Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.01.2010, 23:41   #1
ZTAndy
 
PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail - Standard

PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail



Hallo zusammen,

ich hab ein großes Problem mit einem Trojanern TR/Fregee.H.9 und hoffe Ihr könnt mir helfen. Der befallene Rechner befindet sich in einem Netzwerk und sollte nicht über Format C wiederhergestellt werden. Angefangen hat das Problem mit einer UPS-Mail mit einem .exe Anhang. Die exe Datei wurde vom User doppelt geklickt und das war‘s natürlich. Seit diesem Zeitpunkt werden von AntiVir immer wieder Trojaner in die Quarantäne geschoben, jedoch nach jedem Neustart sind sie wieder da. Ich habe das AntiVir Remove Tool ohne Erfolg laufen lassen und über die Datenträgerbereinigung das System und die TEMP Ordner gesäubert.

An dieser Stelle schon mal die von AntiVir gefudenen Trojaner:

Diese befinden sich in den folgenden Verzeichnissen:
TR/Fregee.H.9 --> C:\WINDOWS\system32\aqlb.hajo
TR/Fregee.H.9 --> C:\Dokumente und Einstelllungen/Hans Mustermann/Lokale Einstellungen/Temp/B.tmp
TR/Fregee.H.9 --> C:\Dokumente und Einstelllungen/ Hans Mustermann /Lokale Einstellungen/Temp/8.tmp
TR/Fregee.H.9 --> C:\Dokumente und Einstelllungen/ Hans Mustermann /Lokale Einstellungen/Temp/9.tmp
TR/Fregee.H.9 --> C:\Dokumente und Einstelllungen/ Hans Mustermann /Lokale Einstellungen/Temp/A.tmp
TR/Fregee.H.9 --> C:\Dokumente und Einstelllungen/ Hans Mustermann /Lokale Einstellungen/Temp/7.tmp
TR/Crypt.ZPACK.Gen --> C:\WINDOWS\CSC\d4\80000123 Quarantäne seit März 2009

Ein Check mit HijackThis ergab folgendes Ergebnis, doch leider kann ich nicht viel damit anfangen und benötige Eure Hilfe.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:26:45, on 29.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\KEN!\kentbcli.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Canon Electronics\DR2010C\JobReader.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fujitsu-siemens.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.115.1:3128;http=192.168.115.1:3128;https=192.168.115.1:3128;socks=192.168.115.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
R3 - URLSearchHook: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe aqlb.hjo lhoweid
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [DR2010CJobReader] "C:\Programme\Canon Electronics\DR2010C\JobReader.exe" DR2010C.dll
O4 - HKLM\..\Run: [CANON DR2010C SVC] rundll32.exe DR201SVC.dll,EntryPointUserMessage
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Device Detection] C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1482476501-343818398-839522115-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.115.1:3128/ken.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1264678701805
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1264678546913
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\Software\..\Telephony: DomainName = ****.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ****.local
O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe
O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8984 bytes

Zur Auswertung kann ich Euch noch das AntiVir LOG anbieten, ich hoffe Ihr habt damit genug Infos über das befallene Sytem – wenn nicht lasst es mich wissen.
AntiVir für KEN!
Erstellungsdatum der Reportdatei: Freitag, 29. Januar 2010 08:43

Es wird nach 1709001 Virenstämmen gesucht.

Lizenznehmer: XXXXXXX
Seriennummer: XXXXXXXXXX
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: XXXXXXXX

Versionsinformationen:
BUILD.DAT : 8.2.0.172 17732 Bytes 05.08.2009 15:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 10:20:41
AVSCAN.DLL : 8.1.4.0 48897 Bytes 13.08.2008 07:57:40
LUKE.DLL : 8.1.4.5 164097 Bytes 13.08.2008 07:57:44
LUKERES.DLL : 8.1.4.0 12545 Bytes 13.08.2008 07:57:44
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:45:38
ANTIVIR1.VDF : 7.10.3.84 5532016 Bytes 26.01.2010 16:26:25
ANTIVIR2.VDF : 7.10.3.102 37280 Bytes 26.01.2010 16:26:25
ANTIVIR3.VDF : 7.10.3.115 127488 Bytes 28.01.2010 15:43:23
Engineversion : 8.2.1.154
AEVDF.DLL : 8.1.1.3 106868 Bytes 25.01.2010 07:00:47
AESCRIPT.DLL : 8.1.3.12 823675 Bytes 25.01.2010 07:00:45
AESCN.DLL : 8.1.4.0 127348 Bytes 28.01.2010 08:30:32
AESBX.DLL : 8.1.1.1 246132 Bytes 19.11.2009 09:45:44
AERDL.DLL : 8.1.3.4 479605 Bytes 01.12.2009 06:56:31
AEPACK.DLL : 8.2.0.5 422262 Bytes 14.01.2010 09:48:41
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 05:41:23
AEHEUR.DLL : 8.1.1.1 2322805 Bytes 28.01.2010 08:30:30
AEHELP.DLL : 8.1.10.0 237942 Bytes 14.01.2010 09:48:40
AEGEN.DLL : 8.1.1.85 369012 Bytes 28.01.2010 08:30:29
AEEMU.DLL : 8.1.1.0 393587 Bytes 05.10.2009 05:54:47
AECORE.DLL : 8.1.10.0 184695 Bytes 28.01.2010 08:30:28
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 11:03:25
AVWINLL.DLL : 1.0.0.12 15105 Bytes 13.08.2008 07:57:40
AVPREF.DLL : 8.0.2.0 38657 Bytes 13.08.2008 07:57:40
AVREP.DLL : 8.0.0.3 155688 Bytes 21.04.2009 05:44:49
AVREG.DLL : 8.0.0.1 33537 Bytes 13.08.2008 07:57:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 19.05.2008 13:26:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 13.08.2008 07:57:40
SQLITE3.DLL : 3.3.17.1 339968 Bytes 19.05.2008 13:26:20
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 13.08.2008 07:57:44
NETNT.DLL : 8.0.0.1 7937 Bytes 19.05.2008 13:26:20
RCIMAGE.DLL : 8.0.0.51 2363649 Bytes 13.08.2008 07:57:16
RCTEXT.DLL : 8.0.46.0 86273 Bytes 13.08.2008 07:57:16

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir fuer ken!\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: löschen
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Dateierweiterungsliste verwenden
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 29. Januar 2010 08:43

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OfficeLiveSignIn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IWatch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NCLAUNCH.EXe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JobReader.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kentbcli.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTouch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winvnc4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kencli.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '44' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '57' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 29. Januar 2010 09:00
Benötigte Zeit: 17:03 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6333 Verzeichnisse wurden überprüft
162707 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
162706 Dateien ohne Befall
1139 Archive wurden durchsucht
1 Warnungen
0 Hinweise

Nach dem Neustart des Rechners erscheint ein Fenster mit der Meldung:

RUNDLL
"Fehler beim Laden von aqlb.hjo
Das angegebene Modul wurde nicht gefunden" --> weiter mit Ok

Für Eure Hilfe bin ich Euch sehr dankbar.

ZTAndy

Geändert von ZTAndy (29.01.2010 um 23:48 Uhr)

Alt 30.01.2010, 14:36   #2
ZTAndy
 
PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail - Standard

PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail



Hallo zusamen,

sorry ich habe doch nicht alle Reglen beachtet z.B. die Links.
Kann ich meinen Beitrag jetzt nochmal bearbeiten??? Ich bin wohl noch etwas unerfahren hier oder es war wohl etwas spät.

Bitte schaut Euch doch mal die Zeile F2 aus dem Logfile von HijackThis an, hjo und rundll32.exe kommen mir vom Fenster, welches bein Start des PC erscheint, bekannt vor. Wie muss ich weiterverfahren???

ZTAndy
__________________


Alt 01.02.2010, 15:56   #3
ZTAndy
 
PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail - Icon24

PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail



Hallöchen,

ich habe soeben mit CCleaner, AntiMailware und HijackThis mein System bereinigt. Die Logfiles möchte ich Euch mit der Bitte diese auf Fehler zu überprüfen präsentieren, da mir dazu die Erfahrungen fehlen.

Jedenfalls sieht es nach der Bereinigung schon wesentlich besser aus, es erscheinen beim starten des PCs keine Fenster bzw. Fehlermeldungen mehr. Nachdem alles so gut geklappt, habe ich den Quarantäne Ordner von AntiVir gesäubert.
Dank der Infos des Forums bin ich ersteinmal guter Dinge und hoffe, dass sich doch noch jemand die Zeit nehmen kann, um sich die Logfiles anzusehen.
Vielen Dank an die Initiatoren und die Mitglieder des Forums.

ZTAndy

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:42:50, on 01.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\KEN!\kentbcli.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Canon Electronics\DR2010C\JobReader.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe
C:\Programme\FRITZ!\IWatch.exe
C:\DCM321\MCCWIN\PRG\ZBASE32.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.n-tv.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.fujitsu-siemens.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.***.1:****;http=192.168.***.1:****;https=192.168.***.1:****;socks=192.168.***.1:***
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
R3 - URLSearchHook: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [DR2010CJobReader] "C:\Programme\Canon Electronics\DR2010C\JobReader.exe" DR2010C.dll
O4 - HKLM\..\Run: [CANON DR2010C SVC] rundll32.exe DR201SVC.dll,EntryPointUserMessage
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Device Detection] C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.***.1:****/ken.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1264678701805
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1264678546913
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.local
O17 - HKLM\Software\..\Telephony: DomainName = ***.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***.local
O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe
O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8719 bytes

********************
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3670
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

01.02.2010 14:40:30
mbam-log-2010-02-01 (14-40-30).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 201305
Laufzeit: 34 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________________

Alt 09.02.2010, 22:27   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail - Standard

PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail



Hallo und

Zitat:
sorry ich habe doch nicht alle Reglen beachtet z.B. die Links.
Wenn Du auf Deine eigenen Beiträge antwortest, verschwindet Dein Posting aus der Liste der unbeantworteten Stränge und ich achte zuerst auf die unbeantworteten.

Mach bitte einen neuen Durchlauf Malwarebytes, aber aktualisiere das Tool vorherm, der letzte Scan ist schon über ne Woche her. Mach danach Logfiles mit RSIT und poste auch diese.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.02.2010, 07:52   #5
ZTAndy
 
PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail - Standard

PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail



Hallo cosinus,

ist wohl dumm gelaufen, sorry mein Fehler.
Ich habe die Hoffnung auf eine Antwort schon fast aufgegeben.
Super das Du Dich gemeldet hast.

Also beim Versuch RSIT zu starten kommt die Meldung keine WIN32 Anwendung. Was muss ich tun um diese dennoch Ausführen zu können?

ZTAndy


Alt 12.02.2010, 15:16   #6
ZTAndy
 
PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail - Standard

PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail



Hallo Arne,

da ich RIST nicht zum laufen bekommen habe, lies ich CCleaner, Malwarebytes und HijackThis nocheinmal durchlaufen.
Die aktuellen Logs sehen wie folgt aus:
*****************************
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3729
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

12.02.2010 14:30:08
mbam-log-2010-02-12 (14-30-08).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 205063
Laufzeit: 34 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
*******************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:36:52, on 12.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\KEN!\kentbcli.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Canon Electronics\DR2010C\JobReader.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.n-tv.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.fujitsu-siemens.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.***.***:****;http=192.168.***.***:****;https=192.168.***.***:****;socks=192.168.***.***:****
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
R3 - URLSearchHook: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [DR2010CJobReader] "C:\Programme\Canon Electronics\DR2010C\JobReader.exe" DR2010C.dll
O4 - HKLM\..\Run: [CANON DR2010C SVC] rundll32.exe DR201SVC.dll,EntryPointUserMessage
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Device Detection] C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.***.***:****/ken.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1264678701805
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1264678546913
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\Software\..\Telephony: DomainName = ****.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ****.local
O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe
O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8751 bytes
************************
Ich hoffe das System ist jetzt sauber .
Kann ich jetzt die Trojaner aus der Quarantäne von Malwarebytes löschen?

Vielen Dank für Deine Hilfe.
ZTAndy

Alt 12.02.2010, 20:40   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail - Standard

PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail



Hier ist ein Alternativdownload für RSIT, umbenannt in pluescheule => File-Upload.net - pluescheule.exe
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.02.2010, 21:31   #8
ZTAndy
 
PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail - Standard

PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail



Hallo Arne,
leider bin ich erst Montag wieder am infizieten PC. Derzeit sitz ich vor meinem heimatlichen PC, bei dem aber die selbe Fehlermeldung beim starten von RSIT kommt.
Ich habe also die pluescheule runtergeladen und am Heim PC ausprobiert, aber es erscheint nach dem Start von pluescheule gleiche Fehlermeldung wie beim Start von RSIT.
Mein Heim PC läuft mit Vista und der infizierte Rechner mit XP, vieleicht läuft ja pluescheule mit XP?
Wie sehen den die Logs aus, ist da etwas auffällig?

Gruß von
ZTAndy

Alt 12.02.2010, 21:44   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail - Standard

PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail



Die anderen Logs sind unauffällig, ich hätte da was schon zu geschrieben wenn dem nicht so gewesen wäre.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.02.2010, 22:00   #10
ZTAndy
 
PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail - Standard

PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail



Na super, da bin ersteinmal beruhig, vielen Dank Arne. Gibt es für das Problem mit RSIT auch noch einen Kunstgriff?

Sei gegrüßt von
ZTAndy

Alt 12.02.2010, 22:06   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail - Standard

PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail



Zitat:
Zitat von ZTAndy Beitrag anzeigen
Na super, da bin ersteinmal beruhig, vielen Dank Arne. Gibt es für das Problem mit RSIT auch noch einen Kunstgriff?
Geht das auch nicht mit der umbenannten Version pluescheule.exe?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.02.2010, 22:09   #12
ZTAndy
 
PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail - Standard

PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail



Mit der umbenannen Version hat es leider auch nicht geklappt.

Alt 12.02.2010, 22:12   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail - Standard

PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail



Ok, dann probier bitte ein Log mit CF zu erstellen, denn normal ist das nicht mit RSIT:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.02.2010, 23:53   #14
ZTAndy
 
PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail - Standard

PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail



Hallo Arne,
hat ein bißchen gedauert, ich habe mich noch belesen.
Ich habe ComboFix über mein Home PC laufen lassen. Bitte beachte das dies nicht der PC ist auf dem der Trojaner nach der UPS Mail ist, denn an den bin ich erst am Montag wieder.
Es wäre schön wenn Du Dir das File trotzdem ansehen könntest. Danke ZT Andy

Das Log sieht wie folgt aus:
*******************************
ComboFix 10-02-12.01 - Adimin 12.02.2010 23:10:59.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.2045.1316 [GMT 1:00]
ausgeführt von:: c:\users\****\Desktop\cofi.exe
SP: Windows-Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-1368608642-481299647-525511453-500
c:\$recycle.bin\S-1-5-21-2746829249-1397996071-2328483255-500
C:\uninstall.exe
c:\users\****\AppData\Roaming\inst.exe
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2010-01-12 bis 2010-02-12 ))))))))))))))))))))))))))))))
.

2010-02-12 22:16 . 2010-02-12 22:16 -------- d-----w- c:\users\****\AppData\Local\temp
2010-02-03 20:50 . 2010-02-03 20:50 -------- d-----w- c:\program files\NovaCHRON
2010-01-31 22:21 . 2010-01-31 22:21 -------- d-----w- c:\users\****\AppData\Roaming\Malwarebytes
2010-01-31 22:21 . 2010-01-31 22:21 -------- d-----w- c:\users\****\AppData\Roaming\Malwarebytes
2010-01-31 22:21 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-31 22:21 . 2010-01-31 22:21 -------- d-----w- c:\programdata\Malwarebytes
2010-01-31 22:21 . 2010-01-31 22:21 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-31 22:21 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-31 21:27 . 2010-01-31 21:27 -------- d-----w- c:\program files\CCleaner
2010-01-27 22:11 . 2010-01-27 22:11 -------- d-----w- c:\program files\Trend Micro
2010-01-24 01:14 . 2010-01-24 01:14 -------- d-----w- c:\users\****\AppData\Local\Apple Computer
2010-01-24 00:46 . 2010-01-24 00:46 -------- d-----w- c:\program files\QuickTime
2010-01-24 00:46 . 2010-01-24 00:46 -------- d-----w- c:\programdata\Apple Computer
2010-01-24 00:45 . 2010-01-24 00:45 -------- d-----w- c:\program files\Common Files\Apple
2010-01-24 00:45 . 2010-01-24 00:45 -------- d-----w- c:\users\****\AppData\Local\Apple
2010-01-24 00:45 . 2010-01-24 00:45 -------- d-----w- c:\program files\Apple Software Update
2010-01-24 00:45 . 2010-01-24 00:45 -------- d-----w- c:\programdata\Apple
2010-01-14 20:57 . 2010-01-14 20:57 1273592 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-01-14 20:17 . 2009-10-19 13:38 156672 ----a-w- c:\windows\system32\t2embed.dll
2010-01-14 20:17 . 2009-10-19 13:35 72704 ----a-w- c:\windows\system32\fontsub.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-12 06:32 . 2006-11-02 15:33 618442 ----a-w- c:\windows\system32\perfh007.dat
2010-02-12 06:32 . 2006-11-02 15:33 122648 ----a-w- c:\windows\system32\perfc007.dat
2010-02-10 21:03 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-01-16 15:37 . 2007-05-28 17:52 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
2010-01-14 10:12 . 2009-10-02 19:26 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-02 06:38 . 2010-01-21 19:15 916480 ----a-w- c:\windows\system32\wininet.dll
2010-01-02 06:32 . 2010-01-21 19:15 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-01-02 06:32 . 2010-01-21 19:15 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-01-02 04:57 . 2010-01-21 19:15 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-12-29 21:33 . 2009-12-29 21:21 -------- d-----w- c:\program files\Elaborate Bytes
2009-12-17 22:25 . 2009-12-17 22:25 26024 ----a-w- c:\windows\system32\drivers\ElbyCDIO.sys
2009-12-17 06:54 . 2009-12-17 06:54 57344 ----a-w- c:\windows\NCServMan.exe
2009-12-13 17:06 . 2007-11-02 21:07 84304 ----a-w- c:\users\Conny\AppData\Local\GDIPFONTCACHEV1.DAT
2009-12-11 11:43 . 2010-02-09 20:49 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-11 11:43 . 2010-02-09 20:49 98816 ----a-w- c:\windows\system32\drivers\srvnet.sys
2009-12-08 20:01 . 2010-02-09 20:49 904776 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-12-08 20:01 . 2010-02-09 20:49 3600456 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-08 20:01 . 2010-02-09 20:49 3548216 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-08 18:32 . 2009-07-26 20:16 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-08 17:26 . 2010-02-09 20:49 30720 ----a-w- c:\windows\system32\drivers\tcpipreg.sys
2009-12-04 20:06 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-12-04 18:30 . 2010-02-09 20:49 12288 ----a-w- c:\windows\system32\tsbyuv.dll
2009-12-04 18:29 . 2010-02-09 20:49 1314816 ----a-w- c:\windows\system32\quartz.dll
2009-12-04 18:28 . 2010-02-09 20:49 22528 ----a-w- c:\windows\system32\msyuv.dll
2009-12-04 18:28 . 2010-02-09 20:49 31744 ----a-w- c:\windows\system32\msvidc32.dll
2009-12-04 18:28 . 2010-02-09 20:49 123904 ----a-w- c:\windows\system32\msvfw32.dll
2009-12-04 18:28 . 2010-02-09 20:49 13312 ----a-w- c:\windows\system32\msrle32.dll
2009-12-04 18:28 . 2010-02-09 20:49 82944 ----a-w- c:\windows\system32\mciavi32.dll
2009-12-04 18:28 . 2010-02-09 20:49 50176 ----a-w- c:\windows\system32\iyuv_32.dll
2009-12-04 18:27 . 2010-02-09 20:49 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-12-04 15:56 . 2010-02-09 20:49 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2009-12-04 15:56 . 2010-02-09 20:49 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-07-11 90112]
"RtHDVCpl"="RtHDVCpl.exe" [2006-11-20 4018176]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-09 1025320]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-10-09 102400]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2007-10-25 2178832]
"LogitechCommunicationsManager"="c:\program files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984]
"TrayServer"="c:\program files\MAGIX\Filme_auf_DVD_7\TrayServer.exe" [2008-01-30 90112]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]

c:\users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"VistaSp2"=hex(b):d6,44,29,d9,81,73,ca,01

R0 O2MDRDR;O2MDRDR;c:\windows\System32\drivers\o2media.sys [20.11.2006 15:14 38400]
R0 O2SDRDR;O2SDRDR;c:\windows\System32\drivers\o2sd.sys [17.11.2006 13:58 31360]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [26.07.2009 21:16 108289]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [21.11.2008 23:30 1527900]
S3 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [21.11.2008 23:31 544768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
LSP: c:\windows\system32\wpclsp.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe
AddRemove-dm Fotowelt - C:\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-02-12 23:16
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2010-02-12 23:19:16
ComboFix-quarantined-files.txt 2010-02-12 22:19

Vor Suchlauf: 10 Verzeichnis(se), 55.447.633.920 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 55.393.054.720 Bytes frei

- - End Of File - - 69640AA1C2196F3E0BDAB22A35DFEBAD

Alt 26.02.2010, 17:35   #15
ZTAndy
 
PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail - Standard

PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail



Hallo Arne,
ich konnte mich leider nicht zeitiger um den PC kümmern, da ich auswärtig tätig war.
Ich habe jetzt jedenfalls die ganze Prozedur mit CCleaner, Malwarebytes und auch eine Log Datei mit Combofix erstellt. Beim Starten von Combofix wurde mir mitgeteilt, das AntiVir noch aktiv sei obwohl ich es ausgeschaltet hatte. Die Wiederherstellungskonsole konnte auch nicht installiert werden, da KEN Klient von mir vorher geschlossen wurde.
Nach dem Durchlauf von Combofix erschien die folgende Log Datei, bitte prüfe diese einmal. Vielen Dank
********************************************************
ComboFix 10-02-25.02 - **** 26.02.2010 16:47:32.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.511.247 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\*****\Desktop\cofi.exe
AV: Avira AntiVir für KEN! *On-access scanning disabled* (Updated) {08C942C3-77DF-43BA-9A6A-580A1A3BC5BB}
AV: Avira AntiVir für KEN! *On-access scanning disabled* (Updated) {820C989C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {804D9D7C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81ABA054-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81ACFA14-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81C15054-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81C4EB64-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81D27824-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81F6F554-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81FD5C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81FDCDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81FEF3D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81FF3DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8200A97C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8201ABF4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8201D7DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820238B4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8202B39C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82033C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8203D6DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82041544-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820452A4-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8204A5FC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8204DC1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8204DDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8204F6DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820539C4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8205CDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82062A5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820695E4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820747A4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82074C4C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82082C24-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8208347C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8209CB04-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820A1DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820A477C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820A77A4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820AB7D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820AF98C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820B2C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820BF99C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820C6C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820CBDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820CC7D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820CF72C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820D164C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820D38D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820D772C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820DB32C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820DFA8C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820E216C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820E751C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820E98BC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820EE23C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820EE60C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820EEC34-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820EFA5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F4A34-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F53D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F5A6C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F6A8C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F7DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F9BF4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82103514-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821046AC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82104914-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8210628C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8210749C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82107594-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8210B384-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8210B5BC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82111CB4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821137A4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821198CC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8214ACE4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8214E45C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82156384-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821686E4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82168DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8216965C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8217E6CC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8218778C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8218A4A4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8218FDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821A3A5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821CC8BC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821DC4FC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821E16DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82209054-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82217924-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822813C4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8229CB64-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8229D9A4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822A07D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822A332C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822AD64C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822AFDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822B0964-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822B28CC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8236EDDC-FFA4-00DE-0D24-347CA8A3377C}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-182580060-2540569008-1561780678-500
c:\windows\srchasst\nls302en.lex
c:\windows\system32\drivers\FSC__PI__SCENIC W__FUJITSU SIEMENS_D1567__Version 5.00 R2.13.1567.01_PTLTD - 50000_5.00 R2.13.1567.01 __NVIDIA GeForce FX 5200 .MRK
c:\windows\system32\setup.ini
c:\windows\system32\test.ttt
c:\windows\system32\Thumbs.db
c:\windows\system32\tmp.reg

.
((((((((((((((((((((((( Dateien erstellt von 2010-01-26 bis 2010-02-26 ))))))))))))))))))))))))))))))
.

2010-02-12 12:29 . 2010-02-12 12:29 -------- d-----w- c:\dokumente und einstellungen\Administrator.****\Anwendungsdaten\Malwarebytes
2010-02-01 06:36 . 2010-02-01 06:36 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2010-02-01 06:36 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-01 06:35 . 2010-02-01 06:36 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-02-01 06:35 . 2010-02-01 06:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-01 06:35 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-01 06:23 . 2010-02-01 06:23 -------- d-----w- c:\programme\CCleaner

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-26 15:58 . 2006-10-26 07:11 -------- d-----w- c:\programme\AntiVir fuer KEN!
2010-02-26 15:58 . 2006-10-26 07:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir fuer KEN!
2010-02-26 15:51 . 2005-08-24 14:35 12 ----a-w- c:\windows\bthservsdp.dat
2010-02-25 07:10 . 2004-12-03 11:17 -------- d-----w- c:\programme\FRITZ!
2010-02-12 13:42 . 2007-01-26 08:57 230632 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\mdb.bin
2010-02-09 07:05 . 2007-09-04 15:17 -------- d-----w- c:\programme\Google
2010-02-01 06:25 . 2009-01-26 15:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-11-07 09:43 . 2007-11-07 09:42 2293712 ----a-w- c:\programme\FLV PlayerFCSetup.exe
2007-11-07 09:41 . 2007-11-07 09:41 3928264 ----a-w- c:\programme\FLV PlayerRCATSetup.exe
2007-11-07 09:39 . 2007-11-07 09:39 411248 ----a-w- c:\programme\FLV PlayerRCSetup.exe
2005-01-24 12:03 . 2005-01-24 12:03 56 --sh--r- c:\windows\system32\F8295F8C0C.sys
2005-01-24 12:03 . 2005-01-24 12:03 1682 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"NCLaunch"="c:\windows\NCLAUNCH.EXe" [2005-12-13 40960]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-07 68856]
"Device Detection"="c:\programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe" [2006-10-26 102400]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-08-02 4493312]
"nwiz"="nwiz.exe" [2004-08-02 917504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-08-02 86016]
"zBrowser Launcher"="c:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]
"KEN Taskbar Client"="c:\programme\KEN!\kentbcli.exe" [2007-07-25 275760]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"avgnt"="c:\programme\AntiVir fuer KEN!\avgnt.exe" [2009-08-23 266754]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944]
"DR2010CJobReader"="c:\programme\Canon Electronics\DR2010C\JobReader.exe" [2008-02-01 319488]
"CANON DR2010C SVC"="DR201SVC.dll" [2008-04-11 131072]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-05-27 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
FRITZ!fax.lnk - c:\programme\FRITZ!\FriFax32.exe [2004-12-3 1331200]
ISDNWatch.lnk - c:\programme\FRITZ!\IWatch.exe [2004-12-3 229376]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CANON DR2010C SVC]
2008-04-11 08:34 131072 ----a-w- c:\windows\system32\DR201SVC.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-05-27 08:50 413696 ----a-w- c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-06-10 03:27 144784 ----a-w- c:\programme\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Synchronization Manager]
2008-04-14 02:22 144384 ----a-w- c:\windows\system32\mobsync.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\KEN!\\kentbcli.exe"=
"c:\\DCM321\\MCCWIN\\PRG\\ZBASE32.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 TwkMs;CHIPDRIVE Mouse Adapter;c:\windows\system32\drivers\TWKMS.sys [24.04.2003 02:14 4828]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [03.12.2004 17:40 59520]
R2 KEN Client Service;AVM KEN Klient;c:\programme\KEN!\kencli.exe [03.12.2004 12:14 173360]
R2 ndc;AVM KEN CAPI;c:\windows\system32\drivers\ndc.sys [03.12.2004 12:14 63088]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [27.01.2009 09:18 37568]
R3 TWKSER2K;CHIPDRIVE Serial SmartCardReader;c:\windows\system32\drivers\TWKSER2K.sys [25.08.2004 15:06 185611]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [31.07.2009 09:51 133104]
S3 ADM8511;ADMtek ADM8511/AN986-USB-Fast Ethernetkonvertierer;c:\windows\system32\drivers\ADM8511.SYS [27.01.2009 08:05 20160]
S3 CHIPDRIVE USB SmartCardReader;CHIPDRIVE USB SmartCardReader;c:\windows\system32\drivers\TwkUsb2K.sys [10.09.2004 02:06 35336]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [27.01.2009 09:18 444416]
.
Inhalt des "geplante Tasks" Ordners

2010-02-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-31 08:51]

2010-02-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-31 08:51]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.n-tv.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.fujitsu-siemens.de/
uInternet Settings,ProxyOverride = localhost;<local>
uInternet Settings,ProxyServer = ftp=192.168.***.***:****;http=192.168.***.***:****;https=192.168.***.***:****;socks=192.168.***.***:****
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
Toolbar-{1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
WebBrowser-{1392B8D2-5C05-419F-A8F6-B9F15A596612} - (no file)
MSConfigStartUp-cookw - c:\progra~1\GEMEIN~1\SCHUTZ~1\cookw.exe
MSConfigStartUp-Framework Windows - frmwrk32.exe
MSConfigStartUp-InstallProgram - c:\dokumente und einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XXTVNHRQ\setup_227_509_[1].exe
MSConfigStartUp-InstRpro - c:\windows\temp\pistart.exe
MSConfigStartUp-RestoreIT! - c:\programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-26 16:58
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2820)
c:\programme\Logitech\MouseWare\System\LgWndHk.dll
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\1031\OWCI10.DLL
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
c:\programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\1031\OWCI11.DLL
c:\programme\Logitech\iTouch\iTchHk.dll
c:\programme\Windows Media Player\wmpband.dll
c:\windows\system32\msls31.dll
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programme\AntiVir fuer KEN!\sched.exe
c:\programme\AntiVir fuer KEN!\avguard.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\programme\RealVNC\VNC4\WinVNC4.exe
c:\programme\Windows Media Player\WMPNetwk.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\programme\Logitech\MouseWare\system\em_exec.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-02-26 17:01:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-02-26 16:01

Vor Suchlauf: 9 Verzeichnis(se), 135.688.192.000 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 135.650.983.936 Bytes frei

- - End Of File - - 898DB83CB088D34FD62D41AABC789F40

Antwort

Themen zu PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail
0 bytes, antivir, aqlb.hjo, avira, bho, canon, excel, exe datei, fehler, fritz!, google, gupdate, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, netzwerk, nicht gefunden, nt.dll, object, pc infiziert, pop-up-blocker, problem, prozesse, registry, rundll, software, suchlauf, system, temp ordner, trojaner, trojaner tr/fregee.h.9, ups-mail, verweise, virus, virus gefunden, warnung, windows, windows xp, wuauclt.exe




Ähnliche Themen: PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail


  1. E-Mail von "Deutsche Telekom Abuse Team" aufgrund von Spam-Mails/Viren/Trojanern
    Plagegeister aller Art und deren Bekämpfung - 10.08.2015 (7)
  2. Nach öffnen eines E-Mail Inhaltes wurden an alle Kontakte eine E-Mail versendet
    Log-Analyse und Auswertung - 27.04.2015 (27)
  3. Mit Maleware und Trojanern infiziert
    Plagegeister aller Art und deren Bekämpfung - 23.12.2014 (14)
  4. Windows 7 - mit mehreren Viren & Trojanern infiziert
    Log-Analyse und Auswertung - 27.12.2013 (13)
  5. laptop nach öffnen einer mail bei web.de infiziert mit trojaner
    Plagegeister aller Art und deren Bekämpfung - 30.07.2012 (1)
  6. Externe Festplatten nach Trojanern durchsuchen
    Plagegeister aller Art und deren Bekämpfung - 15.04.2012 (1)
  7. Kann mal jemand nach Trojanern checken?
    Log-Analyse und Auswertung - 11.10.2010 (1)
  8. PC nach Löschen von Trojanern sicher?
    Mülltonne - 11.09.2010 (4)
  9. PC von Trojanern infiziert
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (3)
  10. mein PC ist mit paar Trojanern infiziert - Disabled.SecurityCenter
    Plagegeister aller Art und deren Bekämpfung - 06.07.2010 (1)
  11. Problem mit TR/Fregee.O.10
    Mülltonne - 05.02.2010 (6)
  12. Dickes Problem nach diversen Trojanern und
    Plagegeister aller Art und deren Bekämpfung - 11.09.2009 (1)
  13. Frage wegen Überprüfung nach Trojanern
    Log-Analyse und Auswertung - 07.09.2009 (1)
  14. Logfile bitte nach Trojanern durchsuchen
    Log-Analyse und Auswertung - 11.01.2009 (0)
  15. infiziert mit Trojanern und Viren; brauche dringend Hilfe
    Plagegeister aller Art und deren Bekämpfung - 26.05.2008 (1)
  16. mit verschiedenen Trojanern infiziert (VundoGen etc.)
    Plagegeister aller Art und deren Bekämpfung - 16.05.2008 (35)
  17. Log nach 12 gefunden Trojanern
    Log-Analyse und Auswertung - 15.07.2004 (2)

Zum Thema PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail - Hallo zusammen, ich hab ein großes Problem mit einem Trojanern TR/Fregee.H.9 und hoffe Ihr könnt mir helfen. Der befallene Rechner befindet sich in einem Netzwerk und sollte nicht über Format - PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail...
Archiv
Du betrachtest: PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.