Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Gleich zwei Trojaner auf einmal?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.02.2012, 11:31   #16
photonic
 
Gleich zwei Trojaner auf einmal? - Standard

Gleich zwei Trojaner auf einmal?



Okay, mach ich. Tut mir leid mit dem Code!

Alt 16.02.2012, 11:50   #17
photonic
 
Gleich zwei Trojaner auf einmal? - Standard

Gleich zwei Trojaner auf einmal?



Code:
ATTFilter
ComboFix 12-02-16.01 - Hilde 16.02.2012  11:33:30.1.2 - x64
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.4094.2822 [GMT 1:00]
ausgeführt von:: c:\users\Hilde\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\Common Files\packardbell.ico
c:\windows\security\Database\tmp.edb
c:\windows\system32\drivers\etc\hosts.ics
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-01-16 bis 2012-02-16  ))))))))))))))))))))))))))))))
.
.
2012-02-16 10:37 . 2012-02-16 10:37	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-02-15 16:26 . 2012-02-15 16:26	--------	d-----w-	C:\_OTL
2012-02-15 16:24 . 2012-01-04 10:44	509952	----a-w-	c:\windows\system32\ntshrui.dll
2012-02-15 16:24 . 2012-01-04 08:58	442880	----a-w-	c:\windows\SysWow64\ntshrui.dll
2012-02-15 16:24 . 2011-12-30 06:26	515584	----a-w-	c:\windows\system32\timedate.cpl
2012-02-15 16:24 . 2011-12-30 05:27	478720	----a-w-	c:\windows\SysWow64\timedate.cpl
2012-02-15 16:24 . 2012-01-14 04:06	3145728	----a-w-	c:\windows\system32\win32k.sys
2012-02-15 16:24 . 2011-12-28 03:59	498688	----a-w-	c:\windows\system32\drivers\afd.sys
2012-02-15 16:24 . 2011-12-16 08:46	634880	----a-w-	c:\windows\system32\msvcrt.dll
2012-02-15 16:24 . 2011-12-16 07:52	690688	----a-w-	c:\windows\SysWow64\msvcrt.dll
2012-02-14 09:32 . 2012-01-06 05:15	8602168	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{4803FA64-0696-42B8-91FD-2DA7B0B68E69}\mpengine.dll
2012-02-07 14:26 . 2012-02-07 14:26	--------	d-----w-	c:\users\Hilde\AppData\Local\Solid State Networks
2012-02-07 11:55 . 2012-02-12 19:37	--------	d-----w-	c:\program files (x86)\Emsisoft Anti-Malware
2012-02-07 11:30 . 2012-02-07 11:30	--------	d-----w-	c:\program files (x86)\Trend Micro
2012-02-07 11:09 . 2012-02-07 11:09	--------	d-----w-	c:\program files\CCleaner
2012-02-07 11:08 . 2012-02-07 11:09	--------	d-----w-	c:\users\Hilde\AppData\Local\Google
2012-02-07 11:08 . 2012-02-07 11:09	--------	d-----w-	c:\program files (x86)\Google
2012-02-05 18:33 . 2012-02-05 18:33	--------	d-----w-	c:\users\Hilde\AppData\Roaming\Malwarebytes
2012-02-05 18:33 . 2012-02-05 18:33	--------	d-----w-	c:\programdata\Malwarebytes
2012-02-05 17:16 . 2012-02-12 19:40	--------	d-----w-	c:\program files (x86)\Spybot - Search & Destroy
2012-02-05 17:16 . 2012-02-12 19:40	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2012-02-05 16:46 . 2012-02-05 16:46	--------	d-----w-	c:\windows\system32\Macromed
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-07 14:23 . 2011-08-14 18:00	414368	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-01-26 23:52 . 2010-05-15 13:05	279656	------w-	c:\windows\system32\MpSigStub.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2009-08-18 1157640]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]
"VideoWebCamera"="c:\program files (x86)\VideoWebCamera\VideoWebCamera.exe" [2009-07-28 1507448]
"RemoteControl8"="c:\program files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe" [2009-04-15 91432]
"PDVD8LanguageShortcut"="c:\program files (x86)\CyberLink\PowerDVD8\Language\Language.exe" [2009-04-15 50472]
"BDRegion"="c:\program files (x86)\Cyberlink\Shared Files\brs.exe" [2009-07-07 75048]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 136176]
R2 HsfXAudioService;HsfXAudioService;c:\windows\system32\svchost.exe [2009-07-14 27136]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 136176]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [x]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [x]
R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [x]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [x]
R4 Rerltacm;Rerltacm; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};Power Control [2009/10/27 10:41];c:\program files (x86)\CyberLink\PowerDVD8\000.fcl [2009-07-07 12:47 146928]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-05-01 136360]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
S2 ePowerSvc;Acer ePower Service;c:\program files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [2009-08-06 844320]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [x]
S3 NETw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\NETw5v64.sys [x]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 11:08]
.
2012-02-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 11:08]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-07-28 7982112]
"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell Power Management\ePowerTray.exe" [2009-08-06 828960]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-28 16334880]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = 
uLocal Page = c:\windows\system32\blank.htm
mStart Page = 
mLocal Page = 
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\Hilde\AppData\Roaming\Mozilla\Firefox\Profiles\6311p2bd.default\
FF - prefs.js: browser.search.selectedEngine - 
FF - prefs.js: browser.startup.homepage - 
FF - user.js: extensions.BabylonToolbar_i.id - 6ce452740000000000000026c616fac4
FF - user.js: extensions.BabylonToolbar_i.hardId - 6ce452740000000000000026c616fac4
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15319
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1721:23
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9
FF - user.js: extensions.BabylonToolbar_i.newTab - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=100478
FF - user.js: extensions.BabylonToolbar_i.babExt - 
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\program files (x86)\CyberLink\PowerDVD8\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus\1]
@="131473"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-02-16  11:44:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-02-16 10:44
.
Vor Suchlauf: 11 Verzeichnis(se), 262.028.746.752 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 261.705.691.136 Bytes frei
.
- - End Of File - - 7854022E5A251C1A5FEED6837CFF7D4B
         
__________________


Alt 16.02.2012, 13:53   #18
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gleich zwei Trojaner auf einmal? - Standard

Gleich zwei Trojaner auf einmal?



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Driver::
Rerltacm

Firefox::
FF - user.js: extensions.BabylonToolbar_i.id - 6ce452740000000000000026c616fac4
FF - user.js: extensions.BabylonToolbar_i.hardId - 6ce452740000000000000026c616fac4
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15319
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1721:23
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9
FF - user.js: extensions.BabylonToolbar_i.newTab - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=100478
FF - user.js: extensions.BabylonToolbar_i.babExt - 
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
__________________

Alt 16.02.2012, 18:40   #19
photonic
 
Gleich zwei Trojaner auf einmal? - Standard

Gleich zwei Trojaner auf einmal?



Hallo Cosinus, hier das Log:
Code:
ATTFilter
ComboFix 12-02-16.01 - Hilde 16.02.2012  18:23:06.2.2 - x64
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.4094.2925 [GMT 1:00]
ausgeführt von:: c:\users\Hilde\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Hilde\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\drivers\etc\hosts.ics
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_Rerltacm
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-01-16 bis 2012-02-16  ))))))))))))))))))))))))))))))
.
.
2012-02-15 16:26 . 2012-02-15 16:26	--------	d-----w-	C:\_OTL
2012-02-15 16:24 . 2012-01-04 10:44	509952	----a-w-	c:\windows\system32\ntshrui.dll
2012-02-15 16:24 . 2012-01-04 08:58	442880	----a-w-	c:\windows\SysWow64\ntshrui.dll
2012-02-15 16:24 . 2011-12-30 06:26	515584	----a-w-	c:\windows\system32\timedate.cpl
2012-02-15 16:24 . 2011-12-30 05:27	478720	----a-w-	c:\windows\SysWow64\timedate.cpl
2012-02-15 16:24 . 2012-01-14 04:06	3145728	----a-w-	c:\windows\system32\win32k.sys
2012-02-15 16:24 . 2011-12-28 03:59	498688	----a-w-	c:\windows\system32\drivers\afd.sys
2012-02-15 16:24 . 2011-12-16 08:46	634880	----a-w-	c:\windows\system32\msvcrt.dll
2012-02-15 16:24 . 2011-12-16 07:52	690688	----a-w-	c:\windows\SysWow64\msvcrt.dll
2012-02-14 09:32 . 2012-01-06 05:15	8602168	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{4803FA64-0696-42B8-91FD-2DA7B0B68E69}\mpengine.dll
2012-02-07 14:26 . 2012-02-07 14:26	--------	d-----w-	c:\users\Hilde\AppData\Local\Solid State Networks
2012-02-07 11:55 . 2012-02-12 19:37	--------	d-----w-	c:\program files (x86)\Emsisoft Anti-Malware
2012-02-07 11:30 . 2012-02-07 11:30	--------	d-----w-	c:\program files (x86)\Trend Micro
2012-02-07 11:09 . 2012-02-07 11:09	--------	d-----w-	c:\program files\CCleaner
2012-02-07 11:08 . 2012-02-07 11:09	--------	d-----w-	c:\users\Hilde\AppData\Local\Google
2012-02-07 11:08 . 2012-02-07 11:09	--------	d-----w-	c:\program files (x86)\Google
2012-02-05 18:33 . 2012-02-05 18:33	--------	d-----w-	c:\users\Hilde\AppData\Roaming\Malwarebytes
2012-02-05 18:33 . 2012-02-05 18:33	--------	d-----w-	c:\programdata\Malwarebytes
2012-02-05 17:16 . 2012-02-12 19:40	--------	d-----w-	c:\program files (x86)\Spybot - Search & Destroy
2012-02-05 17:16 . 2012-02-12 19:40	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2012-02-05 16:46 . 2012-02-05 16:46	--------	d-----w-	c:\windows\system32\Macromed
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-07 14:23 . 2011-08-14 18:00	414368	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-01-26 23:52 . 2010-05-15 13:05	279656	------w-	c:\windows\system32\MpSigStub.exe
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-02-16_10.39.31   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-28 05:15 . 2012-02-16 17:12	39526              c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2012-02-16 17:12	42988              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2010-05-15 19:46 . 2012-02-16 17:12	11160              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3936037995-2034884825-2607243628-1000_UserData.bin
+ 2009-07-14 04:46 . 2012-02-16 10:46	91888              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareProtectionPlatform\Cache\cache.dat
+ 2010-06-16 16:24 . 2012-02-16 10:46	1950              c:\windows\system32\wdi\ERCQueuedResolutions.dat
+ 2012-02-16 17:28 . 2012-02-16 17:28	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2012-02-16 10:38 . 2012-02-16 10:38	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-02-16 17:28 . 2012-02-16 17:28	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2012-02-16 10:38 . 2012-02-16 10:38	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-07-14 02:36 . 2012-02-16 10:27	616242              c:\windows\system32\perfh009.dat
+ 2009-07-14 02:36 . 2012-02-16 17:15	616242              c:\windows\system32\perfh009.dat
- 2009-10-27 18:10 . 2012-02-16 10:27	654400              c:\windows\system32\perfh007.dat
+ 2009-10-27 18:10 . 2012-02-16 17:15	654400              c:\windows\system32\perfh007.dat
- 2009-07-14 02:36 . 2012-02-16 10:27	106622              c:\windows\system32\perfc009.dat
+ 2009-07-14 02:36 . 2012-02-16 17:15	106622              c:\windows\system32\perfc009.dat
- 2009-10-27 18:10 . 2012-02-16 10:27	130240              c:\windows\system32\perfc007.dat
+ 2009-10-27 18:10 . 2012-02-16 17:15	130240              c:\windows\system32\perfc007.dat
+ 2009-07-14 05:01 . 2012-02-16 17:28	314148              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
- 2009-07-14 05:01 . 2012-02-16 10:38	314148              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2012-02-15 18:26 . 2012-02-16 17:28	314916              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3936037995-2034884825-2607243628-1000-8192.dat
- 2012-02-15 18:26 . 2012-02-15 18:26	314916              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3936037995-2034884825-2607243628-1000-8192.dat
+ 2012-02-15 18:26 . 2012-02-16 17:28	3171048              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3936037995-2034884825-2607243628-1000-4096.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2009-08-18 1157640]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]
"VideoWebCamera"="c:\program files (x86)\VideoWebCamera\VideoWebCamera.exe" [2009-07-28 1507448]
"RemoteControl8"="c:\program files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe" [2009-04-15 91432]
"PDVD8LanguageShortcut"="c:\program files (x86)\CyberLink\PowerDVD8\Language\Language.exe" [2009-04-15 50472]
"BDRegion"="c:\program files (x86)\Cyberlink\Shared Files\brs.exe" [2009-07-07 75048]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 136176]
R2 HsfXAudioService;HsfXAudioService;c:\windows\system32\svchost.exe [2009-07-14 27136]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 136176]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [x]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [x]
R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [x]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};Power Control [2009/10/27 10:41];c:\program files (x86)\CyberLink\PowerDVD8\000.fcl [2009-07-07 12:47 146928]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-05-01 136360]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
S2 ePowerSvc;Acer ePower Service;c:\program files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [2009-08-06 844320]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [x]
S3 NETw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\NETw5v64.sys [x]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 11:08]
.
2012-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 11:08]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-07-28 7982112]
"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell Power Management\ePowerTray.exe" [2009-08-06 828960]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-28 16334880]
"SynTPEnh"="c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe" [BU]
"combofix"="c:\combofix\CF2014.3XE" [2010-11-20 345088]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = 
uLocal Page = c:\windows\system32\blank.htm
mStart Page = 
mLocal Page = 
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\Hilde\AppData\Roaming\Mozilla\Firefox\Profiles\6311p2bd.default\
FF - prefs.js: browser.search.selectedEngine - 
FF - prefs.js: browser.startup.homepage - 
FF - user.js: extensions.BabylonToolbar_i.id - 6ce452740000000000000026c616fac4
FF - user.js: extensions.BabylonToolbar_i.hardId - 6ce452740000000000000026c616fac4
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15319
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1721:23
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9
FF - user.js: extensions.BabylonToolbar_i.newTab - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=100478
FF - user.js: extensions.BabylonToolbar_i.babExt - 
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\program files (x86)\CyberLink\PowerDVD8\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus\1]
@="131473"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-02-16  18:33:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-02-16 17:33
ComboFix2.txt  2012-02-16 10:44
.
Vor Suchlauf: 15 Verzeichnis(se), 261.769.043.968 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 261.542.850.560 Bytes frei
.
- - End Of File - - 7A6A4DA6AC91031C4B8D99A12BB2D70A
         

Alt 16.02.2012, 21:46   #20
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gleich zwei Trojaner auf einmal? - Standard

Gleich zwei Trojaner auf einmal?



Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!
  • Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.02.2012, 11:52   #21
photonic
 
Gleich zwei Trojaner auf einmal? - Standard

Gleich zwei Trojaner auf einmal?



Code:
ATTFilter
aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-17 11:42:30
-----------------------------
11:42:30.926    OS Version: Windows x64 6.1.7601 Service Pack 1
11:42:30.926    Number of processors: 2 586 0x170A
11:42:30.926    ComputerName: HILDE-PC  UserName: Hilde
11:42:32.705    Initialize success
11:44:07.372    AVAST engine defs: 12021601
11:44:55.763    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
11:44:55.763    Disk 0 Vendor: WDC_WD3200BEVT-22ZCT0 11.01A11 Size: 305245MB BusType: 11
11:44:55.779    Disk 0 MBR read successfully
11:44:55.779    Disk 0 MBR scan
11:44:55.794    Disk 0 Windows 7 default MBR code
11:44:55.794    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        12291 MB offset 63
11:44:55.825    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS          101 MB offset 25173855
11:44:55.825    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       292850 MB offset 25382700
11:44:55.841    Service scanning
11:44:58.103    Modules scanning
11:44:58.103    Disk 0 trace - called modules:
11:44:58.165    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys 
11:44:58.181    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004c3a060]
11:44:58.696    3 CLASSPNP.SYS[fffff8800160143f] -> nt!IofCallDriver -> [0xfffffa80047881e0]
11:44:58.696    5 ACPI.sys[fffff88000ed17a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa80047db060]
11:44:59.850    AVAST engine scan C:\Windows
11:45:02.627    AVAST engine scan C:\Windows\system32
11:47:24.759    AVAST engine scan C:\Windows\system32\drivers
11:47:37.629    AVAST engine scan C:\Users\Hilde
11:48:28.111    AVAST engine scan C:\ProgramData
11:48:55.161    Scan finished successfully
11:49:09.747    Disk 0 MBR has been saved successfully to "C:\Users\Hilde\Desktop\MBR.dat"
11:49:09.763    The log file has been saved successfully to "C:\Users\Hilde\Desktop\aswMBR.txt"
         

Alt 17.02.2012, 14:06   #22
photonic
 
Gleich zwei Trojaner auf einmal? - Standard

Gleich zwei Trojaner auf einmal?



Okay, das log ist da - in Code-Schreibweise;-)

Alt 17.02.2012, 14:32   #23
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gleich zwei Trojaner auf einmal? - Standard

Gleich zwei Trojaner auf einmal?



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.02.2012, 14:36   #24
photonic
 
Gleich zwei Trojaner auf einmal? - Standard

Gleich zwei Trojaner auf einmal?



Gut, mach ich, dürfte so ca. 1 Stunde dauern. War denn dieser TR/Spy.559819 ein echter Schädling und wenn ja, was macht er?

Alt 17.02.2012, 14:46   #25
photonic
 
Gleich zwei Trojaner auf einmal? - Standard

Gleich zwei Trojaner auf einmal?



vertippt, bitte dieses post löschen

Alt 17.02.2012, 15:38   #26
photonic
 
Gleich zwei Trojaner auf einmal? - Standard

Gleich zwei Trojaner auf einmal?



Hier das Antimalware-Post: sieht wohl gut aus. Zweiter Teil folgt.

Code:
ATTFilter
17.02.2012 14:49:16
mbam-log-2012-02-17 (14-49-16).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 297324
Laufzeit: 46 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Alt 17.02.2012, 17:17   #27
photonic
 
Gleich zwei Trojaner auf einmal? - Standard

Gleich zwei Trojaner auf einmal?



Hier der Superspyware-Scan - er hat 16 Bedrohungen gefunden, hier ist das Log:

Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/17/2012 at 05:13 PM

Application Version : 5.0.1144

Core Rules Database Version : 8257
Trace Rules Database Version: 6069

Scan type       : Complete Scan
Total Scan Time : 01:11:15

Operating System Information
Windows 7 Home Premium 64-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Administrator

Memory items scanned      : 602
Memory threats detected   : 0
Registry items scanned    : 63878
Registry threats detected : 0
File items scanned        : 125710
File threats detected     : 16

Adware.Tracking Cookie
	.doubleclick.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	.atdmt.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	.atdmt.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	track.adform.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	track.adform.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	.adform.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	de.sitestat.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	de.sitestat.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	.a.revenuemax.de [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	.apmebf.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	.apmebf.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	.fastclick.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	.adfarm1.adition.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	.adfarm1.adition.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	ad2.adfarm1.adition.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	.doubleclick.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
         
Soll ich die von Super entfernen lassen?

Alt 17.02.2012, 17:51   #28
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gleich zwei Trojaner auf einmal? - Standard

Gleich zwei Trojaner auf einmal?



Sieht ok aus, da wurden nur Cookies gefunden. Die können weg.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ist das System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.02.2012, 18:32   #29
photonic
 
Gleich zwei Trojaner auf einmal? - Standard

Gleich zwei Trojaner auf einmal?



Lasse gerade nochmal Avira durchlaufen mit Vollscan, ist gleich fertig, bis jetzt nichts gefunden. Was mir auffällt, dass der Rechner jetzt schneller läuft und auch die Verbindung zum Netz nicht mehr ausfällt, was in den letzten Wochen oft der Fall war.

Eine Frage noch: Wenn man einen Rechner besitzt, der selbst nicht am Web hängt, mit Programmen zu Testzwecken per Stick versorgt, diese dann aber wieder deinstalliert, sich aber nicht sicher ist, ob dadurch Malware raufkam - auf diese testen will, kann man dann die von dir hier angewandte Methode und die Programme (ohne Combofix) verwenden, in dem man diese per Stick rüberschaufelt und die Tests macht?

Oder muss man das anders machen?

Geändert von photonic (17.02.2012 um 18:40 Uhr)

Alt 17.02.2012, 18:38   #30
photonic
 
Gleich zwei Trojaner auf einmal? - Standard

Gleich zwei Trojaner auf einmal?



Hier das Avira-Log, er hat ein verstecktes Objekt gefunden, was auch immer das ist:

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 17. Februar 2012  17:39

Es wird nach 3473425 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : HILDE-PC

Versionsinformationen:
BUILD.DAT      : 10.2.0.707     36070 Bytes  25.01.2012 12:53:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  24.07.2011 16:58:59
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  24.07.2011 16:58:59
LUKE.DLL       : 10.3.0.5       45416 Bytes  24.07.2011 16:59:00
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 09:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  24.07.2011 16:59:00
AVREG.DLL      : 10.3.0.9       88833 Bytes  24.07.2011 16:59:00
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 07:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 12:31:35
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 19:33:40
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 14:38:02
VBASE004.VDF   : 7.11.21.239     2048 Bytes  01.02.2012 14:38:02
VBASE005.VDF   : 7.11.21.240     2048 Bytes  01.02.2012 14:38:02
VBASE006.VDF   : 7.11.21.241     2048 Bytes  01.02.2012 14:38:03
VBASE007.VDF   : 7.11.21.242     2048 Bytes  01.02.2012 14:38:03
VBASE008.VDF   : 7.11.21.243     2048 Bytes  01.02.2012 14:38:03
VBASE009.VDF   : 7.11.21.244     2048 Bytes  01.02.2012 14:38:04
VBASE010.VDF   : 7.11.21.245     2048 Bytes  01.02.2012 14:38:04
VBASE011.VDF   : 7.11.21.246     2048 Bytes  01.02.2012 14:38:05
VBASE012.VDF   : 7.11.21.247     2048 Bytes  01.02.2012 14:38:05
VBASE013.VDF   : 7.11.22.33   1486848 Bytes  03.02.2012 14:39:08
VBASE014.VDF   : 7.11.22.56    687616 Bytes  03.02.2012 14:39:42
VBASE015.VDF   : 7.11.22.92    178176 Bytes  06.02.2012 08:39:07
VBASE016.VDF   : 7.11.22.154   144896 Bytes  08.02.2012 15:06:55
VBASE017.VDF   : 7.11.22.220   183296 Bytes  13.02.2012 09:28:27
VBASE018.VDF   : 7.11.23.34    202752 Bytes  15.02.2012 16:17:13
VBASE019.VDF   : 7.11.23.98    126464 Bytes  17.02.2012 16:33:25
VBASE020.VDF   : 7.11.23.99      2048 Bytes  17.02.2012 16:33:26
VBASE021.VDF   : 7.11.23.100     2048 Bytes  17.02.2012 16:33:26
VBASE022.VDF   : 7.11.23.101     2048 Bytes  17.02.2012 16:33:26
VBASE023.VDF   : 7.11.23.102     2048 Bytes  17.02.2012 16:33:26
VBASE024.VDF   : 7.11.23.103     2048 Bytes  17.02.2012 16:33:26
VBASE025.VDF   : 7.11.23.104     2048 Bytes  17.02.2012 16:33:26
VBASE026.VDF   : 7.11.23.105     2048 Bytes  17.02.2012 16:33:27
VBASE027.VDF   : 7.11.23.106     2048 Bytes  17.02.2012 16:33:27
VBASE028.VDF   : 7.11.23.107     2048 Bytes  17.02.2012 16:33:27
VBASE029.VDF   : 7.11.23.108     2048 Bytes  17.02.2012 16:33:27
VBASE030.VDF   : 7.11.23.109     2048 Bytes  17.02.2012 16:33:28
VBASE031.VDF   : 7.11.23.110    13824 Bytes  17.02.2012 16:33:29
Engineversion  : 8.2.10.4  
AEVDF.DLL      : 8.1.2.2       106868 Bytes  05.11.2011 11:03:08
AESCRIPT.DLL   : 8.1.4.5       442745 Bytes  11.02.2012 10:33:11
AESCN.DLL      : 8.1.8.2       131444 Bytes  31.01.2012 17:02:32
AESBX.DLL      : 8.2.4.5       434549 Bytes  03.12.2011 17:34:04
AERDL.DLL      : 8.1.9.15      639348 Bytes  11.09.2011 15:10:40
AEPACK.DLL     : 8.2.16.3      799094 Bytes  11.02.2012 10:33:08
AEOFFICE.DLL   : 8.1.2.25      201084 Bytes  31.12.2011 09:30:14
AEHEUR.DLL     : 8.1.3.31     4395383 Bytes  16.02.2012 18:19:06
AEHELP.DLL     : 8.1.19.0      254327 Bytes  31.01.2012 17:02:13
AEGEN.DLL      : 8.1.5.21      409971 Bytes  04.02.2012 14:40:34
AEEXP.DLL      : 8.1.0.22       70005 Bytes  16.02.2012 18:19:07
AEEMU.DLL      : 8.1.3.0       393589 Bytes  25.11.2010 13:58:58
AECORE.DLL     : 8.1.25.4      201079 Bytes  14.02.2012 09:28:30
AEBB.DLL       : 8.1.1.0        53618 Bytes  15.05.2010 13:25:50
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 09:59:10
AVPREF.DLL     : 10.0.3.2       44904 Bytes  24.07.2011 16:58:59
AVREP.DLL      : 10.0.0.10     174120 Bytes  20.05.2011 18:55:16
AVARKT.DLL     : 10.0.26.1     255336 Bytes  24.07.2011 16:58:59
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  24.07.2011 16:58:59
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 10:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 13:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 12:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  24.07.2011 16:58:59
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  24.07.2011 16:58:59

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 17. Februar 2012  17:39

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\users\hilde\appdata\local\microsoft\windows\temporary internet files\low\content.ie5\qpin78sd\index[1].js
c:\users\hilde\appdata\local\microsoft\windows\temporary internet files\low\content.ie5\qpin78sd\index[1].js
  [HINWEIS]   Die Datei ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '137' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'brs.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD8Serv.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'VideoWebCamera.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '158' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Packard Bell>


Ende des Suchlaufs: Freitag, 17. Februar 2012  18:34
Benötigte Zeit: 55:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  23432 Verzeichnisse wurden überprüft
 352625 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 352625 Dateien ohne Befall
   2789 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
 527400 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden
         

Antwort

Themen zu Gleich zwei Trojaner auf einmal?
antivir, antivir guard, avira, babylon, cpu, desktop, emsisoft, emsisoft anti-malware, firefox, flash player, google, hijack, home, mozilla, office 2007, packard bell, problem, realtek, scan, schädling, search the web, security, sicherheit, software, svchost.exe, system, tr/spy., trojaner, trojanisches pferd, updates, usb 2.0, vista, windows, windows 7 home, windows 7 home premium




Ähnliche Themen: Gleich zwei Trojaner auf einmal?


  1. Windows 7 fährt im abgesicherten Modus gleich wieder runter. GUV Trojaner vermutet
    Log-Analyse und Auswertung - 27.09.2014 (25)
  2. Gesellschaft für Urheberrechtsverletzung - zwei Trojaner
    Log-Analyse und Auswertung - 05.07.2013 (1)
  3. Zwei Trojaner an Board...
    Plagegeister aller Art und deren Bekämpfung - 31.01.2013 (17)
  4. Trojaner/Spyware Befall? ^ einmal tippen, zwei zeichen(^^)
    Plagegeister aller Art und deren Bekämpfung - 22.11.2012 (23)
  5. Trojaner sperrt Windows gleich bei der Anmeldung
    Plagegeister aller Art und deren Bekämpfung - 21.05.2012 (7)
  6. Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich
    Mülltonne - 12.05.2012 (5)
  7. Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich Achtung
    Plagegeister aller Art und deren Bekämpfung - 12.05.2012 (1)
  8. 2 Mal selbes pogramm auf Pc (einmal 64 bit einmal normal)
    Alles rund um Windows - 21.02.2011 (2)
  9. zwei Trojaner - TR/ATRAPS.Gen
    Log-Analyse und Auswertung - 05.10.2009 (10)
  10. gleich mehrere trojaner gleichzeitig
    Log-Analyse und Auswertung - 12.03.2009 (1)
  11. gleich mehrere trojaner gleichzeitig
    Log-Analyse und Auswertung - 11.03.2009 (39)
  12. Zwei Trojaner gefunden
    Log-Analyse und Auswertung - 10.12.2008 (14)
  13. Trojaner gleich nach der Installation on board!
    Plagegeister aller Art und deren Bekämpfung - 09.05.2008 (4)
  14. Zwei Trojaner und vertrauliche Daten?
    Plagegeister aller Art und deren Bekämpfung - 03.03.2007 (3)
  15. Zwei Trojaner gefunden - was nun?
    Plagegeister aller Art und deren Bekämpfung - 12.11.2005 (23)
  16. zwei trojaner, aber was löschen ?:(
    Plagegeister aller Art und deren Bekämpfung - 25.02.2005 (10)
  17. ein wurm und zwei trojaner...
    Plagegeister aller Art und deren Bekämpfung - 11.12.2004 (1)

Zum Thema Gleich zwei Trojaner auf einmal? - Okay, mach ich. Tut mir leid mit dem Code! - Gleich zwei Trojaner auf einmal?...
Archiv
Du betrachtest: Gleich zwei Trojaner auf einmal? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.