . 2009-08-14 00:57 -------- d-----w- e:\programme\SmartFTP Client 3.0 Setup Files 2009-08-13 13:29 . 2009-08-31 23:48 -------- d-----w- e:\programme\b****t 2009-08-11 23:09 . 2009-08-12 23:23 -------- d-----w- e:\programme\Emailfactory 2009-08-11 22:04 . 2009-08-31 23:47 -------- d-----w- e:\programme\SendBlaster . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-09-02 19:20 . 2009-09-02 07:40 70352 --sha-w- e:\windows\system32\drivers\fidbox.idx 2009-09-02 19:12 . 2008-01-19 13:43 -------- d-----w- e:\programme\EasyClean 2009-09-02 18:26 . 2008-01-20 19:52 -------- d-----w- e:\programme\StarMoney 6.0 S-Edition 2009-09-02 16:49 . 2008-01-23 19:38 -------- d-----w- e:\programme\OE-QuoteFix 2009-09-02 07:08 . 2008-01-21 22:06 -------- d-----w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2009-08-31 23:48 . 2009-05-27 15:10 -------- d-----w- e:\programme\PDFDrucker 2009-08-31 23:48 . 2009-05-07 23:47 -------- d-----w- e:\programme\Backgammon 2009-08-31 23:47 . 2009-06-03 18:18 -------- d-----w- e:\programme\DivX 2009-08-31 23:47 . 2009-06-03 18:23 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\DivX 2009-08-31 23:47 . 2009-06-03 18:18 -------- d-----w- e:\programme\Gemeinsame Dateien\DivX Shared 2009-08-31 23:47 . 2008-01-21 20:43 -------- d-----w- e:\programme\Google 2009-08-31 23:47 . 2008-01-21 18:22 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\PADGen 2009-08-31 23:47 . 2008-01-21 18:24 -------- d-----w- e:\programme\Ghostscript 2009-08-31 23:47 . 2009-06-24 22:08 -------- d-----w- e:\programme\Syberia 2009-08-31 23:47 . 2009-05-29 23:43 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\Azureus 2009-08-31 23:47 . 2009-06-02 17:17 -------- d-----w- e:\programme\Windiff 2009-08-31 23:47 . 2009-05-29 23:41 -------- d-----w- e:\programme\Gemeinsame Dateien\i4j_jres 2009-08-31 23:30 . 2008-10-16 09:55 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\Skype 2009-08-31 22:59 . 2008-10-16 09:56 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\skypePM 2009-08-28 23:16 . 2009-01-27 10:18 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\FileZilla 2009-08-26 15:28 . 2009-05-29 23:43 -------- d-----w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Azureus 2009-08-20 14:13 . 2009-05-08 17:33 -------- d-----w- e:\programme\PamFax 2009-08-14 15:30 . 2009-03-19 11:12 55656 ----a-w- e:\windows\system32\drivers\avgntflt.sys 2009-08-12 20:31 . 2003-04-02 12:00 91192 ----a-w- e:\windows\system32\perfc007.dat 2009-08-12 20:31 . 2003-04-02 12:00 450480 ----a-w- e:\windows\system32\perfh007.dat 2009-07-28 18:44 . 2009-07-24 20:50 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\TortoiseSVN 2009-07-24 17:53 . 2009-07-24 17:53 -------- d-----w- e:\dokumente und einstellungen\w****m\Anwendungsdaten\Subversion 2009-07-24 17:48 . 2009-07-24 17:48 -------- d-----w- e:\programme\TortoiseSVN 2009-07-24 17:48 . 2009-07-24 17:48 -------- d-----w- e:\programme\Gemeinsame Dateien\TortoiseOverlays 2009-07-22 19:25 . 2009-07-22 19:25 -------- d-----w- e:\programme\Baumonitor-Bauinformationssystem 2009-07-17 23:50 . 2009-07-17 23:50 -------- d-----w- e:\programme\Java 2009-07-17 01:56 . 2008-12-06 14:43 -------- d---a-w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-07-11 19:53 . 2009-03-19 10:48 -------- d-----w- e:\programme\FileZilla FTP Client . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal] @="{C5994560-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}] 2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified] @="{C5994561-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}] 2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict] @="{C5994562-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}] 2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked] @="{C5994563-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}] 2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly] @="{C5994564-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}] 2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted] @="{C5994565-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}] 2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded] @="{C5994566-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}] 2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored] @="{C5994567-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}] 2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned] @="{C5994568-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}] 2009-06-05 16:01 85712 ----a-w- e:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay] @="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}" [HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}] 2007-06-05 22:16 2955264 ----a-w- e:\programme\Protector Suite QL\farchns.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen] @="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}" [HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}] 2007-06-05 22:16 2955264 ----a-w- e:\programme\Protector Suite QL\farchns.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="e:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-23 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AzMixerSel"="e:\programme\Realtek\InstallShield\AzMixerSel.exe" [2008-01-19 53248] "IgfxTray"="e:\windows\system32\igfxtray.exe" [2008-01-19 141848] "HotKeysCmds"="e:\windows\system32\hkcmd.exe" [2008-01-19 162328] "PSQLLauncher"="e:\programme\Protector Suite QL\launcher.exe" [2007-06-05 49168] "snpstd"="e:\windows\vsnpstd.exe" [2004-06-10 286720] "ISBMgr.exe"="e:\programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768] "SonyPowerCfg"="e:\programme\Sony\VAIO Power Management\SPMgr.exe" [2007-08-21 217088] "OPT Drive Power Saving"="e:\programme\Sony\VAIO Power Management\OPT Drive Power Saving.EXE" [2007-08-21 1486848] "Switcher.exe"="e:\programme\Sony\Wireless Switch Setting Utility\Switcher.exe" [2007-08-31 503808] "IFXSPMGT"="e:\windows\system32\IFXSPMGT.exe" [2007-02-09 661024] "avgnt"="e:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "PDFPrint"="e:\programme\PDFDrucker\PDFPrintBackend.exe" [2005-07-03 71080] "Google Quick Search Box"="e:\programme\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-07-04 122368] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="e:\windows\System32\CTFMON.EXE" [2007-12-01 15360] e:\dokumente und einstellungen\w****m\Startmen\Programme\Autostart\ is-FV97I.lnk - e:\programme\Virus Removal Tool\is-FV97I\startup.exe [2009-9-2 65536] e:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - e:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "SynchronousMachineGroupPolicy"= 1 (0x1) "SynchronousUserGroupPolicy"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoStrCmpLogical"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMBalloonTip"= 1 (0x1) "FoFileAssociate"= 0 (0x0) "NoRecentDocsNetHood"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus] 2007-06-05 22:03 90112 ----a-w- e:\windows\system32\psqlpwd.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon] 2007-05-16 18:50 73728 ----a-w- e:\windows\system32\VESWinlogon.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli psqlpwd [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "usnjsvc"=3 (0x3) "MDM"=2 (0x2) "IGDCTRL"=2 (0x2) "gusvc"=3 (0x3) "EvtEng"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Persistence"=e:\windows\system32\igfxpers.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "e:\\Programme\\Microsoft Visual Studio\\Common\\Tools\\VS-Ent98\\Vanalyzr\\VARPC.EXE"= "e:\\WINDOWS\\system32\\AUTMGR32.EXE"= "e:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "e:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "e:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "e:\\WINDOWS\\system32\\dpvsetup.exe"= "e:\programme\Microsoft ActiveSync\rapimgr.exe"= e:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "e:\programme\Microsoft ActiveSync\wcescomm.exe"= e:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "e:\programme\Microsoft ActiveSync\WCESMgr.exe"= e:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "e:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "e:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe"= "e:\\Dokumente und Einstellungen\\w****m\\Lokale Einstellungen\\Anwendungsdaten\\Xenocode\\Sandbox\\Fax\\1.0.0.35\\2008.08.26T21.34\\Native\\STUBEXE\\@PROGRAMFILES@\\Skype\\Phone\\Skype.exe"= "e:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "e:\\Programme\\FileZilla FTP Client\\filezilla.exe"= "e:\\Programme\\Skype\\Phone\\Skype.exe"= "e:\\Programme\\SmartFTP Client\\SmartFTP.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R1 is-FV97Idrv;is-FV97Idrv;e:\windows\system32\drivers\89995536.sys [02.09.2009 09:40 148496] R1 PersonalSecureDrive;PersonalSecureDrive;e:\windows\system32\drivers\psd.sys [09.02.2007 08:12 39080] R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 13:12 108289] R2 IGDCTRL;AVM IGD CTRL Service;e:\programme\FRITZ!DSL\IGDCTRL.EXE [04.09.2007 11:14 87344] R3 5U870UVC;Sony Visual Communication Camera VGP-VCC7;e:\windows\system32\drivers\5U870UVCx86.sys [04.09.2007 10:30 70144] R3 IFXTPM;IFXTPM;e:\windows\system32\drivers\ifxtpm.sys [04.09.2007 10:52 41216] R3 SPI;Sony Programmable I/O Control Device;e:\windows\system32\drivers\SonyPI.sys [19.01.2008 02:27 71961] S2 VPCAppSv;Virtual PC Application Services;e:\windows\system32\drivers\VPCAppSv.sys [21.05.2002 00:31 10374] S3 ASPI;Advanced SCSI Programming Interface Driver;e:\windows\system32\drivers\ASPI32.SYS [04.11.2008 00:42 16512] S3 NDISLOOP;Virtual TT-DVB USB Adapter Driver;e:\windows\system32\drivers\ndisloop.sys [01.06.2008 21:30 39280] S3 TTDVBUSB;TechnoTrend - TT-DVB USB Driver;e:\windows\system32\drivers\ttdvbusb.sys [01.06.2008 21:34 39280] S4 msvsmon80;Visual Studio 2005 Remote Debugger;e:\programme\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [02.12.2006 07:17 2805000] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-GEKKOWBuch - (no file) HKLM-Run-NWEReboot - (no file) . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://b****t.de/ IE: Nach Microsoft &Excel exportieren - e:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: Zu &Windows Live Favorites hinzufügen - http://favorites.live.com/quickadd.aspx DPF: {03B39B10-9AB9-4DBB-8189-7F76E0CE5F3F} - hxxps://favorites.live.com/cab/ImportAx.cab?v=13,0,1609,00 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-09-02 21:38 Windows 5.1.2600 Service Pack 3, v.3264 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(928) e:\windows\system32\vrlogon.dll e:\windows\system32\psqlpwd.dll e:\programme\Protector Suite QL\homefus2.dll e:\programme\Protector Suite QL\infra.dll e:\programme\Protector Suite QL\homepass.dll e:\programme\Protector Suite QL\bio.dll e:\programme\Protector Suite QL\remote.dll e:\windows\system32\VESWinlogon.dll e:\programme\Protector Suite QL\crypto.dll - - - - - - - > 'lsass.exe'(984) e:\windows\system32\psqlpwd.dll e:\programme\Protector Suite QL\homefus2.dll e:\programme\Protector Suite QL\infra.dll . Zeit der Fertigstellung: 2009-09-02 21:40 ComboFix-quarantined-files.txt 2009-09-02 19:40 Vor Suchlauf: 9 Verzeichnis(se), 39.670.378.496 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 47.204.491.264 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] e:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn 254 --- E O F --- 2009-09-02 07:10 |
|
|
||
03.09.2009, 08:44
Ehrenmitglied
Beiträge: 6028 |
#8
CombiFix entfernen
Start > Ausführen> Kopiere rein ComboFix /U OK SDFix Download SDFix zum Desktop Platform: Windows 2000 und Windows XP SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklick RunThis.bat Waehle im Fenster Option 3 >Enter Unzip die Daten en waehle am Ende Close >Enter Jetzt wird Sophos ge-updated Waehle im naechsten Fenster Option 5 >Enter Waehrend SDFix lauft kein andere sachen am Rechner ausfuehren Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Kopiere den Inhalt des Berichts SophosReport.txt in diesen Thread Note:Wenn die Immunisierfunktion von Spybot s&d benutzt wird,nachher wieder installieren,weil SDFix sie entfernt Und ein log von Hijack This Wie ich sehe hast du Kaspersky AVP auch in Normal Modus benuztz Start>Ausfuehren> Kopiere rein msconfig ok >>Reiter systemstart Entferne bei is-FV97I.lnk den Haken und starte neu Im Datei Virus Removal Tool auf dein Desktop gibt es ein UnInstaller benutze es dabei muss der Rechner wieder neu gestartet werden __________ MfG Argus |
|
|
||
03.09.2009, 16:09
Member
Themenstarter Beiträge: 12 |
#9
mhhh, ich hatte diese Optionen gar nicht, das Programm hat sofort losgelegt und folgenden Report erstellt. Ich denke Sophos wurde gar nicht benutzt. Ich mache das ganze nochmal.
SDFix: Version 1.240 Run by w*****m on 03.09.2009 at 15:43 Microsoft Windows XP [Version 5.1.2600] Running From: E:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-09-03 15:58:03 Windows 5.1.2600 Service Pack 3, v.3264 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "E:\\Programme\\Microsoft Visual Studio\\Common\\Tools\\VS-Ent98\\Vanalyzr\\VARPC.EXE"="E:\\Programme\\Microsoft Visual Studio\\Common\\Tools\\VS-Ent98\\Vanalyzr\\VARPC.EXE:*:Enabled:Microsoft (R) Visual Studio VSA RPC Event Creator" "E:\\WINDOWS\\system32\\AUTMGR32.EXE"="E:\\WINDOWS\\system32\\AUTMGR32.EXE:*isabled:Microsoft Remote-Automatisierungs-Manager fr Windows NT(TM)" "E:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"="E:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE:*:Enabled:AVM FRITZ!DSL - igdctrl.exe" "E:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"="E:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE:*:Enabled:AVM FRITZ!DSL - fboxupd.exe" "E:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"="E:\\Programme\\FRITZ!DSL\\WebwaIgd.exe:*:Enabled:AVM FRITZ!DSL - webwaigd.exe" "E:\\WINDOWS\\system32\\dpvsetup.exe"="E:\\WINDOWS\\system32\\dpvsetup.exe:*isabled:Microsoft DirectPlay Voice Test" "E:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="E:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "E:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="E:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "E:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="E:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" "E:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="E:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call" "E:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe"="E:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe:*:Enabled:XPressUpdate" "E:\\Dokumente und Einstellungen\\w*****m\\Lokale Einstellungen\\Anwendungsdaten\\Xenocode\\Sandbox\\Fax\\1.0.0.35\\2008.08.26T21.34\\Native\\STUBEXE\\@PROGRAMFILES@\\Skype\\Phone\\Skype.exe"="E:\\Dokumente und Einstellungen\\w*****m\\Lokale Einstellungen\\Anwendungsdaten\\Xenocode\\Sandbox\\Fax\\1.0.0.35\\2008.08.26T21.34\\Native\\STUBEXE\\@PROGRAMFILES@\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" "E:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="E:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "E:\\Programme\\FileZilla FTP Client\\filezilla.exe"="E:\\Programme\\FileZilla FTP Client\\filezilla.exe:*:Enabled:FileZilla FTP Client" "E:\\Programme\\Skype\\Phone\\Skype.exe"="E:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" "E:\\Programme\\SmartFTP Client\\SmartFTP.exe"="E:\\Programme\\SmartFTP Client\\SmartFTP.exe:*:Enabled:SmartFTP Client 3.0" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "E:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="E:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "E:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="E:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "E:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="E:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" "E:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="E:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call" "E:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="E:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" Remaining Files : Files with Hidden Attributes : Thu 9 Apr 2009 738,640 A..H. --- "E:\Programme\Syberia\Game.exe" Tue 18 Nov 2008 21,504 A..H. --- "E:\Dokumente und Einstellungen\w*****m\Anwendungsdaten\Microsoft\Emulator for Windows CE\VPCKeyboard.dll" Tue 14 Mar 2006 49,152 ...H. --- "E:\Programme\Trolltech\Qt VS Integration\bin\7.1\Qt4VSa.dll" Tue 22 Jan 2008 55,250 A..H. --- "E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\visualstudio\7.1\vs000223.tmp" Finished! |
|
|
||
03.09.2009, 17:20
Member
Themenstarter Beiträge: 12 |
#10
Ahhh, ok das lag daran, dss ichs im abgesicherten Modus ausgeführt hatte. Im Normalmodus ging es dann (fast), ich komme nur bis zum Sophos update, wenn ich danach eine beliebige Taste zum Fortsetzen drücke, schließt sich das Fenster und es passiert nichts mehr. Was mache ich falsch?
|
|
|
||
04.09.2009, 10:50
Ehrenmitglied
Beiträge: 6028 |
#11
Warten bis das Tool angibt "druecke eine beliebege Taste"
Bei mir lauft Sophos gerade __________ MfG Argus |
|
|
||
04.09.2009, 12:55
Member
Themenstarter Beiträge: 12 |
#12
OK, jetzt aber:
Sophos Anti-Virus Version 4.45.0 [Win32/Intel] Virus data version 4.45E, September 2009 Includes detection for 986561 viruses, trojans and worms Copyright (c) 1989-2009 Sophos Plc. All rights reserved. System time 11:02:28, System date 04 September 2009 Command line qualifiers are: -f -di -nc -nb -dn --stop-scan -idedir=E:\SDFix\IDE -p=E:\SDFix\SophosReport.txt Full Scanning Password protected file C:\Dokumente\B*****t\Intern\Hontafel2002.xls Password protected file C:\Dokumente\Privat\Sport\IS-Kalender.xls Password protected file C:\Dokumente\Privat\Sport\IS-Komplett.xls 2 boot sectors swept. 65955 files swept in 1 hour, 41 minutes and 45 seconds. 3 errors were encountered. No viruses were discovered. 3 encrypted files were not checked. Ending Sophos Anti-Virus. |
|
|
||
04.09.2009, 13:01
Member
Themenstarter Beiträge: 12 |
#13
Und HijackThis:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:59:24, on 04.09.2009 Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Intel\Wireless\Bin\S24EvMon.exe E:\WINDOWS\system32\spoolsv.exe E:\Programme\Avira\AntiVir Desktop\sched.exe E:\Programme\Avira\AntiVir Desktop\avguard.exe E:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE E:\WINDOWS\system32\IFXSPMGT.exe E:\WINDOWS\system32\IFXTCS.exe E:\Programme\FRITZ!DSL\IGDCTRL.EXE E:\WINDOWS\system32\IfxPsdSv.exe E:\Programme\Intel\Wireless\Bin\RegSrvc.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Sony\VAIO Event Service\VESMgr.exe E:\WINDOWS\Explorer.EXE E:\Programme\TortoiseSVN\bin\TSVNCache.exe E:\WINDOWS\system32\hkcmd.exe E:\WINDOWS\vsnpstd.exe E:\Programme\Protector Suite QL\psqltray.exe E:\Programme\Sony\ISB Utility\ISBMgr.exe E:\Programme\Sony\VAIO Power Management\SPMgr.exe E:\Programme\Sony\VAIO Power Management\OPT Drive Power Saving.EXE E:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe E:\Programme\Avira\AntiVir Desktop\avgnt.exe E:\Programme\PDFDrucker\PDFPrintBackend.exe E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\Infineon\Security Platform Software\PSDrt.exe E:\Programme\Infineon\Security Platform Software\SpTna.exe E:\Programme\Internet Explorer\IEXPLORE.EXE E:\Programme\Outlook Express\msimn.exe E:\Programme\OE-QuoteFix\oequotefix.exe E:\Programme\Microsoft Office\Office10\EXCEL.EXE E:\Programme\StarMoney 6.0 S-Edition\StarMoney.exe E:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Dokumente\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://b*****t.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - E:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - E:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - E:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - E:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [AzMixerSel] E:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [IgfxTray] E:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] E:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [PSQLLauncher] "E:\Programme\Protector Suite QL\launcher.exe" /startup O4 - HKLM\..\Run: [snpstd] E:\WINDOWS\vsnpstd.exe O4 - HKLM\..\Run: [ISBMgr.exe] E:\Programme\Sony\ISB Utility\ISBMgr.exe O4 - HKLM\..\Run: [SonyPowerCfg] "E:\Programme\Sony\VAIO Power Management\SPMgr.exe" O4 - HKLM\..\Run: [OPT Drive Power Saving] "E:\Programme\Sony\VAIO Power Management\OPT Drive Power Saving.EXE" O4 - HKLM\..\Run: [Switcher.exe] "E:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe" O4 - HKLM\..\Run: [IFXSPMGT] E:\WINDOWS\system32\IFXSPMGT.exe /NotifyLogon O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [PDFPrint] "E:\Programme\PDFDrucker\PDFPrintBackend.exe" O4 - HKLM\..\Run: [Google Quick Search Box] "E:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun O4 - HKCU\..\Run: [swg] "E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: is-FV97I.lnk = E:\Programme\Virus Removal Tool\is-FV97I\startup.exe O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Zu &Windows Live Favorites hinzufügen - h**p://favorites.live.com/quickadd.aspx O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - E:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O16 - DPF: {03B39B10-9AB9-4DBB-8189-7F76E0CE5F3F} (FavImport Class) - h**ps://favorites.live.com/cab/ImportAx.cab?v=13,0,1609,00 O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200763801062 O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - h**p://www.adobe.com/products/acrobat/nos/gp.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file:///E:/Programme/AutoCAD%202002%20Deu/AcPreview.ocx O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - (no file) O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - E:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: Google Software Updater (gusvc) - Google - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - E:\WINDOWS\system32\IFXSPMGT.exe O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - E:\WINDOWS\system32\IFXTCS.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - E:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Personal Secure Drive-Dienst (PersonalSecureDriveService) - Infineon Technologies AG - E:\WINDOWS\system32\IfxPsdSv.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - E:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe O23 - Service: VAIO Event Service - Sony Corporation - E:\Programme\Sony\VAIO Event Service\VESMgr.exe -- End of file - 8970 bytes |
|
|
||
04.09.2009, 15:12
Ehrenmitglied
Beiträge: 6028 |
#14
Sowas braucht man hier nicht zu machen "h**p://b*****t.de/"
Wir sind hier nicht bei Trojaner Board Wuerde mich interessieren was eScan jetzt noch findet Entferne es und lade es neu runter und poste das Log Früher benutze ich eScan und auf eine meine Rechner lauft es noch bis 2011 Gibt leider viele "False Positive"an findet also sachen die gar nicht da sind Hatte mir vor ein par Wochen nochmal ein Trail runter geladen und da steckt jetzt ein E-mal Spamfilter mit drin danach bekam ich an die 50 Mails pro Tag __________ MfG Argus |
|
|
||
04.09.2009, 17:18
Member
Themenstarter Beiträge: 12 |
#15
Hallo Argus,
ich mache die **** vor allem um meinen Firmennamen zu entfernen, meine Kunden sollen, wenn sie bei Google nach meiner Firma suchen nicht unbedingt auf dieser Seite hier landen :-) eScan hat noch einiges gefunden, wobei vor allem die Kundendaten.exe auf jeden Fall ein echter Treffer war, warum die bisher von den Scannern nicht beseitigt wurde, verstehe ich nicht. Was mit den anderen Funden ist, kann ich nicht beurteile: Invalid Entry DllName = appmgmts.dll (in key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Action Taken: Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}. Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "InstantAccess Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "Spyware.ExpressKeylog Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "AntiSpyware Pro XP Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "Spyware.KeyProwler Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCR\VisualStudio.VSPolicyExtenderProvider.8.0" verweist auf das ungültige Objekt "{2AA841FA-72CF-493d-BD95-81E46540BEC8}". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "E:\WINDOWS\Downloaded Program Files\gp.ocx". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\x86\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\sh4\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\mipsIV_fp\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\mipsIV\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\mipsII_fp\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\mipsII\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\mips16\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\armV4i\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\armV4t\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\target\wce500\armV4\ccfwcli.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\sdk\inc\coreconui.h". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\CE Remote Tools\5.01\bin\ccfilevw.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".bak". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "B**** Software 2009-6 Professional". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "B***** Software 2009-6 Standard". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "B***** Mobile für Pocket PC 2009-6". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "L***** 2009-6 versión completa". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "L***** 2009-6 versión gratis". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "tulox-Wörterbuch". Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Dokumente\B****t\Entwicklung\Online-B****h\Kundendaten\Kundendaten.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\RECYCLER\S-1-5-21-1220945662-884357618-1801674531-1004\Dc15.exe ist durch den Virus "Exe.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\RECYCLER\S-1-5-21-1220945662-884357618-1801674531-1004\Dc31.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei E:\Programme\Microsoft ACT\ActPrjProjectItems\ACT\ACTBrowserRecord.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei E:\Programme\Microsoft ACT\ActPrjProjectItems\ACT\ACTFile.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei E:\Programme\Microsoft Visual Studio .NET 2003\VC#\CSharpProjectItems\VBScript.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei E:\Programme\Microsoft Visual Studio 8\Common7\IDE\ItemTemplatesCache\CSharp\1033\VBScript.zip\VBScript.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. |
|
|
||
ich hoffe, hier kann mir jemand helfen, ich habe o.g. Trojaner, später sind dann noch folgende weitere von Antivir gemeldet worden:
APPL/NirCMD.3
TR/PWS.45512
Der Trojaner legt exe-Dateien mit den Namen meiner Ordner an, ich habe keine der Dateien ausgeführt. Spybot im abgesichterten Modus ausgeführt, es wurde dabei festgestellt, dass das Windows Security Center deaktiviert war, das Problem hat Spybot dann behoben, es ist bei späteren Scans auch nicht mehr aufgetreten.
Nun habe ich Antivir agressiv konfiguriert und im abgesicherten Modus ausgeführt, dabei wurden 64 Funde gelöscht.
Solange ich nicht mit dem Internet verbunden bin, wird bei weiteren Scans auch nichts mehr gefunden.
Verbinde ich mich aber wieder mit dem Internet, meldet der AV Guard erneut den Virus (oder auch einen der anderen) und ein erneuter Scan bringt wieder zahlreiche Funde.
Hier mein HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:44:22, on 31.08.2009
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Intel\Wireless\Bin\S24EvMon.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir Desktop\sched.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\TortoiseSVN\bin\TSVNCache.exe
E:\WINDOWS\system32\hkcmd.exe
E:\WINDOWS\vsnpstd.exe
E:\Programme\Protector Suite QL\psqltray.exe
E:\Programme\Sony\ISB Utility\ISBMgr.exe
E:\Programme\Sony\VAIO Power Management\SPMgr.exe
E:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
E:\Programme\Avira\AntiVir Desktop\avgnt.exe
E:\Programme\PDFDrucker\PDF24Updater.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Avira\AntiVir Desktop\avguard.exe
E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
E:\WINDOWS\system32\IFXSPMGT.exe
E:\Programme\Sony\VAIO Power Management\OPT Drive Power Saving.exe
E:\WINDOWS\system32\IFXTCS.exe
E:\Programme\FRITZ!DSL\IGDCTRL.EXE
E:\WINDOWS\system32\IfxPsdSv.exe
E:\Programme\Intel\Wireless\Bin\RegSrvc.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Sony\VAIO Event Service\VESMgr.exe
E:\Programme\Infineon\Security Platform Software\PSDrt.exe
E:\Programme\Infineon\Security Platform Software\SpTna.exe
E:\WINDOWS\system32\NOTEPAD.EXE
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Outlook Express\msimn.exe
E:\Programme\OE-QuoteFix\oequotefix.exe
E:\Programme\EasyClean\EasyClean.exe
E:\WINDOWS\system32\wuauclt.exe
C:\Dokumente\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://bauskript.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - E:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - E:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - E:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: (no name) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - E:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] E:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [IgfxTray] E:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] E:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PSQLLauncher] "E:\Programme\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [snpstd] E:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [ISBMgr.exe] E:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [SonyPowerCfg] "E:\Programme\Sony\VAIO Power Management\SPMgr.exe"
O4 - HKLM\..\Run: [OPT Drive Power Saving] "E:\Programme\Sony\VAIO Power Management\OPT Drive Power Saving.EXE"
O4 - HKLM\..\Run: [Switcher.exe] "E:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe"
O4 - HKLM\..\Run: [IFXSPMGT] E:\WINDOWS\system32\IFXSPMGT.exe /NotifyLogon
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [PDFPrint] "E:\Programme\PDFDrucker\PDF24Updater.exe"
O4 - HKLM\..\Run: [Google Quick Search Box] "E:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zu &Windows Live Favorites hinzufügen - h**p://favorites.live.com/quickadd.aspx
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - E:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {03B39B10-9AB9-4DBB-8189-7F76E0CE5F3F} (FavImport Class) - https://favorites.live.com/cab/ImportAx.cab?v=13,0,1609,00
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200763801062
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - h**p://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file:///E:/Programme/AutoCAD%202002%20Deu/AcPreview.ocx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - (no file)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - E:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Google Software Updater (gusvc) - Google - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - E:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - E:\WINDOWS\system32\IFXTCS.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - E:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Personal Secure Drive-Dienst (PersonalSecureDriveService) - Infineon Technologies AG - E:\WINDOWS\system32\IfxPsdSv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - E:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: VAIO Event Service - Sony Corporation - E:\Programme\Sony\VAIO Event Service\VESMgr.exe
--
End of file - 9740 bytes
Ein Scan mit Malwarebytes hat keinen Fund ergeben.
Ein Scan mit eScan hat folgende Virenlog geliefert:
Invalid Entry DllName = appmgmts.dll (in key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Action Taken: Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}.
Objekt "InstantAccess Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "Cydoor.TOPicks.a Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "Cydoor.TOPicks.a Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "Spyware.KeyProwler Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "E:\WINDOWS\Downloaded Program Files\gp.ocx". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Entwicklung\Entwicklung.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Entwicklung\Entwürfe\Entwürfe.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Entwicklung\HOAI\HOAI.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Entwicklung\Online-*****\Entwicklung\Entwicklung.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Entwicklung\Online-*****\Kundendaten\Kundendaten.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Entwicklung\Online-*****\Online-*****.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Entwicklung\Übersetzungen\Übersetzungen.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Intern\Ideen!\Ideen!.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\*****\Intern\Intern.exe ist durch den Virus "Win32.Rontokbro.H (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\Data Owner.YOUR-74E600FAFB.exe ist durch den Virus "Exe.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{C98AE23E-93F0-4790-B4E7-86A8968C9ABC}\RP273\A0088968.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Programme\Microsoft ACT\ActPrjProjectItems\ACT\ACTBrowserRecord.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Programme\Microsoft ACT\ActPrjProjectItems\ACT\ACTFile.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Programme\Microsoft Visual Studio .NET 2003\VC#\CSharpProjectItems\VBScript.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\Programme\Microsoft Visual Studio 8\Common7\IDE\ItemTemplatesCache\CSharp\1033\VBScript.zip\VBScript.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\System Volume Information\_restore{C98AE23E-93F0-4790-B4E7-86A8968C9ABC}\RP276\A0090557.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\System Volume Information\_restore{C98AE23E-93F0-4790-B4E7-86A8968C9ABC}\RP279\A0102536.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\System Volume Information\_restore{C98AE23E-93F0-4790-B4E7-86A8968C9ABC}\RP282\A0103510.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\System Volume Information\_restore{C98AE23E-93F0-4790-B4E7-86A8968C9ABC}\RP283\A0103735.vbs ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Ich hoffe auf Hilfe, Vielen Dank!