Trojaner TR/Crypt.ZPACK.Gen mit Antivir. gefunden.

#0
20.06.2010, 01:11
Member

Themenstarter

Beiträge: 19
#16 OK, sollte wohl combofix /uninstall sein.

Jetzt hat es funktioniert.

Viele Grüße.
Seitenanfang Seitenende
20.06.2010, 09:28
Moderator

Beiträge: 5694
#17 Opps sorry mein Fehler ;) Nun noch den Onlinescan.
Seitenanfang Seitenende
20.06.2010, 11:43
Member

Themenstarter

Beiträge: 19
#18 Hallo Swiss,

hier das Ergebnis von f-secure:


Code

Online Scanner - Scanbericht - Sonntag, Juni 20, 2010 10:48:44Scanbericht
Sonntag, Juni 20, 2010 09:06:49 - 10:48:44
Name des Computers: METE
Scantyp: Scansystem für Malware, Spyware und Rootkits
Ziel: C:\ D:\



Keine Malware gefunden



Statistik
Gescannt:
  Dateien: 31911
  System: 3047
  Nicht gescannt: 10
Aktionen:
  Desinfiziert: 0
  Umbenannt: 0
  Gelöscht: 0
  Nicht bereinigt: 0
  Übermittelt: 0
Nicht gescannte Dateien:
  C:\PAGEFILE.SYS
  C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
  C:\WINDOWS\SYSTEM32\CONFIG\SAM
  C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
  C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
  C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
  C:\DOKUMENTE UND EINSTELLUNGEN\METIN\LOKALE
  EINSTELLUNGEN\TEMP\HSPERFDATA_METIN\2960
  C:\DOKUMENTE UND EINSTELLUNGEN\METIN\LOKALE
  EINSTELLUNGEN\TEMP\HSPERFDATA_METIN\3240
  C:\DOKUMENTE UND EINSTELLUNGEN\METIN\LOKALE
  EINSTELLUNGEN\TEMP\HSPERFDATA_METIN\3404



Optionen
Scan-Engines:
Scanoptionen:
  Festgelegte Dateien scannen: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS
  JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC
  DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO
  HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML XXX ANI
  AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
  Erweiterte Heuristik verwenden



  Copyright © 1998-2009 Produktsupport | Virusbeispiel an F-Secure senden
  F-Secure übernimmt keine Verantwortung für Material, das von Drittparteien
  erstellt oder veröffentlicht wurde, die mit den WWW-Seiten von F-Secure
  verlinkt sind. Falls von Ihnen nicht ausdrücklich anders angegeben, stimmen
  Sie durch das Übermitteln von Material auf einen unserer Server, zum Beispiel
  per E-Mail oder über F-Secure CGI E-Mail, zu, dass das von Ihnen zur Verfügung
  gestellte Material auf den WWW-Seiten von F-Secure oder in gedruckten
  Publikationen von F-Secure veröffentlicht werden darf. Sie gelangen auf die
  öffentliche Website von F-Secure, indem Sie auf unterstrichene Links klicken.
  Dabei wird Ihr Zugriff in unserer privaten Zugriffsstatistik mit Ihrem
  Domänennamen protokolliert. Diese Informationen werden nicht an Dritte
  weitergeleitet. Sie erklären sich damit einverstanden, in Zusammenhang mit von
  Ihnen übermitteltem Material keine rechtlichen Schritte gegen uns einzuleiten.
  Falls von Ihnen nicht ausdrücklich anders angegeben, berechtigen Sie F-Secure
  durch die Übermittlung von Material, alle darin beschriebenen Konzepte in
  Produkten oder Publikationen von F-Secure zu veröffentlichen, ohne dass
  F-Secure dafür verantwortlich zeichnet.


Die Deinstallation von f-secure hat nicht geklappt, weil ich den von Dir angegebenen Eintrag nicht finden und somit nicht fixen konnte.

Internet Explorer:
mit HJT folgenden Eintrag fixen:
O16 - DPF: {BDBDE413-7B1C-4V68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3)


Quelle: http://board.protecus.de/t39827.htm#ixzz0rNsx4huO

Hier das Ergebnis von hjt mit Scan only Scan(2):

Code

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:28:06, on 20.06.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\AirTies\ADSL Hizmet Programý\AirTies_util3.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Metin\Desktop\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AirTies ADSL Hizmet Programý.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe

--
End of file - 4987 bytes


Kein Eintrag, sowie Du ihn beschrieben hast.

Viele Grüße.
Seitenanfang Seitenende
20.06.2010, 18:28
Moderator

Beiträge: 5694
#19 Schritt 1

Erneuter Systemscan mit OTL

• Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.
Seitenanfang Seitenende
20.06.2010, 20:11
Member

Themenstarter

Beiträge: 19
#20 Hi Swiss,

dann kommen auch schon die beiden logfile von otl:

Code

OTL logfile created on: 20.06.2010 19:58:49 - Run 2
OTL by OldTimer - Version 3.2.6.0     Folder = C:\Dokumente und Einstellungen\Metin\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

502.00 Mb Total Physical Memory | 272.00 Mb Available Physical Memory | 54.00% Memory free
1.00 Gb Paging File | 1.00 Gb Available in Paging File | 77.00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39.06 Gb Total Space | 30.85 Gb Free Space | 78.99% Space Free | Partition Type: NTFS
Drive D: | 72.72 Gb Total Space | 70.42 Gb Free Space | 96.84% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: METE
Current User Name: Metin
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Dokumente und Einstellungen\Metin\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\AirTies\ADSL Hizmet Programý\AirTies_util3.exe ()
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - c:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe (Logitech Inc.)
PRC - C:\Programme\Launch Manager\HotkeyApp.exe (Wistron)
PRC - C:\Programme\Launch Manager\WButton.exe ()
PRC - C:\Programme\Launch Manager\LaunchAp.exe ()
PRC - C:\Programme\Launch Manager\ctrlvol.exe ()


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Dokumente und Einstellungen\Metin\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcInj.dll (Logitech Inc.)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (LVSrvLauncher) -- C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe (Logitech Inc.)
SRV - (LVPrcSrv) -- c:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe (Logitech Inc.)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
DRV - (cs429x) -- C:\WINDOWS\system32\drivers\cwawdm.sys (Applied Drivers Corporation)
DRV - (w29n51) Intel(R) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation)
DRV - (LVPr2Mon) -- C:\WINDOWS\system32\drivers\LVPr2Mon.sys ()
DRV - (LVMVDrv) -- C:\WINDOWS\system32\drivers\LVMVdrv.sys (Logitech Inc.)
DRV - (LVcKap) -- C:\WINDOWS\system32\drivers\Lvckap.sys ()
DRV - (LVUSBSta) -- C:\WINDOWS\system32\drivers\LVUSBSta.sys (Logitech Inc.)
DRV - (PID_PEPI) Logitech QuickCam IM(PID_PEPI) -- C:\WINDOWS\system32\drivers\LV302V32.SYS (Logitech Inc.)
DRV - (pepifilter) -- C:\WINDOWS\system32\drivers\lv302af.sys (Logitech Inc.)
DRV - (NSCIRDA) -- C:\WINDOWS\system32\drivers\nscirda.sys (National Semiconductor Corporation)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (DgiVecp) -- C:\WINDOWS\system32\drivers\DgivEcp.sys (DeviceGuys, Inc.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (bcm4sbxp) -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys (Broadcom Corporation)
DRV - (Hotkey) -- C:\WINDOWS\system32\drivers\HOTKEY.sys ()
DRV - (Wbutton) -- C:\WINDOWS\system32\drivers\Wbutton.sys ()
DRV - (QV2KUX) -- C:\WINDOWS\system32\drivers\qv2kux.sys (Microsoft Corporation)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



O1 HOSTS File: ([2010.06.16 07:54:31 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype add-on (mastermind)) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CtrlVol] C:\Programme\Launch Manager\ctrlvol.exe ()
O4 - HKLM..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe (Wistron)
O4 - HKLM..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Wbutton] C:\Programme\Launch Manager\Wbutton.exe ()
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AirTies ADSL Hizmet Programý.lnk = C:\Programme\AirTies\ADSL Hizmet Programý\AirTies_util3.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Angler.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Angler.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.03.27 11:23:35 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.06.20 11:28:51 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.06.20 09:06:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\F-Secure
[2010.06.20 00:35:37 | 000,000,000 | ---D | C] -- C:\RECYCLER(2)
[2010.06.20 00:35:26 | 000,000,000 | ---D | C] -- C:\ComboFix(2)
[2010.06.18 22:09:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.06.18 22:09:44 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.06.18 22:09:08 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.06.18 22:09:08 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.06.18 22:09:08 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.06.18 22:09:08 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.06.18 22:09:08 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.06.18 22:08:47 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010.06.18 06:41:07 | 000,572,416 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Metin\Desktop\OTL.exe
[2010.06.17 23:04:24 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Metin\Recent
[2010.06.17 22:54:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Metin\Anwendungsdaten\Malwarebytes
[2010.06.17 22:50:19 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.06.17 22:49:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.06.17 22:49:58 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.06.17 22:49:57 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.06.17 22:47:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Metin\Desktop\Malwarebytes146
[2010.06.17 21:58:15 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Metin\Desktop\HiJackThis204.exe
[2010.06.16 08:02:36 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2010.06.16 07:13:34 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010.06.15 22:47:03 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.06.15 21:25:47 | 000,000,000 | ---D | C] -- C:\Programme\Enigma Software Group
[2010.06.15 21:23:56 | 000,000,000 | ---D | C] -- C:\WINDOWS\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
[2010.06.15 21:23:21 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[2010.06.09 18:44:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Metin\Desktop\TBMM
[9 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.06.20 19:52:26 | 000,001,014 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.06.20 19:52:12 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.06.20 19:52:08 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.06.20 19:52:06 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.06.20 12:38:10 | 003,407,872 | ---- | M] () -- C:\Dokumente und Einstellungen\Metin\ntuser.dat
[2010.06.20 12:38:10 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Metin\ntuser.ini
[2010.06.20 12:36:00 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.06.20 00:51:03 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.06.18 22:11:40 | 000,731,136 | ---- | M] () -- C:\Dokumente und Einstellungen\Metin\Desktop\avenger.exe
[2010.06.18 22:08:51 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.06.18 22:08:51 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.06.18 22:08:51 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.06.18 22:08:51 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.06.18 22:08:51 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.06.18 14:40:05 | 000,284,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Metin\Desktop\Gmer-setup.rar
[2010.06.18 06:41:15 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Metin\Desktop\OTL.exe
[2010.06.18 06:39:02 | 000,027,648 | ---- | M] () -- C:\Dokumente und Einstellungen\Metin\Desktop\Schrittweise abarbeiten.doc
[2010.06.17 22:50:24 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.06.17 21:58:29 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Metin\Desktop\HiJackThis204.exe
[2010.06.17 20:09:14 | 000,022,016 | ---- | M] () -- C:\Dokumente und Einstellungen\Metin\Desktop\Birce Bebe hesap.xls
[2010.06.16 13:36:49 | 000,002,235 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2010.06.16 07:54:31 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.06.16 07:13:42 | 000,000,281 | RHS- | M] () -- C:\boot.ini
[2010.06.10 05:51:04 | 000,126,112 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[9 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.06.20 00:03:58 | 003,407,872 | ---- | C] () -- C:\Dokumente und Einstellungen\Metin\ntuser.dat
[2010.06.18 22:11:39 | 000,731,136 | ---- | C] () -- C:\Dokumente und Einstellungen\Metin\Desktop\avenger.exe
[2010.06.18 14:40:04 | 000,284,950 | ---- | C] () -- C:\Dokumente und Einstellungen\Metin\Desktop\Gmer-setup.rar
[2010.06.18 06:39:02 | 000,027,648 | ---- | C] () -- C:\Dokumente und Einstellungen\Metin\Desktop\Schrittweise abarbeiten.doc
[2010.06.17 22:50:24 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.06.16 07:13:42 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2010.06.16 07:13:38 | 000,262,448 | ---- | C] () -- C:\cmldr
[2010.06.15 08:57:27 | 000,000,012 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\qcopjv.dat
[2010.05.29 21:59:46 | 000,022,016 | ---- | C] () -- C:\Dokumente und Einstellungen\Metin\Desktop\Birce Bebe hesap.xls
[2010.03.14 21:48:49 | 000,008,843 | ---- | C] () -- C:\WINDOWS\System32\drivers\HOTKEY.sys
[2010.03.14 21:48:49 | 000,002,920 | ---- | C] () -- C:\WINDOWS\System32\drivers\WBUTTON.sys
[2008.05.08 22:15:26 | 000,050,127 | R--- | C] () -- C:\WINDOWS\System32\lvcoinst.ini
[2008.05.07 10:06:37 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.04.16 12:28:59 | 000,000,117 | ---- | C] () -- C:\WINDOWS\groupwar.ini
[2008.04.16 12:28:56 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\W2KUSBIF.DLL
[2008.04.16 12:28:56 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\spusbif.dll
[2008.04.16 12:28:56 | 000,001,593 | ---- | C] () -- C:\WINDOWS\System32\portex16.dll
[2008.04.16 12:28:48 | 000,118,784 | ---- | C] () -- C:\WINDOWS\dll2kusb.dll
[2008.04.16 12:28:48 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\USBPRN.DLL
[2008.04.16 12:28:47 | 000,135,104 | ---- | C] () -- C:\WINDOWS\Tab16d20.dll
[2008.04.16 12:28:47 | 000,118,784 | ---- | C] () -- C:\WINDOWS\DLL32.DLL
[2008.04.16 12:28:47 | 000,048,176 | ---- | C] () -- C:\WINDOWS\Imp16d20.dll
[2008.04.16 12:28:47 | 000,028,672 | ---- | C] () -- C:\WINDOWS\UninFolder.dll
[2008.04.16 12:28:47 | 000,028,672 | ---- | C] () -- C:\WINDOWS\SSTHUNK.DLL
[2008.04.16 12:28:47 | 000,012,800 | ---- | C] () -- C:\WINDOWS\SS16FT.DLL
[2008.04.16 12:28:47 | 000,011,079 | ---- | C] () -- C:\WINDOWS\LxUsbOpn.dll
[2008.04.16 12:28:47 | 000,002,770 | ---- | C] () -- C:\WINDOWS\SSDS32.INI
[2008.04.16 12:28:47 | 000,002,767 | ---- | C] () -- C:\WINDOWS\SSDEF32.INI
[2008.04.16 12:28:47 | 000,002,554 | ---- | C] () -- C:\WINDOWS\SSDS16.INI
[2008.04.16 12:28:47 | 000,002,478 | ---- | C] () -- C:\WINDOWS\ssnew05.ini
[2008.04.16 12:28:47 | 000,002,478 | ---- | C] () -- C:\WINDOWS\ssnew04.ini
[2008.04.16 12:28:47 | 000,002,477 | ---- | C] () -- C:\WINDOWS\ssnew01.ini
[2008.04.16 12:28:47 | 000,002,474 | ---- | C] () -- C:\WINDOWS\ssnew03.ini
[2008.04.16 12:28:47 | 000,002,474 | ---- | C] () -- C:\WINDOWS\ssnew02.ini
[2008.04.16 12:28:47 | 000,002,267 | ---- | C] () -- C:\WINDOWS\SSDEF16.INI
[2008.04.16 12:28:47 | 000,001,593 | ---- | C] () -- C:\WINDOWS\PORTEX16.DLL
[2008.04.16 12:28:47 | 000,000,272 | ---- | C] () -- C:\WINDOWS\MyScan.ini
[2008.04.16 12:27:59 | 000,007,889 | ---- | C] () -- C:\WINDOWS\System32\ssUsbW2k.dll
[2008.03.27 11:56:33 | 000,157,696 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2008.03.27 11:56:31 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\cpuinf32.dll
[2008.03.27 11:49:28 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.03.27 11:39:58 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll
[2008.03.27 11:26:22 | 000,001,082 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2007.02.06 17:45:04 | 000,025,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\LVPr2Mon.sys
[2007.02.06 17:42:40 | 001,691,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\Lvckap.sys
[2003.02.20 18:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
< End of report >



Code

OTL Extras logfile created on: 20.06.2010 19:58:49 - Run 2
OTL by OldTimer - Version 3.2.6.0     Folder = C:\Dokumente und Einstellungen\Metin\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

502.00 Mb Total Physical Memory | 272.00 Mb Available Physical Memory | 54.00% Memory free
1.00 Gb Paging File | 1.00 Gb Available in Paging File | 77.00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39.06 Gb Total Space | 30.85 Gb Free Space | 78.99% Space Free | Partition Type: NTFS
Drive D: | 72.72 Gb Total Space | 70.42 Gb Free Space | 96.84% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: METE
Current User Name: Metin
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\MSN Messenger\livecall.exe" = C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone) -- File not found

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Microsoft Games\Age of Empires II The Conquerors Expansion Trial\age2_x1t.exe" = C:\Programme\Microsoft Games\Age of Empires II The Conquerors Expansion Trial\age2_x1t.exe:*:Enabled:Age of Empires II Expansion -- File not found
"C:\Programme\TeamViewer\Version5\TeamViewer.exe" = C:\Programme\TeamViewer\Version5\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0D2EDE81-878F-400D-A5C3-3EC445F47750}" = Samsung SCX-4x16 Series (TWAIN)
"{1CE06390-46D0-11D6-8578-006008CA5356}" = SmarThru
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{35725FBC-A136-4A46-9F29-091759D9BB93}" = MVision
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.6
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics 2 Driver
"{91130407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Basic Edition 2003
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A81000000003}" = Adobe Reader 8.1.0 - Deutsch
"{BEF726DD-4037-4214-8C6A-E625C02D2870}" = Logitech Audio Echo Cancellation Component
"{C8B6F873-C0BA-413A-9F99-349A48AEA738}" = Logitech QuickCam
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{D0846526-66DD-4DC9-A02C-98F9A2806812}" = Launch Manager V1.0.8
"{D7EED707-41D5-434B-A8AE-620558AF1667}" = Winbond SmartIO Driver
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EA516024-D84D-41F1-814F-83175A6188F2}" = Logitech Video Enumerator
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"{FCA6A663-110C-40C6-B085-9C2469923326}" = Fernbedienungsfenster
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Agere Systems Soft Modem" = Agere Systems AC'97 Modem
"AirTies ADSL Hizmet Programý_is1" = AirTies ADSL Hizmet Programý 4.2.6.0
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"[url="http://www.ccleaner.de"]CCleaner[/url]" = [url="http://www.ccleaner.de"]CCleaner[/url] (remove only)
"Google Updater" = Google Updater
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"QcDrv" = Logitech® Camera-Treiber
"Samsung SCX-4x16 Series" = Samsung SCX-4x16 Series
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TeamViewer 5" = TeamViewer 5
"WIC" = Windows Imaging Component
"Winamp" = Winamp (remove only)
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"WinRAR archiver" = WinRAR archiver

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 17.06.2010 11:44:02 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 17.06.2010 14:03:38 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 17.06.2010 19:37:48 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 17.06.2010 23:58:28 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 18.06.2010 03:50:25 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 18.06.2010 08:03:32 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 18.06.2010 13:36:39 | Computer Name = METE | Source = Google Update | ID = 20
Description =

Error - 18.06.2010 16:24:08 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 20.06.2010 02:46:03 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 20.06.2010 02:47:35 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

[ System Events ]
Error - 16.06.2010 18:21:08 | Computer Name = METE | Source = Service Control Manager | ID = 7034
Description = Dienst "Windows-Bilderfassung (WIA)" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.

Error - 16.06.2010 18:21:16 | Computer Name = METE | Source = Service Control Manager | ID = 7034
Description = Dienst "Windows User Mode Driver Framework" wurde unerwartet beendet.
Dies ist bereits 1 Mal passiert.

Error - 17.06.2010 19:37:27 | Computer Name = METE | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   IntelIde

Error - 18.06.2010 15:28:02 | Computer Name = METE | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   IntelIde

Error - 18.06.2010 15:47:55 | Computer Name = METE | Source = w29n51 | ID = 5005
Description = Intel(R) PRO/Wireless 2200BG Network Connection : Interner Fehler
aufgetreten.

Error - 18.06.2010 16:22:36 | Computer Name =  | Source = EFS | ID = 333681
Description = Der Plug & Play-Dienst ist nicht bereit. Der EFS-Server wird nicht
versuchen, unterbrochene  Ver-/Entschlüsselungsvorgänge zu ermitteln.

Error - 18.06.2010 16:23:47 | Computer Name = METE | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   IntelIde

Error - 19.06.2010 03:23:10 | Computer Name = METE | Source = Service Control Manager | ID = 7034
Description = Dienst "Process Monitor" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.

Error - 19.06.2010 18:19:20 | Computer Name = METE | Source = Service Control Manager | ID = 7034
Description = Dienst "Process Monitor" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.

Error - 19.06.2010 18:44:16 | Computer Name = METE | Source = Service Control Manager | ID = 7034
Description = Dienst "Process Monitor" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.


< End of report >


Viele Grüße.
Seitenanfang Seitenende
20.06.2010, 22:47
Moderator

Beiträge: 5694
#21 Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.
BleepingComputer
ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte füge das C:\ComboFix.txt Log in deiner Antwort im Forum bei, so dass wir uns diese analysieren können.
Seitenanfang Seitenende
21.06.2010, 00:17
Member

Themenstarter

Beiträge: 19
#22 Hi Swiss,

hier die neue logfile Auswertung von Combo-Fix. Eine Bitte hab ich auch: Bitte teile mir doch immer kurz mit, warum wir bei den Aktionen gerade diesen Weg gehen. Es interessiert mich sehr. Danke !!!

Code

ComboFix 10-06-20.03 - Metin 20.06.2010  23:53:48.5.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.502.178 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Metin\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-05-20 bis 2010-06-20  ))))))))))))))))))))))))))))))
.

2010-06-20 07:06 . 2010-06-20 07:06    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\F-Secure
2010-06-19 22:38 . 2010-06-19 22:38    --------    d-----w-    c:\windows\system32\wbem\Repository
2010-06-19 22:35 . 2010-06-19 22:38    --------    d-----w-    C:\RECYCLER(2)
2010-06-19 22:35 . 2010-06-19 22:38    --------    d-----w-    C:\ComboFix(2)
2010-06-18 20:09 . 2010-06-18 20:09    --------    d-----w-    c:\programme\Gemeinsame Dateien\Java
2010-06-18 20:09 . 2010-06-18 20:09    503808    ----a-w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-2dca479b-n\msvcp71.dll
2010-06-18 20:09 . 2010-06-18 20:09    499712    ----a-w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-2dca479b-n\jmc.dll
2010-06-18 20:09 . 2010-06-18 20:09    348160    ----a-w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-2dca479b-n\msvcr71.dll
2010-06-18 20:09 . 2010-06-18 20:09    61440    ----a-w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7636ea9c-n\decora-sse.dll
2010-06-18 20:09 . 2010-06-18 20:09    12800    ----a-w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7636ea9c-n\decora-d3d.dll
2010-06-18 20:09 . 2010-06-18 20:08    411368    ----a-w-    c:\windows\system32\deployJava1.dll
2010-06-18 20:08 . 2010-06-18 20:08    --------    d-----w-    c:\programme\Java
2010-06-17 20:54 . 2010-06-17 20:54    --------    d-----w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Malwarebytes
2010-06-17 20:50 . 2010-04-29 13:39    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-17 20:49 . 2010-06-17 20:49    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-06-17 20:49 . 2010-04-29 13:39    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-06-17 20:49 . 2010-06-17 20:50    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-06-15 19:25 . 2010-06-15 19:25    --------    d-----w-    c:\programme\Enigma Software Group
2010-06-15 19:23 . 2010-06-15 20:24    --------    d-----w-    c:\windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
2010-06-15 19:23 . 2010-06-15 19:23    --------    d-----w-    c:\programme\Gemeinsame Dateien\Wise Installation Wizard

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-16 13:08 . 2008-03-27 18:05    --------    d-----w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Skype
2010-06-16 11:15 . 2008-03-27 19:07    --------    d-----w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\skypePM
2010-06-15 13:02 . 2010-06-15 13:02    12    ----a-w-    c:\windows\system32\config\systemprofile\Anwendungsdaten\qcopjv.dat
2010-06-15 06:57 . 2010-06-15 06:57    12    ----a-w-    c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\qcopjv.dat
2010-05-19 20:53 . 2008-04-29 18:18    --------    d-----w-    c:\programme\Google
2010-05-04 17:14 . 2004-09-29 18:47    832512    ----a-w-    c:\windows\system32\wininet.dll
2010-05-04 17:14 . 2004-08-04 12:00    78336    ----a-w-    c:\windows\system32\ieencode.dll
2010-05-04 17:14 . 2004-08-04 12:00    17408    ----a-w-    c:\windows\system32\corpol.dll
2010-05-02 08:24 . 2004-08-04 12:00    1851008    ----a-w-    c:\windows\system32\win32k.sys
2010-04-20 05:46 . 2004-08-04 12:00    285696    ----a-w-    c:\windows\system32\atmfd.dll
2010-03-28 04:18 . 2004-08-04 12:00    75392    ----a-w-    c:\windows\system32\perfc007.dat
2010-03-28 04:18 . 2004-08-04 12:00    416044    ----a-w-    c:\windows\system32\perfh007.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-09 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2008-02-02 88107]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2002-12-02 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2003-01-09 57418]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2002-10-23 163840]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2003-01-09 53248]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
AirTies ADSL Hizmet Programì.lnk - c:\programme\AirTies\ADSL Hizmet Programì\AirTies_util3.exe [2008-12-16 4491264]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-05-11 02:06    40048    ----a-w-    c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
2008-02-02 13:08    88107    ----a-w-    c:\windows\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-04 12:00    15360    ----a-w-    c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GW Port Controller]
2004-02-09 12:03    163840    ----a-w-    c:\programme\Samsung\SmarThru\Portctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2008-02-02 12:55    118784    ----a-w-    c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2008-02-02 12:55    155648    ----a-w-    c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
2007-02-07 23:12    488984    ----a-w-    c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2007-02-07 23:13    774168    ----a-w-    c:\programme\Logitech\QuickCam10\QuickCam10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50    155648    ----a-w-    c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2003-04-24 14:44    610304    ----a-w-    c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2003-04-24 14:51    110592    ----a-w-    c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [31.10.2009 00:16 108289]
S1 mailKmd;mailKmd; [x]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [13.12.2009 09:17 135664]
S3 WBMS;Winbond Memory Stick Storage (MS) Device Driver;c:\windows\system32\Drivers\WBMS.SYS --> c:\windows\system32\Drivers\WBMS.SYS [?]
S3 WBSD;Winbond Secure Digital Storage (SD/MMC) Device Driver;c:\windows\system32\Drivers\WBSD.SYS --> c:\windows\system32\Drivers\WBSD.SYS [?]
.
Inhalt des "geplante Tasks" Ordners

2010-06-20 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-12-09 20:58]

2010-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-13 07:16]

2010-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-13 07:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-20 23:59
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-06-21  00:04:53
ComboFix-quarantined-files.txt  2010-06-20 22:04
ComboFix2.txt  2010-06-19 22:57

Vor Suchlauf: 7 Verzeichnis(se), 33,052,393,472 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 33,451,819,008 Bytes frei

- - End Of File - - F8FE098BF04741E6960C9E87AFA7BAE3


Viele Grüße.
Seitenanfang Seitenende
21.06.2010, 20:51
Moderator

Beiträge: 5694
#23 Schritt 1

Programme deinstallieren

Da einige Programme und Anti-Spy-Programme uns u. U. bei der Bereinigung behindern (z. B. durch ständig laufende Hintergrundwächter), unnötig oder schädlich sind oder einfach nicht mehr gebraucht werden, bitte ich darum, die folgenden Programme über Systemsteuerung => Software komplett zu deinstallieren.

Code

Enigma Software Group
Berichte mir, falls sich ein Programm nicht deinstallieren lässt. Nach Beendigung der Bereinigung können wir schauen, welche davon Du wieder installieren kannst/sollest.

Schritt 2

Combofix mit Skript laufen lassen

Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
Danach wieder anstellen nicht vergessen!

Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.


Anwendung

• Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:

Code

KILLALL::

Driver::
mailKmd

File::
c:\windows\system32\config\systemprofile\Anwendungsdaten\qcopjv.dat
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\qcopjv.dat

Folder::
c:\programme\Enigma Software Group

• Speichere dies als CFScript.txt auf Deinem Desktop. Achte darauf, dass bei Dateityp "All types" aktiv ist.
.

.
• In Bezug auf obiges Bild, ziehe CFScript.txt in die Combo-Fix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt.
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
Seitenanfang Seitenende
21.06.2010, 23:45
Member

Themenstarter

Beiträge: 19
#24 Hallo Swiss,

ich habe nur malwarebytes über Systemsteuerung => Software komplett entfernen usw. entfernt.

Was ich mit Enigma Software Group machen soll habe ich nicht verstanden.

Dann noch das logfile von combofix mit reingezogenem Script.

Code

ComboFix 10-06-21.01 - Metin 21.06.2010  23:22:53.6.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.502.209 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Metin\Desktop\Combo-Fix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Metin\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\qcopjv.dat"
"c:\windows\system32\config\systemprofile\Anwendungsdaten\qcopjv.dat"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\qcopjv.dat
c:\programme\Enigma Software Group
c:\programme\Enigma Software Group\SpyHunter\Data\dns.dat
c:\programme\Enigma Software Group\SpyHunter\gil.dat
c:\programme\Enigma Software Group\SpyHunter\key.dat
c:\programme\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100615_212630.log
c:\programme\Enigma Software Group\SpyHunter\mon\autoexec.bat.bk
c:\programme\Enigma Software Group\SpyHunter\mon\hosts.bk
c:\programme\Enigma Software Group\SpyHunter\mon\system.ini.bk
c:\programme\Enigma Software Group\SpyHunter\mon\win.ini.bk
c:\programme\Enigma Software Group\SpyHunter\scan.log
c:\programme\Enigma Software Group\SpyHunter\supportlog.txt
c:\programme\Enigma Software Group\SpyHunter\unkcache.dat
c:\windows\system32\config\systemprofile\Anwendungsdaten\qcopjv.dat

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_mailKmd


(((((((((((((((((((((((   Dateien erstellt von 2010-05-21 bis 2010-06-21  ))))))))))))))))))))))))))))))
.

2010-06-20 07:06 . 2010-06-20 07:06    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\F-Secure
2010-06-19 22:38 . 2010-06-19 22:38    --------    d-----w-    c:\windows\system32\wbem\Repository
2010-06-19 22:35 . 2010-06-19 22:38    --------    d-----w-    C:\RECYCLER(2)
2010-06-19 22:35 . 2010-06-19 22:38    --------    d-----w-    C:\ComboFix(2)
2010-06-18 20:09 . 2010-06-18 20:09    --------    d-----w-    c:\programme\Gemeinsame Dateien\Java
2010-06-18 20:09 . 2010-06-18 20:09    503808    ----a-w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-2dca479b-n\msvcp71.dll
2010-06-18 20:09 . 2010-06-18 20:09    499712    ----a-w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-2dca479b-n\jmc.dll
2010-06-18 20:09 . 2010-06-18 20:09    348160    ----a-w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-2dca479b-n\msvcr71.dll
2010-06-18 20:09 . 2010-06-18 20:09    61440    ----a-w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7636ea9c-n\decora-sse.dll
2010-06-18 20:09 . 2010-06-18 20:09    12800    ----a-w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7636ea9c-n\decora-d3d.dll
2010-06-18 20:09 . 2010-06-18 20:08    411368    ----a-w-    c:\windows\system32\deployJava1.dll
2010-06-18 20:08 . 2010-06-18 20:08    --------    d-----w-    c:\programme\Java
2010-06-17 20:54 . 2010-06-17 20:54    --------    d-----w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Malwarebytes
2010-06-17 20:49 . 2010-06-17 20:49    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-06-15 19:23 . 2010-06-15 20:24    --------    d-----w-    c:\windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
2010-06-15 19:23 . 2010-06-15 19:23    --------    d-----w-    c:\programme\Gemeinsame Dateien\Wise Installation Wizard

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-16 13:08 . 2008-03-27 18:05    --------    d-----w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Skype
2010-06-16 11:15 . 2008-03-27 19:07    --------    d-----w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\skypePM
2010-05-19 20:53 . 2008-04-29 18:18    --------    d-----w-    c:\programme\Google
2010-05-04 17:14 . 2004-09-29 18:47    832512    ----a-w-    c:\windows\system32\wininet.dll
2010-05-04 17:14 . 2004-08-04 12:00    78336    ----a-w-    c:\windows\system32\ieencode.dll
2010-05-04 17:14 . 2004-08-04 12:00    17408    ----a-w-    c:\windows\system32\corpol.dll
2010-05-02 08:24 . 2004-08-04 12:00    1851008    ----a-w-    c:\windows\system32\win32k.sys
2010-04-20 05:46 . 2004-08-04 12:00    285696    ----a-w-    c:\windows\system32\atmfd.dll
2010-03-28 04:18 . 2004-08-04 12:00    75392    ----a-w-    c:\windows\system32\perfc007.dat
2010-03-28 04:18 . 2004-08-04 12:00    416044    ----a-w-    c:\windows\system32\perfh007.dat
.

(((((((((((((((((((((((((((((   SnapShot@2010-06-20_21.59.29   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-06-21 21:28 . 2010-06-21 21:28    16384              c:\windows\temp\Perflib_Perfdata_780.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-09 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2008-02-02 88107]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2002-12-02 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2003-01-09 57418]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2002-10-23 163840]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2003-01-09 53248]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
AirTies ADSL Hizmet Programì.lnk - c:\programme\AirTies\ADSL Hizmet Programì\AirTies_util3.exe [2008-12-16 4491264]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-05-11 02:06    40048    ----a-w-    c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
2008-02-02 13:08    88107    ----a-w-    c:\windows\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-04 12:00    15360    ----a-w-    c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GW Port Controller]
2004-02-09 12:03    163840    ----a-w-    c:\programme\Samsung\SmarThru\Portctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2008-02-02 12:55    118784    ----a-w-    c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2008-02-02 12:55    155648    ----a-w-    c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
2007-02-07 23:12    488984    ----a-w-    c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2007-02-07 23:13    774168    ----a-w-    c:\programme\Logitech\QuickCam10\QuickCam10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50    155648    ----a-w-    c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2003-04-24 14:44    610304    ----a-w-    c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2003-04-24 14:51    110592    ----a-w-    c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [31.10.2009 00:16 108289]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [13.12.2009 09:17 135664]
S3 WBMS;Winbond Memory Stick Storage (MS) Device Driver;c:\windows\system32\Drivers\WBMS.SYS --> c:\windows\system32\Drivers\WBMS.SYS [?]
S3 WBSD;Winbond Secure Digital Storage (SD/MMC) Device Driver;c:\windows\system32\Drivers\WBSD.SYS --> c:\windows\system32\Drivers\WBSD.SYS [?]
.
Inhalt des "geplante Tasks" Ordners

2010-06-21 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-12-09 20:58]

2010-06-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-13 07:16]

2010-06-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-13 07:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-21 23:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(5188)
c:\programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\AirTies\ADSL Hizmet Programý\AirTies_util3.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-21  23:32:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-06-21 21:32
ComboFix2.txt  2010-06-20 22:04
ComboFix3.txt  2010-06-19 22:57

Vor Suchlauf: 7 Verzeichnis(se), 33,379,893,248 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 33,370,779,648 Bytes frei

- - End Of File - - C11354DECDE40A5403834935F34CBAEE


Viele Grüße.
Seitenanfang Seitenende
22.06.2010, 07:37
Moderator

Beiträge: 5694
#25 Wie läuft die Kiste ;)
Seitenanfang Seitenende
22.06.2010, 14:42
Member

Themenstarter

Beiträge: 19
#26 Super, lief noch nie so gut :-)

Müssen wir noch was machen? Wie deinstalliere ich den avenger, otl und hijackthis204?

Ich fand das Ganze so faszienierend, dass ich auch als Virentöter arbeiten möchte. Wo kann ich mir die bzw. Deine Kenntnisse aneignen?

1000 Dank schon mal.

Viele Grüße.

PS: Ich möchte auch in den logfiles lesen können!!!
Seitenanfang Seitenende
22.06.2010, 19:35
Moderator

Beiträge: 5694
#27 Schritt 1

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben Combo-Fix.exe /uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.

Schritt 2

Tool-Bereinigung mit OTL


• Doppelklick auf OTL.exe, um das Programm auszuführen.
• Klicke auf den Button CleanUp! und bestätige die Cleanup Prozedur mit Yes.
• OTL fragt nach einem Neustart, lasse das bitte zu.


Nach dem Neustart werden OTL selbst und die meisten anderen Helferprogramme, die wir im Laufe der Bereinigung benutzt haben, nicht mehr vorhanden sein. Evtl. nun noch vorhandene Helferprogramme oder Logfiles bitte manuell löschen und den Papierkorb leeren.


Schritt 3

Nachsorge


Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra ;).

Erstelle einen neuen Systemwiederherstellungspunkt

Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User).
• Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen.
• Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK.
Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen.

Diesen Punkt kannst Du weglassen, falls Du das System gerade neu aufgesetzt hast oder Combofix benutzt und ordentlich deinstalliert wurde, da Combofix das schon erledigt.

Massnahmen:

Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra ;).

Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung. Um Dein System frei von temporären Dateien zu halten, empfehle ich [url="http://www.CCleaner.de"] (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe die Anleitung von Hijackthis-Forum.de. Bei Java (Sun) immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen.

Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage. Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet. Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten.

"Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:

• System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren).
• Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
• Internet Explorer sicher konfigurieren.
• Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
• Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren.
• Nicht alles anklicken, wo klickmich draufsteht!
• Gesunden Menschenverstand und Vorsicht walten lassen,
• insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
• am besten auf Filesharing über P2P-Programme ganz verzichten.
• Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
• Nicht benötigte Dienste und Programme gar nicht erst starten.
Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
• Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
Port-Scan-Test.
WLAN absichern.
Sichere Passwörter vergeben.
• Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
• Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
• Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
• Datensicherung nicht vergessen!
Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben.


Freiwillige Spende




Bezüglich der Malwarebekämpfung muss ich Dir sagen dass es VIIIEELLL Zeit in Anspruch nimmt und eine zieliche Portion Vorkenntnise bezgl. Computer vorhanden sein müssen. Wenn Du willst kannst Du Dich hier einmal schlau machen. Da habe ich auch die Ausbildung gemacht:
http://forum.hijackthis.de/news/8930-stellenausschreibung.html
Seitenanfang Seitenende
22.06.2010, 21:45
Member

Themenstarter

Beiträge: 19
#28 Hallo Swiss,

eigendlich habe ich eine gute Ausbildung. Ich habe an der RUB in Bochum E-Technik studiert und abgeschlossen. Sowohl während des Vordiploms als auch im Hauptstudium habe ich ein wenig in C und Ada programmiert. Es war Pflicht und damals fand ich die Sachen nicht sehr spannend. Im Berufsleben nach dem Studium habe ich dann auch aus diesem Grund hauptsächlich im Vertrieb gearbeitet. Aber heute und die letzten Tage, hat mir die Virusbekämpfung ungeheuer viel Spass gemacht. Und ich bin mir sicher, wenn ich denn auch Deine Schritte besser verstanden hätte, wäre es noch besser.

Heute lebe ich in der Türkei und arbeite als Immobilienmakler. Auch dieser Job macht mir viel Freude. In Zukunft werde ich in meiner Freizeit mehr Zeit mit der Virenbekämpfung verbringen.

Vielen Dank nochmal für den tollen Support.
Seitenanfang Seitenende