| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: System Check Trojaner?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
26.02.2012, 23:22
| #1 |
 |  System Check Trojaner? Hallo, seit heute morgen hab ich einen System Check Trojaner, der sich mit den hier gefunden Fehlermeldungen und der Anzeige des Desktop und der Aussage über den Taskmanager und den "verschwundenen " Dateien und Programme deckt. Wie kann ich ihn beseitigen ohne meinen ganzen Laptop platt zu machen (nein, ich hatte keine Datensicherung gemacht  und benötige diese dringend).Ich hoffe, ich habe alle hier geforderten Daten erfolgreich geladen. Über Hilfe, die auch ein Laie wie ich verstehen kann würde ich mich sehr freuen. Liebe Grüsse Claudia Hier der DDS.txt: . DDS (Ver_2011-08-26.01) - FAT32x86 Internet Explorer: 7.0.5730.13 BrowserJavaVersion: 1.6.0_22 Run by Administrator at 22:38:19 on 2012-02-26 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1919.961 [GMT 1:00] . AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7} . ============== Running Processes =============== . C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost -k DcomLaunch SVCHOST.EXE C:\WINDOWS\System32\svchost.exe -k netsvcs SVCHOST.EXE SVCHOST.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Programme\Avira\AntiVir Desktop\sched.exe SVCHOST.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\LANCOM\Advanced VPN Client\ncpclcfg.exe C:\Programme\LANCOM\Advanced VPN Client\ncprwsnt.exe C:\Programme\LANCOM\Advanced VPN Client\ncpsec.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\LANCOM\Advanced VPN Client\rwsrsu.exe C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe C:\Programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe C:\WINDOWS\system32\svchost.exe -k imgsvc C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe C:\WINDOWS\Explorer.EXE C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\Programme\ATKOSD2\ATKOSD2.exe C:\Programme\ATK Hotkey\Hcontrol.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ASUS\ATK Media\DMEDIA.EXE C:\Programme\ASUS\ASUS Live Update\ALU.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ASUS\Splendid\ACMON.exe C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe C:\Programme\Nero\Nero 7\InCD\NBHGui.exe C:\Programme\Nero\Nero 7\InCD\InCD.exe C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe C:\WINDOWS\system32\ACEngSvr.exe C:\Programme\ASUS\Power4 Gear\BatteryLife.exe C:\Programme\Wireless Console 2\wcourier.exe C:\WINDOWS\system32\ASUSTPE.exe C:\WINDOWS\ASScrPro.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\LANCOM\Advanced VPN Client\NcpBudgetGui.exe C:\Programme\LANCOM\Advanced VPN Client\rwsrsu.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\ATK Hotkey\ATKOSD.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qmbMTuLOUQqEwqQ.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATK Hotkey\KBFiltr.exe C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Microsoft ActiveSync\Wcescomm.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe C:\Programme\ATK Hotkey\WDC.exe C:\PROGRA~1\MICROS~4\rapimgr.exe C:\WINDOWS\System32\svchost.exe -k HTTPFilter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\r86bxgw7ITQOSS.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe C:\WINDOWS\notepad.exe C:\Programme\Microsoft Office\Office12\WINWORD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\Defogger.exe . ============== Pseudo HJT Report =============== . uStart Page = hxxp://www.google.de/ uSearch Page = hxxp://www.google.com uSearch Bar = hxxp://www.google.com/ie uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Connection Wizard,ShellNext = hxxp://www.asus.com/ uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s mSearchAssistant = hxxp://www.google.com/ie uURLSearchHooks: H - No File uURLSearchHooks: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\programme\icq6toolbar\ICQToolBar.dll BHO: Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelper.dll BHO: Incredibar.com Helper Object: {6e13dde1-2b6e-46ce-8b66-dc8bf36f6b99} - c:\programme\incredibar.com\incredibar\1.5.3.27\bh\incredibar.dll BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\programme\google\google toolbar\GoogleToolbar_32.dll BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.7.7227.1100\swg.dll BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll TB: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\programme\icq6toolbar\ICQToolBar.dll TB: Easy-WebPrint: {327c2873-e90d-4c37-aa9d-10ac9baba46c} - c:\programme\canon\easy-webprint\Toolband.dll TB: Incredibar Toolbar: {f9639e4a-801b-4843-aee3-03d9da199e77} - c:\programme\incredibar.com\incredibar\1.5.3.27\incredibarTlbr.dll TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\programme\google\google toolbar\GoogleToolbar_32.dll EB: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\programme\icq6toolbar\ICQToolBar.dll uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe uRun: [<NO NAME>] uRun: [StartCCC] c:\programme\ati technologies\ati.ace\core-static\CLIStart.exe uRun: [LightScribe Control Panel] c:\programme\gemeinsame dateien\lightscribe\LightScribeControlPanel.exe -hidden uRun: [swg] "c:\programme\google\googletoolbarnotifier\GoogleToolbarNotifier.exe" uRun: [H/PC Connection Agent] "c:\programme\microsoft activesync\Wcescomm.exe" uRun: [Facebook Update] "c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\facebook\update\FacebookUpdate.exe" /c /nocrashserver mRun: [ATKOSD2] "c:\programme\atkosd2\ATKOSD2.exe" mRun: [ATKHOTKEY] "c:\programme\atk hotkey\Hcontrol.exe" mRun: [RTHDCPL] RTHDCPL.EXE mRun: [SkyTel] SkyTel.EXE mRun: [Alcmtr] ALCMTR.EXE mRun: [ATKMEDIA] c:\programme\asus\atk media\DMEDIA.EXE mRun: [ASUS Live Update] c:\programme\asus\asus live update\ALU.exe mRun: [SynTPEnh] c:\programme\synaptics\syntp\SynTPEnh.exe mRun: [ACMON] "c:\programme\asus\splendid\ACMON.exe" mRun: [ABLKSR] c:\windows\ablksr\ABLKSR.exe mRun: [RemoteControl] c:\programme\asustek\asusdvd\PDVDServ.exe mRun: [LanguageShortcut] c:\programme\asustek\asusdvd\language\Language.exe mRun: [NeroFilterCheck] c:\programme\gemeinsame dateien\ahead\lib\NeroCheck.exe mRun: [SecurDisc] c:\programme\nero\nero 7\incd\NBHGui.exe mRun: [InCD] c:\programme\nero\nero 7\incd\InCD.exe mRun: [SMSERIAL] c:\programme\motorola\smserial\sm56hlpr.exe mRun: [Power_Gear] c:\programme\asus\power4 gear\BatteryLife.exe 1 mRun: [Wireless Console 2] "c:\programme\wireless console 2\wcourier.exe" mRun: [ASUSTPE] c:\windows\system32\ASUSTPE.exe mRun: [ASUS Camera ScreenSaver] c:\windows\ASScrProlog.exe mRun: [ASUS Screen Saver Protector] c:\windows\ASScrPro.exe mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe" mRun: [TrueImageMonitor.exe] c:\programme\acronis\trueimagehome\TrueImageMonitor.exe mRun: [AcronisTimounterMonitor] c:\programme\acronis\trueimagehome\TimounterMonitor.exe mRun: [Acronis Scheduler2 Service] "c:\programme\gemeinsame dateien\acronis\schedule2\schedhlp.exe" mRun: [Adobe Reader Speed Launcher] "c:\programme\adobe\reader 8.0\reader\Reader_sl.exe" mRun: [NcpBudgetGui] "c:\programme\lancom\advanced vpn client\NcpBudgetGui.exe" -start mRun: [NcpPopup] "c:\programme\lancom\advanced vpn client\ncppopup.exe" noerrmsg mRun: [NcpRsuGui] "c:\programme\lancom\advanced vpn client\rwsrsu.exe" -gui mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min mRun: [OpwareSE2] "c:\programme\scansoft\omnipagese2.0\OpwareSE2.exe" mRun: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime mRun: [LexwareInfoService] c:\programme\gemeinsame dateien\lexware\update manager\LxUpdateManager.exe /autostart mRun: [qmbMTuLOUQqEwqQ.exe] c:\dokumente und einstellungen\all users\anwendungsdaten\qmbMTuLOUQqEwqQ.exe mRun: [Malwarebytes' Anti-Malware] "c:\programme\malwarebytes' anti-malware\mbamgui.exe" /starttray mRunOnce: [ Malwarebytes Anti-Malware ] c:\programme\malwarebytes' anti-malware\mbamgui.exe /install /silent dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE StartupFolder: c:\dokume~1\admini~1\startm~1\progra~1\autost~1\ccc.lnk - c:\programme\ati technologies\ati.ace\core-static\CCC.exe StartupFolder: c:\dokume~1\admini~1\startm~1\progra~1\autost~1\onenot~1.lnk - c:\programme\microsoft office\office12\ONENOTEM.EXE StartupFolder: c:\dokume~1\admini~1\startm~1\progra~1\autost~1\openof~1.lnk - c:\programme\openoffice.org 3\program\quickstart.exe uPolicies-explorer: NoDesktop = 1 (0x1) IE: Easy-WebPrint - Drucken - c:\programme\canon\easy-webprint\Resource.dll/RC_Print.html IE: Easy-WebPrint - Schnelldruck - c:\programme\canon\easy-webprint\Resource.dll/RC_HSPrint.html IE: Easy-WebPrint - Vorschau - c:\programme\canon\easy-webprint\Resource.dll/RC_Preview.html IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\canon\easy-webprint\Resource.dll/RC_AddToList.html IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~2\office12\EXCEL.EXE/3000 IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe IE: {E59EB121-F339-4851-A3BA-FE49C35617C2} - c:\programme\icq6.5\ICQ.exe IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll IE: {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - c:\progra~1\micros~4\INetRepl.dll IE: {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - c:\progra~1\micros~4\INetRepl.dll IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} - hxxp://navigram.com/engine/v1111/Navigram.cab DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} - hxxp://172.16.200.115/activex/AMC.cab DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://172.16.200.100/activex/AMC.cab TCP: DhcpNameServer = 192.168.2.1 TCP: Interfaces\{DCD367F5-B82B-4284-B40E-0CD9D2F5D30D} : DhcpNameServer = 192.168.2.1 Notify: AtiExtEvent - Ati2evxx.dll LSA: Authentication Packages = msv1_0 relog_ap nwprovau mASetup: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "c:\programme\gemeinsame dateien\lightscribe\LSRunOnce.exe" mASetup: ccc-core-static - msiexec /fums {857D4360-762B-978B-76AD-491AA719E47A} /qb . ================= FIREFOX =================== . FF - ProfilePath - c:\dokumente und einstellungen\administrator\anwendungsdaten\mozilla\firefox\profiles\py0mfi38.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - plugin: c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\facebook\video\skype\npFacebookVideoCalling.dll FF - plugin: c:\programme\google\google earth\plugin\npgeplugin.dll FF - plugin: c:\programme\google\update\1.3.21.99\npGoogleUpdate3.dll FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\programme\mozilla firefox\plugins\npdeployJava1.dll . ---- FIREFOX POLICIES ---- FF - user.js: extensions.incredibar_i.newTab - false FF - user.js: extensions.incredibar_i.tlbrSrchUrl - hxxp://mystart.Incredibar.com/?a=6PQgQRHkZJ&loc=IB_TB&i=26&search= FF - user.js: extensions.incredibar_i.id - 20e0dc4300000000000002004e435049 FF - user.js: extensions.incredibar_i.hardId - 20e0dc4300000000000002004e435049 FF - user.js: extensions.incredibar_i.instlDay - 15308 FF - user.js: extensions.incredibar_i.vrsn - 1.5.3.27 FF - user.js: extensions.incredibar_i.vrsni - 1.5.3.27 FF - user.js: extensions.incredibar_i.vrsnTs - 1.5.3.270:39:10 FF - user.js: extensions.incredibar_i.prtnrId - Incredibar FF - user.js: extensions.incredibar_i.prdct - incredibar FF - user.js: extensions.incredibar_i.aflt - orgnl FF - user.js: extensions.incredibar_i.smplGrp - none FF - user.js: extensions.incredibar_i.tlbrId - base FF - user.js: extensions.incredibar_i.instlRef - FF - user.js: extensions.incredibar_i.dfltLng - FF - user.js: extensions.incredibar_i.excTlbr - false FF - user.js: extensions.incredibar_i.ms_url_id - FF - user.js: extensions.incredibar_i.upn2 - 6PQgQRHkZJ FF - user.js: extensions.incredibar_i.upn2n - 92541945858085051 FF - user.js: extensions.incredibar_i.productid - 26 FF - user.js: extensions.incredibar_i.installerproductid - 26 FF - user.js: extensions.incredibar_i.did - 10590 FF - user.js: extensions.incredibar_i.ppd - . ============= SERVICES / DRIVERS =============== . R1 avgio;avgio;c:\programme\avira\antivir desktop\avgio.sys [2010-12-5 11608] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\avira\antivir desktop\sched.exe [2010-12-5 136360] R2 AntiVirService;Avira AntiVir Guard;c:\programme\avira\antivir desktop\avguard.exe [2010-12-5 269480] R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2010-12-5 66616] R2 ICQ Service;ICQ Service;c:\programme\icq6toolbar\ICQ Service.exe [2009-12-17 222968] R2 MBAMService;MBAMService;c:\programme\malwarebytes' anti-malware\mbamservice.exe [2012-2-26 652360] R2 ncpclcfg;ncpclcfg;c:\programme\lancom\advanced vpn client\ncpclcfg.exe [2009-10-5 86016] R2 ncprwsnt;ncprwsnt;c:\programme\lancom\advanced vpn client\NCPRWSNT.EXE [2009-10-5 1078792] R2 NcpSec;NcpSec;c:\programme\lancom\advanced vpn client\NCPSEC.EXE [2009-10-5 32768] R2 rwsrsu;RwsRsu;c:\programme\lancom\advanced vpn client\rwsrsu.exe [2009-10-5 850432] R2 StarMoney 8.0 OnlineUpdate;StarMoney 8.0 OnlineUpdate;c:\programme\starmoney 8.0 s-edition\ouservice\StarMoneyOnlineUpdate.exe [2012-1-3 688648] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-2-26 20464] R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2012-2-26 40776] R3 NcpFiltMP;NcpFiltMP;c:\windows\system32\drivers\ncpvaxp.sys [2009-10-5 79528] S2 gupdate;Google Update Service (gupdate);c:\programme\google\update\GoogleUpdate.exe [2010-4-1 135664] S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\google\update\GoogleUpdate.exe [2010-4-1 135664] S3 NcpFilt;Ncp Filter Service;c:\windows\system32\drivers\ncpvaxp.sys [2009-10-5 79528] S3 ncpvaxp;NCP Secure Client Virtual Adapter Driver;c:\windows\system32\drivers\ncpvaxp.sys [2009-10-5 79528] . =============== Created Last 30 ================ . 2012-02-26 21:17:32 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2012-02-26 21:17:31 -------- d-----w- c:\dokumente und einstellungen\administrator\anwendungsdaten\Malwarebytes 2012-02-26 21:17:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-02-26 21:17:24 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes 2012-02-26 21:17:23 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2012-02-26 20:28:16 -------- d-----w- c:\windows\system32\appmgmt 2012-02-26 17:01:11 355328 ---ha-w- c:\dokumente und einstellungen\all users\anwendungsdaten\r86bxgw7ITQOSS.exe 2012-02-26 12:53:02 450048 ---ha-w- c:\dokumente und einstellungen\all users\anwendungsdaten\qmbMTuLOUQqEwqQ.exe 2012-02-16 17:50:02 3072 ---h--w- c:\windows\system32\iacenc.dll 2012-02-16 17:50:02 3072 ---h--w- c:\windows\system32\dllcache\iacenc.dll 2012-02-10 18:36:27 -------- d--h--w- c:\programme\OnlineControl 2012-02-09 22:40:34 -------- d-sh--w- C:\FOUND.000 2012-01-29 21:55:49 -------- d--h--w- c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\Facebook . ==================== Find3M ==================== . 2012-02-17 00:35:04 4542 ---ha-w- c:\windows\system32\PerfStringBackup.TMP 2012-01-12 17:20:28 1860096 ---ha-w- c:\windows\system32\win32k.sys 2011-12-19 08:08:30 832512 ---ha-w- c:\windows\system32\wininet.dll 2011-12-19 08:08:30 78336 ---ha-w- c:\windows\system32\ieencode.dll 2011-12-19 08:08:30 1830912 ---h--w- c:\windows\system32\inetcpl.cpl 2011-12-19 08:08:28 17408 ---h--w- c:\windows\system32\corpol.dll 2011-10-18 22:30:10 38958968 ---ha-w- c:\programme\QuickTimeInstaller.exe 2011-10-01 22:57:54 7886336 ---ha-w- c:\programme\Microsoft_ActiveSync_4.5.msi 2011-10-01 22:55:54 28895326 ---ha-w- c:\programme\Phone_Software_Update-Windows_Mobile_IF1.exe 2011-09-17 12:41:44 286104 ---ha-w- c:\programme\SoftonicDownloader_fuer_photo-flash-maker.exe 2007-03-12 17:59:00 299008 ---ha-w- c:\programme\navigram_register.exe . ============= FINISH: 22:39:20,92 =============== |
|
27.02.2012, 09:44
| #2 |
| /// Malwareteam    | System Check Trojaner? Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen. Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst. Ich bedanke mich für deine Geduld  Gruß, PsYcHoTiC
__________________ |
|
27.02.2012, 10:43
| #3 |
| | System Check Trojaner? Danke für die Info!
__________________ |
|
27.02.2012, 14:19
| #4 |
| /// Malwareteam | System Check Trojaner?Mein Name ist Marius und ich werde dir bei deinem Problem helfen. Eines vorneweg: Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist. Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1: Software deinstallieren Drücke die Windows- und die R-Taste gleichzeitig, schreibe in das sich öffende Textfeld appwiz.cpl, drücke enter. Im folgenden Fenster, suche und deinstalliere folgende Einträge: Code:
ATTFilter Incredibar Toolbar on IE and Chrome
Schritt 2: Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
__________________ Kein Asylrecht für Trojaner!  Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
27.02.2012, 15:33
| #5 |
| | System Check Trojaner? Hallo Marius, Danke, das Du mir hilfst!! Hier die Combofix Textdatei: Combofix Logfile: Code:
ATTFilter ComboFix 12-02-25.02 - Administrator 27.02.2012 15:10:07.1.2 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1919.583 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Eigene Dateien\Downloads\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\Desktop\System Check.lnk
c:\dokumente und einstellungen\Administrator\WINDOWS
c:\dokumente und einstellungen\All Users\Anwendungsdaten\~r86bxgw7ITQOSS
c:\dokumente und einstellungen\All Users\Anwendungsdaten\~r86bxgw7ITQOSSr
c:\dokumente und einstellungen\All Users\Anwendungsdaten\qmbMTuLOUQqEwqQ.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\r86bxgw7ITQOSS
c:\dokumente und einstellungen\All Users\Anwendungsdaten\r86bxgw7ITQOSS.exe
c:\windows\IsUn0407.exe
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\WindowsUpdate.log
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-01-27 bis 2012-02-27 ))))))))))))))))))))))))))))))
.
.
2012-02-27 14:17 . 2003-07-29 02:18 3839 ---ha-w- c:\windows\system32\drivers\GETPADD.sys
2012-02-27 06:50 . 2012-02-27 06:50 -------- d--h--r- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2012-02-26 23:55 . 2012-02-26 23:55 -------- d--h--w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Incredibar.com
2012-02-26 23:54 . 2012-02-26 23:54 -------- d--h--r- c:\dokumente und einstellungen\LocalService\Favoriten
2012-02-26 22:33 . 2012-02-26 22:33 -------- d--h--w- c:\programme\ESET
2012-02-26 21:56 . 2012-02-26 21:56 -------- d--h--w- c:\programme\7-Zip
2012-02-26 21:17 . 2012-02-26 21:17 -------- d--h--w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2012-02-26 21:17 . 2012-02-26 21:17 -------- d--h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-02-26 21:17 . 2011-12-10 14:24 20464 ---ha-w- c:\windows\system32\drivers\mbam.sys
2012-02-26 21:17 . 2012-02-26 21:17 -------- d--h--w- c:\programme\Malwarebytes' Anti-Malware
2012-02-16 17:50 . 2012-01-11 19:06 3072 ---h--w- c:\windows\system32\iacenc.dll
2012-02-16 17:50 . 2012-01-11 19:06 3072 ---h--w- c:\windows\system32\dllcache\iacenc.dll
2012-02-10 18:36 . 2012-02-10 18:36 -------- d--h--w- c:\programme\OnlineControl
2012-02-09 22:40 . 2012-02-09 22:40 -------- d-----w- C:\FOUND.000
2012-01-29 21:55 . 2012-01-29 21:55 -------- d--h--w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-17 00:35 . 2009-05-12 19:51 4542 ---ha-w- c:\windows\system32\PerfStringBackup.TMP
2012-01-12 17:20 . 2006-08-17 16:42 1860096 ---ha-w- c:\windows\system32\win32k.sys
2011-12-19 08:08 . 2006-08-17 16:42 832512 ---ha-w- c:\windows\system32\wininet.dll
2011-12-19 08:08 . 2006-08-17 16:42 1830912 ---h--w- c:\windows\system32\inetcpl.cpl
2011-12-19 08:08 . 2006-08-17 16:42 78336 ---ha-w- c:\windows\system32\ieencode.dll
2011-12-19 08:08 . 2006-08-17 16:42 17408 ---h--w- c:\windows\system32\corpol.dll
2011-10-18 22:30 . 2011-10-18 22:30 38958968 ---ha-w- c:\programme\QuickTimeInstaller.exe
2011-10-01 22:57 . 2011-10-01 22:57 7886336 ---ha-w- c:\programme\Microsoft_ActiveSync_4.5.msi
2011-10-01 22:55 . 2011-10-01 22:55 28895326 ---ha-w- c:\programme\Phone_Software_Update-Windows_Mobile_IF1.exe
2011-09-17 12:41 . 2011-09-17 12:41 286104 ---ha-w- c:\programme\SoftonicDownloader_fuer_photo-flash-maker.exe
2007-03-12 17:59 . 2007-03-12 17:59 299008 ---ha-w- c:\programme\navigram_register.exe
2012-02-19 08:58 . 2012-02-15 04:47 134104 ---ha-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-06-20 451872]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-09 68856]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]
"Facebook Update"="c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe" [2012-01-29 137536]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATKOSD2"="c:\programme\ATKOSD2\ATKOSD2.exe" [2007-10-17 7737344]
"ATKHOTKEY"="c:\programme\ATK Hotkey\Hcontrol.exe" [2007-07-12 225280]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 16269312]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"ATKMEDIA"="c:\programme\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 61440]
"ASUS Live Update"="c:\programme\ASUS\ASUS Live Update\ALU.exe" [2007-11-30 51768]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"ACMON"="c:\programme\ASUS\Splendid\ACMON.exe" [2007-07-10 851968]
"ABLKSR"="c:\windows\ABLKSR\ABLKSR.exe" [2006-01-02 61440]
"RemoteControl"="c:\programme\ASUSTek\ASUSDVD\PDVDServ.exe" [2007-01-08 68640]
"LanguageShortcut"="c:\programme\ASUSTek\ASUSDVD\Language\Language.exe" [2007-01-08 52256]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="c:\programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-01 1629744]
"InCD"="c:\programme\Nero\Nero 7\InCD\InCD.exe" [2007-06-01 1057328]
"SMSERIAL"="c:\programme\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"Power_Gear"="c:\programme\ASUS\Power4 Gear\BatteryLife.exe" [2006-07-26 90112]
"Wireless Console 2"="c:\programme\Wireless Console 2\wcourier.exe" [2007-07-05 1040384]
"ASUSTPE"="c:\windows\system32\ASUSTPE.exe" [2007-01-16 106496]
"ASUS Camera ScreenSaver"="c:\windows\ASScrProlog.exe" [2008-05-14 37232]
"ASUS Screen Saver Protector"="c:\windows\ASScrPro.exe" [2008-05-14 33136]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-09-22 1176768]
"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-09-22 1949912]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-09-22 82832]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NcpBudgetGui"="c:\programme\LANCOM\Advanced VPN Client\NcpBudgetGui.exe" [2009-01-19 2625536]
"NcpPopup"="c:\programme\LANCOM\Advanced VPN Client\ncppopup.exe" [2008-09-25 618496]
"NcpRsuGui"="c:\programme\LANCOM\Advanced VPN Client\rwsrsu.exe" [2008-12-02 850432]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2011-07-05 421888]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2010-09-15 339312]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\windows\system32\config\systemprofile\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\dokumente und einstellungen\CS\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\windows\system32\config\systemprofile\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\windows\system32\config\systemprofile\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\dokumente und einstellungen\Default User\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\persistentroutes]
"84.178.46.13,255.255.255.255,192.168.2.1,1"=""
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap nwprovau
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\MSMSGS.EXE"=
"c:\\Programme\\go1984 Desktop Client\\go1984DesktopClient.exe"=
"c:\\Programme\\LANCOM\\Advanced VPN Client\\NCPMON.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\app\\StarMoney.exe"=
"c:\\Dokumente und Einstellungen\\Administrator\\Lokale Einstellungen\\Anwendungsdaten\\Facebook\\Video\\Skype\\FacebookVideoCalling.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [05.12.2010 14:40 136360]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [17.12.2009 23:09 222968]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [26.02.2012 22:17 652360]
R2 ncpclcfg;ncpclcfg;c:\programme\LANCOM\Advanced VPN Client\ncpclcfg.exe [05.10.2009 17:12 86016]
R2 ncprwsnt;ncprwsnt;c:\programme\LANCOM\Advanced VPN Client\NCPRWSNT.EXE [05.10.2009 17:12 1078792]
R2 NcpSec;NcpSec;c:\programme\LANCOM\Advanced VPN Client\NCPSEC.EXE [05.10.2009 17:12 32768]
R2 rwsrsu;RwsRsu;c:\programme\LANCOM\Advanced VPN Client\rwsrsu.exe [05.10.2009 17:12 850432]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [26.02.2012 22:17 20464]
R3 NcpFiltMP;NcpFiltMP;c:\windows\system32\drivers\ncpvaxp.sys [05.10.2009 17:12 79528]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [01.04.2010 19:03 135664]
S2 StarMoney 8.0 OnlineUpdate;StarMoney 8.0 OnlineUpdate;c:\programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [03.01.2012 16:03 688648]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [01.04.2010 19:03 135664]
S3 NcpFilt;Ncp Filter Service;c:\windows\system32\drivers\ncpvaxp.sys [05.10.2009 17:12 79528]
S3 ncpvaxp;NCP Secure Client Virtual Adapter Driver;c:\windows\system32\drivers\ncpvaxp.sys [05.10.2009 17:12 79528]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-06-20 11:47 451872 ---ha-w- c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-27 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-05-05 21:18]
.
2012-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-01 18:03]
.
2012-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-01 18:03]
.
2012-02-26 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1786809193-3580902552-3016979917-500Core.job
- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe [2012-01-29 21:55]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.asus.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://172.16.200.100/activex/AMC.cab
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\py0mfi38.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - user.js: extensions.incredibar_i.newTab - false
FF - user.js: extensions.incredibar_i.tlbrSrchUrl - hxxp://mystart.Incredibar.com/?a=6PQgQRHkZJ&loc=IB_TB&i=26&search=
FF - user.js: extensions.incredibar_i.id - 20e0dc4300000000000002004e435049
FF - user.js: extensions.incredibar_i.hardId - 20e0dc4300000000000002004e435049
FF - user.js: extensions.incredibar_i.instlDay - 15308
FF - user.js: extensions.incredibar_i.vrsn - 1.5.3.27
FF - user.js: extensions.incredibar_i.vrsni - 1.5.3.27
FF - user.js: extensions.incredibar_i.vrsnTs - 1.5.3.270:39
FF - user.js: extensions.incredibar_i.prtnrId - Incredibar
FF - user.js: extensions.incredibar_i.prdct - incredibar
FF - user.js: extensions.incredibar_i.aflt - orgnl
FF - user.js: extensions.incredibar_i.smplGrp - none
FF - user.js: extensions.incredibar_i.tlbrId - base
FF - user.js: extensions.incredibar_i.instlRef -
FF - user.js: extensions.incredibar_i.dfltLng -
FF - user.js: extensions.incredibar_i.excTlbr - false
FF - user.js: extensions.incredibar_i.ms_url_id -
FF - user.js: extensions.incredibar_i.upn2 - 6PQgQRHkZJ
FF - user.js: extensions.incredibar_i.upn2n - 92541945858085051
FF - user.js: extensions.incredibar_i.productid - 26
FF - user.js: extensions.incredibar_i.installerproductid - 26
FF - user.js: extensions.incredibar_i.did - 10590
FF - user.js: extensions.incredibar_i.ppd -
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-qmbMTuLOUQqEwqQ.exe - c:\dokumente und einstellungen\All Users\Anwendungsdaten\qmbMTuLOUQqEwqQ.exe
HKLM_ActiveSetup-ccc-core-static - msiexec
AddRemove-Adobe Photoshop 7.0 - c:\windows\ISUN0407.EXE
AddRemove-Easy-WebPrint - c:\windows\IsUn0407.exe
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-02-27 15:18
Windows 5.1.2600 Service Pack 3 FAT NTAPI
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(872)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'lsass.exe'(940)
c:\windows\system32\relog_ap.dll
.
- - - - - - - > 'explorer.exe'(5100)
c:\programme\ScanSoft\OmniPageSE2.0\ophookSE2.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\acs.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\ACEngSvr.exe
c:\programme\ATK Hotkey\ATKOSD.exe
c:\progra~1\MICROS~4\rapimgr.exe
c:\programme\ATK Hotkey\KBFiltr.exe
c:\programme\ATK Hotkey\WDC.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Nero\Nero 7\InCD\InCDsrv.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\program files\ASUS\NB Probe\SPM\spmgr.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\windows\system32\wdfmgr.exe
c:\programme\RealVNC\VNC4\WinVNC4.exe
c:\windows\System32\SCardSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-02-27 15:26:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-02-27 14:25
.
Vor Suchlauf: 1 Verzeichnis(se), 53.016.952.832 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 55.515.545.600 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 1168D6A8A962DFB79B325F7E4462A7D2
|
|
27.02.2012, 17:59
| #6 |
| /// Malwareteam | System Check Trojaner? Schritt 1: Combofix-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter FILE::
c:\programme\SoftonicDownloader_fuer_photo-flash-maker.exe
FOLDER::
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Incredibar.com
FIREFOX::
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\py0mfi38.default\
FF - user.js: extensions.incredibar_i.newTab - false
FF - user.js: extensions.incredibar_i.tlbrSrchUrl - hxxp://mystart.Incredibar.com/?a=6PQgQRHkZJ&loc=IB_TB&i=26&search=
FF - user.js: extensions.incredibar_i.id - 20e0dc4300000000000002004e435049
FF - user.js: extensions.incredibar_i.hardId - 20e0dc4300000000000002004e435049
FF - user.js: extensions.incredibar_i.instlDay - 15308
FF - user.js: extensions.incredibar_i.vrsn - 1.5.3.27
FF - user.js: extensions.incredibar_i.vrsni - 1.5.3.27
FF - user.js: extensions.incredibar_i.vrsnTs - 1.5.3.270:39
FF - user.js: extensions.incredibar_i.prtnrId - Incredibar
FF - user.js: extensions.incredibar_i.prdct - incredibar
FF - user.js: extensions.incredibar_i.aflt - orgnl
FF - user.js: extensions.incredibar_i.smplGrp - none
FF - user.js: extensions.incredibar_i.tlbrId - base
FF - user.js: extensions.incredibar_i.instlRef -
FF - user.js: extensions.incredibar_i.dfltLng -
FF - user.js: extensions.incredibar_i.excTlbr - false
FF - user.js: extensions.incredibar_i.ms_url_id -
FF - user.js: extensions.incredibar_i.upn2 - 6PQgQRHkZJ
FF - user.js: extensions.incredibar_i.upn2n - 92541945858085051
FF - user.js: extensions.incredibar_i.productid - 26
FF - user.js: extensions.incredibar_i.installerproductid - 26
FF - user.js: extensions.incredibar_i.did - 10590
FF - user.js: extensions.incredibar_i.ppd -
Wichtig:
Schritt 2: MBAM Downloade Dir bitte Malwarebytes
Schritt 3: Neues DDs-Log Starte bitte DDS
__________________ --> System Check Trojaner? Geändert von Larusso (27.02.2012 um 19:14 Uhr) |
|
27.02.2012, 22:16
| #7 |
| | System Check Trojaner? Hier die Dateien: Schritt 1: ComboFix 12-02-27.02 Combofix Logfile: Code:
ATTFilter ComboFix 12-02-27.02 - Administrator 27.02.2012 19:01:04.2.2 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1919.1237 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
FILE ::
"c:\programme\SoftonicDownloader_fuer_photo-flash-maker.exe"
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Incredibar.com
c:\programme\SoftonicDownloader_fuer_photo-flash-maker.exe
c:\windows\system32\drivers\etc\hosts.ics
.
Infizierte Kopie von c:\windows\system32\Drivers\atapi.sys wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\atapi.sys wurde wiederhergestellt
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-01-27 bis 2012-02-27 ))))))))))))))))))))))))))))))
.
.
2012-02-27 18:07 . 2003-07-29 02:18 3839 ----a-w- c:\windows\system32\drivers\GETPADD.sys
2012-02-27 06:50 . 2012-02-27 06:50 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2012-02-26 23:54 . 2012-02-26 23:54 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2012-02-26 22:33 . 2012-02-26 22:33 -------- d-----w- c:\programme\ESET
2012-02-26 21:56 . 2012-02-26 21:56 -------- d-----w- c:\programme\7-Zip
2012-02-26 21:17 . 2012-02-26 21:17 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2012-02-26 21:17 . 2012-02-26 21:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-02-26 21:17 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-02-26 21:17 . 2012-02-26 21:17 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-02-16 17:50 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
2012-02-16 17:50 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\dllcache\iacenc.dll
2012-02-10 18:36 . 2012-02-10 18:36 -------- d-----w- c:\programme\OnlineControl
2012-02-09 22:40 . 2012-02-09 22:40 -------- d-----w- C:\FOUND.000
2012-01-29 21:55 . 2012-01-29 21:55 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-17 00:35 . 2009-05-12 19:51 4542 ----a-w- c:\windows\system32\PerfStringBackup.TMP
2012-01-12 17:20 . 2006-08-17 16:42 1860096 ----a-w- c:\windows\system32\win32k.sys
2011-12-19 08:08 . 2006-08-17 16:42 832512 ----a-w- c:\windows\system32\wininet.dll
2011-12-19 08:08 . 2006-08-17 16:42 1830912 ------w- c:\windows\system32\inetcpl.cpl
2011-12-19 08:08 . 2006-08-17 16:42 78336 ----a-w- c:\windows\system32\ieencode.dll
2011-12-19 08:08 . 2006-08-17 16:42 17408 ------w- c:\windows\system32\corpol.dll
2011-10-18 22:30 . 2011-10-18 22:30 38958968 ----a-w- c:\programme\QuickTimeInstaller.exe
2011-10-01 22:57 . 2011-10-01 22:57 7886336 ----a-w- c:\programme\Microsoft_ActiveSync_4.5.msi
2011-10-01 22:55 . 2011-10-01 22:55 28895326 ----a-w- c:\programme\Phone_Software_Update-Windows_Mobile_IF1.exe
2007-03-12 17:59 . 2007-03-12 17:59 299008 ----a-w- c:\programme\navigram_register.exe
2012-02-19 08:58 . 2012-02-15 04:47 134104 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2012-02-27_14.17.19 )))))))))))))))))))))))))))))))))))))))))
.
+ 1601-01-01 00:00 . 1601-01-01 00:00 0 c:\windows\Temp\Perflib_Perfdata_8e4.dat
+ 2012-02-27 18:07 . 2012-02-27 18:07 16384 c:\windows\Temp\Perflib_Perfdata_d7c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-06-20 451872]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-09 68856]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]
"Facebook Update"="c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe" [2012-01-29 137536]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATKOSD2"="c:\programme\ATKOSD2\ATKOSD2.exe" [2007-10-17 7737344]
"ATKHOTKEY"="c:\programme\ATK Hotkey\Hcontrol.exe" [2007-07-12 225280]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 16269312]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"ATKMEDIA"="c:\programme\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 61440]
"ASUS Live Update"="c:\programme\ASUS\ASUS Live Update\ALU.exe" [2007-11-30 51768]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"ACMON"="c:\programme\ASUS\Splendid\ACMON.exe" [2007-07-10 851968]
"ABLKSR"="c:\windows\ABLKSR\ABLKSR.exe" [2006-01-02 61440]
"RemoteControl"="c:\programme\ASUSTek\ASUSDVD\PDVDServ.exe" [2007-01-08 68640]
"LanguageShortcut"="c:\programme\ASUSTek\ASUSDVD\Language\Language.exe" [2007-01-08 52256]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="c:\programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-01 1629744]
"InCD"="c:\programme\Nero\Nero 7\InCD\InCD.exe" [2007-06-01 1057328]
"SMSERIAL"="c:\programme\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"Power_Gear"="c:\programme\ASUS\Power4 Gear\BatteryLife.exe" [2006-07-26 90112]
"Wireless Console 2"="c:\programme\Wireless Console 2\wcourier.exe" [2007-07-05 1040384]
"ASUSTPE"="c:\windows\system32\ASUSTPE.exe" [2007-01-16 106496]
"ASUS Camera ScreenSaver"="c:\windows\ASScrProlog.exe" [2008-05-14 37232]
"ASUS Screen Saver Protector"="c:\windows\ASScrPro.exe" [2008-05-14 33136]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-09-22 1176768]
"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-09-22 1949912]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-09-22 82832]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NcpBudgetGui"="c:\programme\LANCOM\Advanced VPN Client\NcpBudgetGui.exe" [2009-01-19 2625536]
"NcpPopup"="c:\programme\LANCOM\Advanced VPN Client\ncppopup.exe" [2008-09-25 618496]
"NcpRsuGui"="c:\programme\LANCOM\Advanced VPN Client\rwsrsu.exe" [2008-12-02 850432]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2011-07-05 421888]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2010-09-15 339312]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\windows\system32\config\systemprofile\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\dokumente und einstellungen\CS\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\windows\system32\config\systemprofile\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\windows\system32\config\systemprofile\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\dokumente und einstellungen\Default User\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\persistentroutes]
"84.178.46.13,255.255.255.255,192.168.2.1,1"=""
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap nwprovau
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\MSMSGS.EXE"=
"c:\\Programme\\go1984 Desktop Client\\go1984DesktopClient.exe"=
"c:\\Programme\\LANCOM\\Advanced VPN Client\\NCPMON.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\app\\StarMoney.exe"=
"c:\\Dokumente und Einstellungen\\Administrator\\Lokale Einstellungen\\Anwendungsdaten\\Facebook\\Video\\Skype\\FacebookVideoCalling.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [05.12.2010 14:40 136360]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [17.12.2009 23:09 222968]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [26.02.2012 22:17 652360]
R2 ncpclcfg;ncpclcfg;c:\programme\LANCOM\Advanced VPN Client\ncpclcfg.exe [05.10.2009 17:12 86016]
R2 ncprwsnt;ncprwsnt;c:\programme\LANCOM\Advanced VPN Client\NCPRWSNT.EXE [05.10.2009 17:12 1078792]
R2 NcpSec;NcpSec;c:\programme\LANCOM\Advanced VPN Client\NCPSEC.EXE [05.10.2009 17:12 32768]
R2 rwsrsu;RwsRsu;c:\programme\LANCOM\Advanced VPN Client\rwsrsu.exe [05.10.2009 17:12 850432]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [26.02.2012 22:17 20464]
R3 NcpFiltMP;NcpFiltMP;c:\windows\system32\drivers\ncpvaxp.sys [05.10.2009 17:12 79528]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [01.04.2010 19:03 135664]
S2 StarMoney 8.0 OnlineUpdate;StarMoney 8.0 OnlineUpdate;c:\programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [03.01.2012 16:03 688648]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [01.04.2010 19:03 135664]
S3 NcpFilt;Ncp Filter Service;c:\windows\system32\drivers\ncpvaxp.sys [05.10.2009 17:12 79528]
S3 ncpvaxp;NCP Secure Client Virtual Adapter Driver;c:\windows\system32\drivers\ncpvaxp.sys [05.10.2009 17:12 79528]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-06-20 11:47 451872 ----a-w- c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-27 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-05-05 21:18]
.
2012-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-01 18:03]
.
2012-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-01 18:03]
.
2012-02-26 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1786809193-3580902552-3016979917-500Core.job
- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe [2012-01-29 21:55]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.asus.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://172.16.200.100/activex/AMC.cab
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\py0mfi38.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-02-27 19:08
Windows 5.1.2600 Service Pack 3 FAT NTAPI
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(872)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'lsass.exe'(932)
c:\windows\system32\relog_ap.dll
.
- - - - - - - > 'explorer.exe'(5756)
c:\programme\ScanSoft\OmniPageSE2.0\ophookSE2.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\acs.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\ACEngSvr.exe
c:\programme\ATK Hotkey\ATKOSD.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
c:\progra~1\MICROS~4\rapimgr.exe
c:\programme\ATK Hotkey\KBFiltr.exe
c:\programme\ATK Hotkey\WDC.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Nero\Nero 7\InCD\InCDsrv.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\program files\ASUS\NB Probe\SPM\spmgr.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\windows\system32\wdfmgr.exe
c:\programme\RealVNC\VNC4\WinVNC4.exe
c:\windows\System32\SCardSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-02-27 19:11:58 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-02-27 18:11
ComboFix2.txt 2012-02-27 14:26
.
Vor Suchlauf: 15 Verzeichnis(se), 55.525.507.072 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 55.509.057.536 Bytes frei
.
- - End Of File - - 147FA6FB276D3D0C223B8264F948976D
Schritt 2: MBAM Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.02.27.04 Windows XP Service Pack 3 x86 FAT32 Internet Explorer 7.0.5730.13 Administrator :: CS-WZ-2008 [Administrator] Schutz: Aktiviert 27.02.2012 19:58:13 mbam-log-2012-02-27 (19-58-13).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 202566 Laufzeit: 5 Minute(n), 6 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Schritt 3: Neues DDs-Log 1 DDS.txt . DDS (Ver_2011-08-26.01) - FAT32x86 Internet Explorer: 7.0.5730.13 BrowserJavaVersion: 1.6.0_22 Run by Administrator at 20:12:14 on 2012-02-27 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1919.1238 [GMT 1:00] . AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} . ============== Running Processes =============== . C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe -k DcomLaunch SVCHOST.EXE C:\WINDOWS\System32\svchost.exe -k netsvcs SVCHOST.EXE SVCHOST.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Programme\Avira\AntiVir Desktop\sched.exe SVCHOST.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\Programme\LANCOM\Advanced VPN Client\ncpclcfg.exe C:\Programme\LANCOM\Advanced VPN Client\ncprwsnt.exe C:\Programme\LANCOM\Advanced VPN Client\ncpsec.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\LANCOM\Advanced VPN Client\rwsrsu.exe C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe C:\WINDOWS\system32\svchost.exe -k imgsvc C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\Programme\ATKOSD2\ATKOSD2.exe C:\Programme\ATK Hotkey\Hcontrol.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ATK Hotkey\ATKOSD.exe C:\Programme\ASUS\ATK Media\DMEDIA.EXE C:\Programme\ASUS\ASUS Live Update\ALU.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ASUS\Splendid\ACMON.exe C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe C:\Programme\ATK Hotkey\KBFiltr.exe C:\Programme\Nero\Nero 7\InCD\NBHGui.exe C:\Programme\ATK Hotkey\WDC.exe C:\WINDOWS\system32\ACEngSvr.exe C:\Programme\Nero\Nero 7\InCD\InCD.exe C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe C:\Programme\ASUS\Power4 Gear\BatteryLife.exe C:\Programme\Wireless Console 2\wcourier.exe C:\WINDOWS\system32\ASUSTPE.exe C:\WINDOWS\ASScrPro.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\LANCOM\Advanced VPN Client\NcpBudgetGui.exe C:\Programme\LANCOM\Advanced VPN Client\rwsrsu.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\System32\svchost.exe -k HTTPFilter C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe c:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe c:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Microsoft ActiveSync\Wcescomm.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe C:\PROGRA~1\MICROS~4\rapimgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin . ============== Pseudo HJT Report =============== . uStart Page = hxxp://www.google.de/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Connection Wizard,ShellNext = hxxp://www.asus.com/ uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s uURLSearchHooks: H - No File uURLSearchHooks: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\programme\icq6toolbar\ICQToolBar.dll BHO: Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelper.dll BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\programme\google\google toolbar\GoogleToolbar_32.dll BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.7.7227.1100\swg.dll BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll TB: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\programme\icq6toolbar\ICQToolBar.dll TB: Easy-WebPrint: {327c2873-e90d-4c37-aa9d-10ac9baba46c} - c:\programme\canon\easy-webprint\Toolband.dll TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\programme\google\google toolbar\GoogleToolbar_32.dll uRun: [StartCCC] c:\programme\ati technologies\ati.ace\core-static\CLIStart.exe uRun: [LightScribe Control Panel] c:\programme\gemeinsame dateien\lightscribe\LightScribeControlPanel.exe -hidden uRun: [swg] "c:\programme\google\googletoolbarnotifier\GoogleToolbarNotifier.exe" uRun: [H/PC Connection Agent] "c:\programme\microsoft activesync\Wcescomm.exe" uRun: [Facebook Update] "c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\facebook\update\FacebookUpdate.exe" /c /nocrashserver uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe mRun: [ATKOSD2] "c:\programme\atkosd2\ATKOSD2.exe" mRun: [ATKHOTKEY] "c:\programme\atk hotkey\Hcontrol.exe" mRun: [RTHDCPL] RTHDCPL.EXE mRun: [SkyTel] SkyTel.EXE mRun: [ATKMEDIA] c:\programme\asus\atk media\DMEDIA.EXE mRun: [ASUS Live Update] c:\programme\asus\asus live update\ALU.exe mRun: [SynTPEnh] c:\programme\synaptics\syntp\SynTPEnh.exe mRun: [ACMON] "c:\programme\asus\splendid\ACMON.exe" mRun: [ABLKSR] c:\windows\ablksr\ABLKSR.exe mRun: [RemoteControl] c:\programme\asustek\asusdvd\PDVDServ.exe mRun: [LanguageShortcut] c:\programme\asustek\asusdvd\language\Language.exe mRun: [NeroFilterCheck] c:\programme\gemeinsame dateien\ahead\lib\NeroCheck.exe mRun: [SecurDisc] c:\programme\nero\nero 7\incd\NBHGui.exe mRun: [InCD] c:\programme\nero\nero 7\incd\InCD.exe mRun: [SMSERIAL] c:\programme\motorola\smserial\sm56hlpr.exe mRun: [Power_Gear] c:\programme\asus\power4 gear\BatteryLife.exe 1 mRun: [Wireless Console 2] "c:\programme\wireless console 2\wcourier.exe" mRun: [ASUSTPE] c:\windows\system32\ASUSTPE.exe mRun: [ASUS Camera ScreenSaver] c:\windows\ASScrProlog.exe mRun: [ASUS Screen Saver Protector] c:\windows\ASScrPro.exe mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe" mRun: [TrueImageMonitor.exe] c:\programme\acronis\trueimagehome\TrueImageMonitor.exe mRun: [AcronisTimounterMonitor] c:\programme\acronis\trueimagehome\TimounterMonitor.exe mRun: [Acronis Scheduler2 Service] "c:\programme\gemeinsame dateien\acronis\schedule2\schedhlp.exe" mRun: [Adobe Reader Speed Launcher] "c:\programme\adobe\reader 8.0\reader\Reader_sl.exe" mRun: [NcpBudgetGui] "c:\programme\lancom\advanced vpn client\NcpBudgetGui.exe" -start mRun: [NcpPopup] "c:\programme\lancom\advanced vpn client\ncppopup.exe" noerrmsg mRun: [NcpRsuGui] "c:\programme\lancom\advanced vpn client\rwsrsu.exe" -gui mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min mRun: [OpwareSE2] "c:\programme\scansoft\omnipagese2.0\OpwareSE2.exe" mRun: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime mRun: [LexwareInfoService] c:\programme\gemeinsame dateien\lexware\update manager\LxUpdateManager.exe /autostart mRun: [Malwarebytes' Anti-Malware] "c:\programme\malwarebytes' anti-malware\mbamgui.exe" /starttray dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE StartupFolder: c:\dokume~1\admini~1\startm~1\progra~1\autost~1\ccc.lnk - c:\programme\ati technologies\ati.ace\core-static\CCC.exe StartupFolder: c:\dokume~1\admini~1\startm~1\progra~1\autost~1\onenot~1.lnk - c:\programme\microsoft office\office12\ONENOTEM.EXE StartupFolder: c:\dokume~1\admini~1\startm~1\progra~1\autost~1\openof~1.lnk - c:\programme\openoffice.org 3\program\quickstart.exe IE: Easy-WebPrint - Drucken - c:\programme\canon\easy-webprint\Resource.dll/RC_Print.html IE: Easy-WebPrint - Schnelldruck - c:\programme\canon\easy-webprint\Resource.dll/RC_HSPrint.html IE: Easy-WebPrint - Vorschau - c:\programme\canon\easy-webprint\Resource.dll/RC_Preview.html IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\canon\easy-webprint\Resource.dll/RC_AddToList.html IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~2\office12\EXCEL.EXE/3000 IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe IE: {E59EB121-F339-4851-A3BA-FE49C35617C2} - c:\programme\icq6.5\ICQ.exe IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll IE: {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - c:\progra~1\micros~4\INetRepl.dll IE: {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - c:\progra~1\micros~4\INetRepl.dll IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} - hxxp://navigram.com/engine/v1111/Navigram.cab DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} - hxxp://172.16.200.115/activex/AMC.cab DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://172.16.200.100/activex/AMC.cab TCP: DhcpNameServer = 192.168.2.1 TCP: Interfaces\{DCD367F5-B82B-4284-B40E-0CD9D2F5D30D} : DhcpNameServer = 192.168.2.1 Notify: AtiExtEvent - Ati2evxx.dll LSA: Authentication Packages = msv1_0 relog_ap nwprovau mASetup: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "c:\programme\gemeinsame dateien\lightscribe\LSRunOnce.exe" . ================= FIREFOX =================== . FF - ProfilePath - c:\dokumente und einstellungen\administrator\anwendungsdaten\mozilla\firefox\profiles\py0mfi38.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ . ============= SERVICES / DRIVERS =============== . R1 avgio;avgio;c:\programme\avira\antivir desktop\avgio.sys [2010-12-5 11608] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\avira\antivir desktop\sched.exe [2010-12-5 136360] R2 AntiVirService;Avira AntiVir Guard;c:\programme\avira\antivir desktop\avguard.exe [2010-12-5 269480] R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2010-12-5 66616] R2 ICQ Service;ICQ Service;c:\programme\icq6toolbar\ICQ Service.exe [2009-12-17 222968] R2 MBAMService;MBAMService;c:\programme\malwarebytes' anti-malware\mbamservice.exe [2012-2-26 652360] R2 ncpclcfg;ncpclcfg;c:\programme\lancom\advanced vpn client\ncpclcfg.exe [2009-10-5 86016] R2 ncprwsnt;ncprwsnt;c:\programme\lancom\advanced vpn client\NCPRWSNT.EXE [2009-10-5 1078792] R2 NcpSec;NcpSec;c:\programme\lancom\advanced vpn client\NCPSEC.EXE [2009-10-5 32768] R2 rwsrsu;RwsRsu;c:\programme\lancom\advanced vpn client\rwsrsu.exe [2009-10-5 850432] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-2-26 20464] R3 NcpFiltMP;NcpFiltMP;c:\windows\system32\drivers\ncpvaxp.sys [2009-10-5 79528] S2 gupdate;Google Update Service (gupdate);c:\programme\google\update\GoogleUpdate.exe [2010-4-1 135664] S2 StarMoney 8.0 OnlineUpdate;StarMoney 8.0 OnlineUpdate;c:\programme\starmoney 8.0 s-edition\ouservice\StarMoneyOnlineUpdate.exe [2012-1-3 688648] S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\google\update\GoogleUpdate.exe [2010-4-1 135664] S3 NcpFilt;Ncp Filter Service;c:\windows\system32\drivers\ncpvaxp.sys [2009-10-5 79528] S3 ncpvaxp;NCP Secure Client Virtual Adapter Driver;c:\windows\system32\drivers\ncpvaxp.sys [2009-10-5 79528] . =============== Created Last 30 ================ . 2012-02-27 18:50:48 709968 ----a-w- c:\windows\isRS-000.tmp 2012-02-27 18:00:03 -------- d-----w- C:\ComboFix 2012-02-27 14:07:50 -------- d-sha-r- C:\cmdcons 2012-02-27 14:05:15 98816 ----a-w- c:\windows\sed.exe 2012-02-27 14:05:15 518144 ----a-w- c:\windows\SWREG.exe 2012-02-27 14:05:15 256000 ----a-w- c:\windows\PEV.exe 2012-02-27 14:05:15 208896 ----a-w- c:\windows\MBR.exe 2012-02-26 22:33:32 -------- d-----w- c:\programme\ESET 2012-02-26 21:17:31 -------- d-----w- c:\dokumente und einstellungen\administrator\anwendungsdaten\Malwarebytes 2012-02-26 21:17:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-02-26 21:17:24 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes 2012-02-26 21:17:23 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2012-02-26 20:28:16 -------- d-----w- c:\windows\system32\appmgmt 2012-02-16 17:50:02 3072 ------w- c:\windows\system32\iacenc.dll 2012-02-16 17:50:02 3072 ------w- c:\windows\system32\dllcache\iacenc.dll 2012-02-10 18:36:27 -------- d-----w- c:\programme\OnlineControl 2012-02-09 22:40:34 -------- d-----w- C:\FOUND.000 2012-01-29 21:55:49 -------- d-----w- c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\Facebook . ==================== Find3M ==================== . 2012-02-17 00:35:04 4542 ----a-w- c:\windows\system32\PerfStringBackup.TMP 2012-01-12 17:20:28 1860096 ----a-w- c:\windows\system32\win32k.sys 2011-12-19 08:08:30 832512 ----a-w- c:\windows\system32\wininet.dll 2011-12-19 08:08:30 78336 ----a-w- c:\windows\system32\ieencode.dll 2011-12-19 08:08:30 1830912 ------w- c:\windows\system32\inetcpl.cpl 2011-12-19 08:08:28 17408 ------w- c:\windows\system32\corpol.dll 2011-10-18 22:30:10 38958968 ----a-w- c:\programme\QuickTimeInstaller.exe 2011-10-01 22:57:54 7886336 ----a-w- c:\programme\Microsoft_ActiveSync_4.5.msi 2011-10-01 22:55:54 28895326 ----a-w- c:\programme\Phone_Software_Update-Windows_Mobile_IF1.exe 2007-03-12 17:59:00 299008 ----a-w- c:\programme\navigram_register.exe . ============= FINISH: 20:13:04,51 =============== 2 Attach.txt . UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG. IF REQUESTED, ZIP IT UP & ATTACH IT . DDS (Ver_2011-08-26.01) . Microsoft Windows XP Professional Boot Device: \Device\HarddiskVolume2 Install Date: 06.06.2008 01:04:54 System Uptime: 27.02.2012 19:53:02 (1 hours ago) . Motherboard: ASUSTeK Computer Inc. | | F5RL Processor: Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz | Socket 478 | 1828/167mhz . ==== Disk Partitions ========================= . C: is FIXED (FAT32) - 137 GiB total, 51,604 GiB free. D: is FIXED (FAT32) - 91 GiB total, 2,031 GiB free. E: is CDROM () F: is Removable . ==== Disabled Device Manager Items ============= . ==== System Restore Points =================== . RP306: 26.12.2011 13:10:25 - Windows XP KB971633 wurde installiert. RP307: 26.12.2011 13:10:44 - Windows XP KB973815 wurde installiert. RP308: 26.12.2011 13:11:00 - Windows XP KB973507 wurde installiert. RP309: 26.12.2011 13:11:14 - Windows XP KB971557 wurde installiert. RP310: 26.12.2011 13:11:28 - Windows XP KB971657 wurde installiert. RP311: 26.12.2011 13:11:42 - Windows XP KB960859 wurde installiert. RP312: 26.12.2011 13:11:56 - Windows XP KB973354 wurde installiert. RP313: 26.12.2011 13:12:10 - Windows XP KB973869 wurde installiert. RP314: 26.12.2011 13:12:24 - Windows XP KB968389 wurde installiert. RP315: 26.12.2011 13:12:41 - Windows XP KB956844 wurde installiert. RP316: 26.12.2011 13:12:54 - Windows XP KB961118 wurde installiert. RP317: 26.12.2011 13:13:16 - Windows XP KB969947 wurde installiert. RP318: 26.12.2011 13:13:30 - Windows XP KB975467 wurde installiert. RP319: 26.12.2011 13:13:44 - Windows XP KB974571 wurde installiert. RP320: 26.12.2011 13:13:58 - Windows XP KB975025 wurde installiert. RP321: 26.12.2011 13:14:12 - Windows XP KB974112 wurde installiert. RP322: 26.12.2011 13:14:26 - Windows XP KB969059 wurde installiert. RP323: 26.12.2011 13:14:46 - Windows XP KB971486 wurde installiert. RP324: 26.12.2011 13:15:02 - Windows XP KB973687 wurde installiert. RP325: 26.12.2011 13:15:19 - Windows XP KB971737 wurde installiert. RP326: 26.12.2011 13:15:37 - Windows XP KB974392 wurde installiert. RP327: 26.12.2011 13:15:51 - Windows XP KB974318 wurde installiert. RP328: 26.12.2011 13:16:06 - Windows XP KB970430 wurde installiert. RP329: 26.12.2011 13:16:23 - Windows XP KB972270 wurde installiert. RP330: 26.12.2011 13:16:37 - Windows XP KB955759 wurde installiert. RP331: 26.12.2011 13:16:53 - Windows XP KB978706 wurde installiert. RP332: 26.12.2011 13:17:07 - Windows XP KB977914 wurde installiert. RP333: 26.12.2011 13:17:22 - Windows XP KB975560 wurde installiert. RP334: 26.12.2011 13:17:36 - Windows XP KB978037 wurde installiert. RP335: 26.12.2011 13:17:54 - Windows XP KB978251 wurde installiert. RP336: 26.12.2011 13:18:09 - Windows XP KB975561 wurde installiert. RP337: 26.12.2011 13:18:25 - Windows XP KB977165-v2 wurde installiert. RP338: 26.12.2011 13:18:41 - Windows XP KB971468 wurde installiert. RP339: 26.12.2011 13:18:57 - Windows XP KB979309 wurde installiert. RP340: 26.12.2011 13:19:10 - Windows XP KB978601 wurde installiert. RP341: 26.12.2011 13:19:25 - Windows XP KB978338 wurde installiert. RP342: 26.12.2011 13:19:44 - Windows XP KB980232 wurde installiert. RP343: 26.12.2011 13:20:00 - Windows XP KB979683 wurde installiert. RP344: 26.12.2011 13:20:17 - Windows XP KB975562 wurde installiert. RP345: 26.12.2011 13:20:31 - Windows XP KB979482 wurde installiert. RP346: 26.12.2011 13:20:46 - Windows XP KB978542 wurde installiert. RP347: 26.12.2011 13:21:01 - Windows XP KB979559 wurde installiert. RP348: 26.12.2011 13:21:16 - Windows XP KB980218 wurde installiert. RP349: 26.12.2011 13:21:30 - Windows XP KB2229593 wurde installiert. RP350: 27.12.2011 15:16:00 - Systemprüfpunkt RP351: 28.12.2011 00:32:50 - 3D-Viewer-innoplus wird installiert RP352: 28.12.2011 01:32:36 - Software Distribution Service 3.0 RP353: 29.12.2011 10:41:43 - Systemprüfpunkt RP354: 30.12.2011 11:47:54 - Systemprüfpunkt RP355: 31.12.2011 13:59:56 - Systemprüfpunkt RP356: 01.01.2012 14:01:34 - Systemprüfpunkt RP357: 03.01.2012 11:02:52 - Systemprüfpunkt RP358: 03.01.2012 16:04:47 - Installiert StarMoney RP359: 04.01.2012 16:34:50 - Systemprüfpunkt RP360: 05.01.2012 20:46:27 - Systemprüfpunkt RP361: 07.01.2012 09:34:33 - Systemprüfpunkt RP362: 08.01.2012 10:22:51 - Systemprüfpunkt RP363: 10.01.2012 08:10:43 - Systemprüfpunkt RP364: 11.01.2012 09:12:24 - Systemprüfpunkt RP365: 12.01.2012 01:15:04 - Software Distribution Service 3.0 RP366: 13.01.2012 08:56:25 - Systemprüfpunkt RP367: 14.01.2012 17:08:24 - Systemprüfpunkt RP368: 15.01.2012 18:24:33 - Systemprüfpunkt RP369: 16.01.2012 22:44:05 - Systemprüfpunkt RP370: 18.01.2012 11:57:53 - Systemprüfpunkt RP371: 19.01.2012 19:38:01 - Systemprüfpunkt RP372: 20.01.2012 21:25:36 - Systemprüfpunkt RP373: 22.01.2012 10:22:36 - Systemprüfpunkt RP374: 23.01.2012 15:20:08 - Systemprüfpunkt RP375: 24.01.2012 18:30:09 - Systemprüfpunkt RP376: 25.01.2012 19:39:29 - Systemprüfpunkt RP377: 26.01.2012 22:53:27 - Systemprüfpunkt RP378: 28.01.2012 09:35:22 - Systemprüfpunkt RP379: 29.01.2012 17:31:07 - Systemprüfpunkt RP380: 31.01.2012 08:46:11 - Systemprüfpunkt RP381: 01.02.2012 00:16:36 - Software Distribution Service 3.0 RP382: 02.02.2012 08:19:18 - Systemprüfpunkt RP383: 03.02.2012 08:32:34 - Systemprüfpunkt RP384: 04.02.2012 09:28:35 - Systemprüfpunkt RP385: 05.02.2012 10:24:19 - Systemprüfpunkt RP386: 06.02.2012 15:11:05 - Systemprüfpunkt RP387: 07.02.2012 17:26:07 - Systemprüfpunkt RP388: 09.02.2012 11:40:22 - Systemprüfpunkt RP389: 10.02.2012 17:06:38 - Systemprüfpunkt RP390: 12.02.2012 10:39:41 - Systemprüfpunkt RP391: 13.02.2012 11:20:24 - Systemprüfpunkt RP392: 14.02.2012 14:12:23 - Systemprüfpunkt RP393: 15.02.2012 17:29:55 - Systemprüfpunkt RP394: 16.02.2012 20:46:53 - Systemprüfpunkt RP395: 17.02.2012 01:30:02 - Software Distribution Service 3.0 RP396: 18.02.2012 09:35:12 - Systemprüfpunkt RP397: 19.02.2012 10:29:55 - Systemprüfpunkt RP398: 20.02.2012 15:46:11 - Systemprüfpunkt RP399: 21.02.2012 19:40:48 - Systemprüfpunkt RP400: 22.02.2012 21:18:14 - Systemprüfpunkt RP401: 24.02.2012 08:40:41 - Systemprüfpunkt RP402: 25.02.2012 09:28:32 - Systemprüfpunkt RP403: 26.02.2012 09:38:29 - Systemprüfpunkt RP404: 27.02.2012 19:39:26 - Systemprüfpunkt . ==== Installed Programs ====================== . 7-Zip 9.20 Acronis*True*Image*Home Adobe Flash Player 10 ActiveX Adobe Flash Player 10 Plugin Adobe Reader 8.1.2 - Deutsch Anti-Twin (Installation 28.07.2011) AnvSoft Photo Flash Maker Free 5.39 Apple Application Support Apple Software Update ASUS InstantFun ASUS Live Update ASUS Splendid Video Enhancement Technology ASUS Touch Pad Extra Asus_Camera_ScreenSaver ASUSDVD Atheros Client Installation Program ATI - Dienstprogramm zur Deinstallation der Software ATI Catalyst Control Center ATI Display Driver ATI Parental Control & Encoder ATK Hotkey ATK Media ATKOSD2 Avira AntiVir Personal - Free Antivirus AXIS Media Control AXIS Media Control Embedded Bluetooth Stack for Windows by Toshiba Branding Canon MP Drivers 6.0 Canon MP Navigator 1.0 Canon ScanGear Starter Canon Utilities Easy-PhotoPrint Catalyst Control Center Core Implementation Catalyst Control Center Graphics Full Existing Catalyst Control Center Graphics Full New Catalyst Control Center Graphics Light Catalyst Control Center Localization Chinese Standard Catalyst Control Center Localization Chinese Traditional Catalyst Control Center Localization Czech Catalyst Control Center Localization Danish Catalyst Control Center Localization Dutch Catalyst Control Center Localization Finnish Catalyst Control Center Localization French Catalyst Control Center Localization German Catalyst Control Center Localization Greek Catalyst Control Center Localization Hungarian Catalyst Control Center Localization Italian Catalyst Control Center Localization Japanese Catalyst Control Center Localization Korean Catalyst Control Center Localization Norwegian Catalyst Control Center Localization Polish Catalyst Control Center Localization Portuguese Catalyst Control Center Localization Russian Catalyst Control Center Localization Spanish Catalyst Control Center Localization Swedish Catalyst Control Center Localization Thai Catalyst Control Center Localization Turkish ccc-core-static ccc-utility CCC Help Chinese Standard CCC Help Chinese Traditional CCC Help Czech CCC Help Danish CCC Help Dutch CCC Help English CCC Help Finnish CCC Help French CCC Help German CCC Help Greek CCC Help Hungarian CCC Help Italian CCC Help Japanese CCC Help Korean CCC Help Norwegian CCC Help Polish CCC Help Portuguese CCC Help Russian CCC Help Spanish CCC Help Swedish CCC Help Thai CCC Help Turkish CD-LabelPrint ElsterFormular ElsterFormular 2008/2009 ESET Online Scanner v3 Facebook Video Calling 1.1.1.1 go1984 Desktop Client, Version 3.7.2.8 Google Chrome Google Earth Google Toolbar for Internet Explorer Google Update Helper High Definition Audio - KB888111 Hotfix für Windows XP (KB2633952) Hotfix für Windows XP (KB952287) Hotfix für Windows XP (KB961118) Hotfix für Windows XP (KB970653-v3) Hotfix für Windows XP (KB976098-v2) Hotfix für Windows XP (KB979306) Hotfix für Windows XP (KB981793) Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) Hotfix for Windows XP (KB954550-v5) Hotfix for Windows XP (KB976002-v5) ICQ Toolbar ICQ6.5 Java Auto Updater Java(TM) 6 Update 2 Java(TM) 6 Update 22 LANCOM Advanced VPN Client Lexware Info Service LightScribe 1.8.13.1 Malwarebytes Anti-Malware Version 1.60.1.1000 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Security Update (KB2656353) Microsoft .NET Framework 1.1 Security Update (KB979906) Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 3.0 German Language Pack Microsoft .NET Framework 3.0 Service Pack 2 Microsoft .NET Framework 3.5 SP1 Microsoft ActiveSync Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft Office Excel MUI (German) 2007 Microsoft Office Home and Student 2007 Microsoft Office OneNote MUI (German) 2007 Microsoft Office PowerPoint MUI (German) 2007 Microsoft Office Proof (English) 2007 Microsoft Office Proof (French) 2007 Microsoft Office Proof (German) 2007 Microsoft Office Proof (Italian) 2007 Microsoft Office Proofing (German) 2007 Microsoft Office Shared MUI (German) 2007 Microsoft Office Word MUI (German) 2007 Microsoft Software Update for Web Folders (German) 12 Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Motorola SM56 Speakerphone Modem Mozilla Firefox 10.0.2 (x86 de) Mozilla Thunderbird 10.0.2 (x86 de) MSXML 4.0 SP2 (KB927978) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) MSXML 4.0 SP2 (KB973688) MSXML 6 Service Pack 2 (KB973686) NAVIGON Fresh 3.3.2 NB Probe Nero 7 Essentials neroxml OmniPage SE 2.0 OnlineControl 1.2 OpenOffice.org 3.3 Phone Software Update - Windows Mobile Power4 Gear Presto! PageManager 6.01 QuickTime Realtek High Definition Audio Driver Realtek USB 2.0 Card Reader SAMSUNG Mobile Modem Driver Set Security Update for Microsoft .NET Framework 3.5 SP1 (KB2657424) Sicherheitsupdate für Microsoft Windows (KB2564958) Sicherheitsupdate für Step by Step Interactive Training (KB898458) Sicherheitsupdate für Step by Step Interactive Training (KB923723) Sicherheitsupdate für Windows Internet Explorer 7 (KB2544521) Sicherheitsupdate für Windows Internet Explorer 7 (KB2618444) Sicherheitsupdate für Windows Internet Explorer 7 (KB2647516) Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2) Sicherheitsupdate für Windows Internet Explorer 7 (KB976325) Sicherheitsupdate für Windows Internet Explorer 7 (KB978207) Sicherheitsupdate für Windows Internet Explorer 7 (KB982381) Sicherheitsupdate für Windows Media Player (KB2378111) Sicherheitsupdate für Windows Media Player (KB911564) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows Media Player (KB954155) Sicherheitsupdate für Windows Media Player (KB968816) Sicherheitsupdate für Windows Media Player (KB973540) Sicherheitsupdate für Windows Media Player (KB975558) Sicherheitsupdate für Windows Media Player (KB978695) Sicherheitsupdate für Windows Media Player 10 (KB911565) Sicherheitsupdate für Windows Media Player 10 (KB917734) Sicherheitsupdate für Windows Media Player 10 (KB936782) Sicherheitsupdate für Windows Media Player 6.4 (KB925398) Sicherheitsupdate für Windows XP (KB2079403) Sicherheitsupdate für Windows XP (KB2115168) Sicherheitsupdate für Windows XP (KB2229593) Sicherheitsupdate für Windows XP (KB2296011) Sicherheitsupdate für Windows XP (KB2347290) Sicherheitsupdate für Windows XP (KB2360937) Sicherheitsupdate für Windows XP (KB2387149) Sicherheitsupdate für Windows XP (KB2393802) Sicherheitsupdate für Windows XP (KB2412687) Sicherheitsupdate für Windows XP (KB2419632) Sicherheitsupdate für Windows XP (KB2423089) Sicherheitsupdate für Windows XP (KB2440591) Sicherheitsupdate für Windows XP (KB2443105) Sicherheitsupdate für Windows XP (KB2476490) Sicherheitsupdate für Windows XP (KB2478960) Sicherheitsupdate für Windows XP (KB2478971) Sicherheitsupdate für Windows XP (KB2479943) Sicherheitsupdate für Windows XP (KB2481109) Sicherheitsupdate für Windows XP (KB2483185) Sicherheitsupdate für Windows XP (KB2485663) Sicherheitsupdate für Windows XP (KB2506212) Sicherheitsupdate für Windows XP (KB2507618) Sicherheitsupdate für Windows XP (KB2507938) Sicherheitsupdate für Windows XP (KB2508429) Sicherheitsupdate für Windows XP (KB2509553) Sicherheitsupdate für Windows XP (KB2510581) Sicherheitsupdate für Windows XP (KB2535512) Sicherheitsupdate für Windows XP (KB2536276-v2) Sicherheitsupdate für Windows XP (KB2544893-v2) Sicherheitsupdate für Windows XP (KB2566454) Sicherheitsupdate für Windows XP (KB2567680) Sicherheitsupdate für Windows XP (KB2570222) Sicherheitsupdate für Windows XP (KB2570947) Sicherheitsupdate für Windows XP (KB2584146) Sicherheitsupdate für Windows XP (KB2585542) Sicherheitsupdate für Windows XP (KB2592799) Sicherheitsupdate für Windows XP (KB2598479) Sicherheitsupdate für Windows XP (KB2603381) Sicherheitsupdate für Windows XP (KB2618451) Sicherheitsupdate für Windows XP (KB2619339) Sicherheitsupdate für Windows XP (KB2620712) Sicherheitsupdate für Windows XP (KB2624667) Sicherheitsupdate für Windows XP (KB2631813) Sicherheitsupdate für Windows XP (KB2633171) Sicherheitsupdate für Windows XP (KB2639417) Sicherheitsupdate für Windows XP (KB2646524) Sicherheitsupdate für Windows XP (KB2660465) Sicherheitsupdate für Windows XP (KB2661637) Sicherheitsupdate für Windows XP (KB923561) Sicherheitsupdate für Windows XP (KB923689) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB946648) Sicherheitsupdate für Windows XP (KB950759) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952004) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB953838) Sicherheitsupdate für Windows XP (KB953839) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956390) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956572) Sicherheitsupdate für Windows XP (KB956744) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB956844) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958215) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB958869) Sicherheitsupdate für Windows XP (KB959426) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960714) Sicherheitsupdate für Windows XP (KB960715) Sicherheitsupdate für Windows XP (KB960803) Sicherheitsupdate für Windows XP (KB960859) Sicherheitsupdate für Windows XP (KB961371) Sicherheitsupdate für Windows XP (KB961373) Sicherheitsupdate für Windows XP (KB961501) Sicherheitsupdate für Windows XP (KB963027) Sicherheitsupdate für Windows XP (KB968537) Sicherheitsupdate für Windows XP (KB969059) Sicherheitsupdate für Windows XP (KB969897) Sicherheitsupdate für Windows XP (KB969898) Sicherheitsupdate für Windows XP (KB969947) Sicherheitsupdate für Windows XP (KB970238) Sicherheitsupdate für Windows XP (KB970430) Sicherheitsupdate für Windows XP (KB971468) Sicherheitsupdate für Windows XP (KB971486) Sicherheitsupdate für Windows XP (KB971557) Sicherheitsupdate für Windows XP (KB971633) Sicherheitsupdate für Windows XP (KB971657) Sicherheitsupdate für Windows XP (KB971961) Sicherheitsupdate für Windows XP (KB972260) Sicherheitsupdate für Windows XP (KB972270) Sicherheitsupdate für Windows XP (KB973346) Sicherheitsupdate für Windows XP (KB973354) Sicherheitsupdate für Windows XP (KB973507) Sicherheitsupdate für Windows XP (KB973525) Sicherheitsupdate für Windows XP (KB973869) Sicherheitsupdate für Windows XP (KB973904) Sicherheitsupdate für Windows XP (KB974112) Sicherheitsupdate für Windows XP (KB974318) Sicherheitsupdate für Windows XP (KB974392) Sicherheitsupdate für Windows XP (KB974455) Sicherheitsupdate für Windows XP (KB974571) Sicherheitsupdate für Windows XP (KB975025) Sicherheitsupdate für Windows XP (KB975467) Sicherheitsupdate für Windows XP (KB975560) Sicherheitsupdate für Windows XP (KB975561) Sicherheitsupdate für Windows XP (KB975562) Sicherheitsupdate für Windows XP (KB975713) Sicherheitsupdate für Windows XP (KB976325) Sicherheitsupdate für Windows XP (KB977165-v2) Sicherheitsupdate für Windows XP (KB977816) Sicherheitsupdate für Windows XP (KB977914) Sicherheitsupdate für Windows XP (KB978037) Sicherheitsupdate für Windows XP (KB978251) Sicherheitsupdate für Windows XP (KB978262) Sicherheitsupdate für Windows XP (KB978338) Sicherheitsupdate für Windows XP (KB978542) Sicherheitsupdate für Windows XP (KB978601) Sicherheitsupdate für Windows XP (KB978706) Sicherheitsupdate für Windows XP (KB979309) Sicherheitsupdate für Windows XP (KB979482) Sicherheitsupdate für Windows XP (KB979559) Sicherheitsupdate für Windows XP (KB979683) Sicherheitsupdate für Windows XP (KB979687) Sicherheitsupdate für Windows XP (KB980195) Sicherheitsupdate für Windows XP (KB980218) Sicherheitsupdate für Windows XP (KB980232) Sicherheitsupdate für Windows XP (KB980436) Sicherheitsupdate für Windows XP (KB981322) Sicherheitsupdate für Windows XP (KB981349) Sicherheitsupdate für Windows XP (KB981997) Sicherheitsupdate für Windows XP (KB982132) Sicherheitsupdate für Windows XP (KB982665) Skins StarMoney StarMoney 8.0 S-Edition Steuer 2010 Synaptics Pointing Device Driver Tinypic 3.17a Update für Windows Internet Explorer 7 (KB980182) Update für Windows XP (KB2345886) Update für Windows XP (KB2541763) Update für Windows XP (KB2641690) Update für Windows XP (KB942763) Update für Windows XP (KB951072-v2) Update für Windows XP (KB951978) Update für Windows XP (KB955759) Update für Windows XP (KB955839) Update für Windows XP (KB967715) Update für Windows XP (KB968389) Update für Windows XP (KB971029) Update für Windows XP (KB971737) Update für Windows XP (KB973687) Update für Windows XP (KB973815) Update für Windows XP (KB976749) Update für Windows XP (KB978207) Update for Microsoft .NET Framework 3.5 SP1 (KB963707) VNC Free Edition 4.1.1 WebFldrs XP Windows Communication Foundation Language Pack - DEU Windows Genuine Advantage Validation Tool Windows Imaging Component Windows Internet Explorer 7 Windows Media Format Runtime Windows Media Player 10 Windows Media Player 10 Hotfix - KB894476 Windows Presentation Foundation Windows Presentation Foundation Language Pack (DEU) Windows Workflow Foundation DE Language Pack Windows XP Service Pack 3 WinFlash WinRAR Archivierer Wireless Console 2 XML Paper Specification Shared Components Language Pack 1.0 XML Paper Specification Shared Components Pack 1.0 . ==== End Of File =========================== Liebe Grüsse Claudia |
|
28.02.2012, 00:00
| #8 |
| /// Malwareteam | System Check Trojaner? Schritt 1: Java aktualisieren Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Schritt 2: Adobe Reader aktualisieren Dein Adobe Reader ist veraltet. Da einige Schädlinge die Schwachstellen in veralteten Versionen nutzen, werden wir sie aktualisieren.
Schritt 3: Adobe Flash Player aktualisieren Dein Flash-Player ist veraltet. Da gerade diese Software gerne von Schädlingen als Sprungbrett ins System genutzt wird, muss sie immer aktuell gehalten werden. Um den Flash Player zu aktualisieren, gehe bitte wie folgt vor:
Schritt 4: ESET-Onlinescan ESET Online Scanner
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
28.02.2012, 00:53
| #9 |
| | System Check Trojaner? Schritt 4 macht Probleme: Ich komme bis: Drücke den START Button. danach wird das ESET IE Fenster hellblau mit linke ober Ecke ein rotes Kreuz auf weissem Kästchen. Oben in der Leiste wo man das ActiveX Element erlauben könnte, steht aber nur das derzeit keine Add-Ons aktiviert sind. Achso: Ist es normal, dass bei Start -> Programme, die meisten Programme (leer) sind und sich dort noch das Program "System Check" befindet? |
|
28.02.2012, 14:08
| #10 |
| | System Check Trojaner? Hab den IE jetzt normal geöffnet (mit Add Ons) und den Eset link hineinkopiert: C:\Dokumente und Einstellungen\CS\Eigene Dateien\Schäfer Platte D 06.04.11\Eigene Dateien auf C\Meine empfangenen Dateien\unlocker1.8.7.exe Win32/Adware.ADON application C:\System Volume Information\_restore{104B55A3-688C-46F6-AC28-CE071278929B}\RP403\A0056299.exe a variant of Win32/Kryptik.ABKT trojan C:\System Volume Information\_restore{104B55A3-688C-46F6-AC28-CE071278929B}\RP403\A0056300.exe a variant of Win32/Kryptik.ABKT trojan C:\System Volume Information\_restore{104B55A3-688C-46F6-AC28-CE071278929B}\RP403\A0056414.exe a variant of Win32/SoftonicDownloader.A application C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\qmbMTuLOUQqEwqQ.exe.vir a variant of Win32/Kryptik.ABKT trojan C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\r86bxgw7ITQOSS.exe.vir a variant of Win32/Kryptik.ABKT trojan C:\Qoobox\Quarantine\C\Programme\SoftonicDownloader_fuer_photo-flash-maker.exe.vir a variant of Win32/SoftonicDownloader.A application |
|
28.02.2012, 21:20
| #11 | |
| /// Malwareteam | System Check Trojaner? ------------------------------------------------------------- Schritt 1: Eintrag im Startmenü löschen
Schritt 2: unhide Downloade bitte Grinler's unhide.exe auf deinem Desktop Starte das Tool mit Doppelklick. Wenn es seine Arbeit getan hat, wird eine Nachricht mit Done aufpoppen. Hinweis Die folgende Datei ist nicht direkt schädlich, beinhaltet aber adware, die bei der unlocker-Installation evtl mit auf deinem System verankert wird. Zitat:
Rückmeldung Macht der Rechner noch Probleme?
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
28.02.2012, 22:35
| #12 |
| | System Check Trojaner? Hallo Marius, habe alle Schritte getan. Wolltest Du das Logfile von unhide.exe hier gepostet haben? Rückmeldung: -Ich kann normal starten ohne Fehlermeldung - Ich sehe alle meine Dateien und Ordner und kann sie auch öffnen - bei Start -> Alle Programme: Die meisten Programme sind zwar vom Namen her noch da, aber (leer) und Adobe Photoshop ist ganz verschwunden :-( obwohl ich unter C:/Programme es noch sehen kann LG Claudia PS: Sollte ich den Eintrag unter C:\Dokumente und Einstellungen\CS\Eigene Dateien\Schäfer Platte D 06.04.11\Eigene Dateien auf C\Meine empfangenen Dateien\unlocker1.8.7.exe besser löschen, wenn ja wie?? |
|
29.02.2012, 09:31
| #13 |
| /// Malwareteam | System Check Trojaner? Hallo Claudia, die fehlenden Einträge im Startmenü sind das Werk des Schädlings - du kannst die Programme aber nach wie vor aus dem Programmverzeichnis heraus starten. Das Startmenü stellt lediglich Verknüpfungen zur Verfügung. Wir könnten noch eine manuelle Suche nach den temporären Dateien des Schädlings durchführen - FALLS diese noch vorhanden sind, kann das Startmenü wiederhergestellt werden. Die unlocker-Datei kannst du selbst löschen. Rufe einfach den Explorer auf und hangele dich durch die einzelnen Verzeichnis bis zur Datei durch - dort einfach wie gehabt löshen.
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
29.02.2012, 11:20
| #14 |
| | System Check Trojaner? Hallo Marius, ja, habe gemerkt, dass ich die Programme manuel starten kann wenn ich direkt den Pfad aufsuche. Ist aber etwas umständlich und es wäre schön, wenn das normale Startmenü und die Programme wieder in der Start Position gezeigt würden, wenn es Dir nicht zu viel Mühe macht!! Deine Hilfe war super gut und auch für einen Laien mit etwas Überlegungen durchführbar und ich möchte Dir Tausend mal Danke sagen.   Ich mache Tierschutz im Ausland und ohne meine Dateien und Mails kann ich kaum bestehen. Wie kann ich in Zukunft solche Trojaner und Co vermeiden (ist seit 1982 das erste mal, dass ich Einen habe, ausser ein paar Kleinigkeiten die Antivir sofort gefunden und gelöscht oder in Quarantäne verschoben hat) ? Wie kann ich ein kostengünstiges Backup meines PC machen, damit nicht nur meine Daten sondern auch alles andere wieder bei Bedarf wiederhergestellt werden, damit wenn mir das in Zukunft nochmal passiert ich den PC platt machen kann und mit Backup wieder herstellen kann? Ganz liebe Grüsse Claudia |
|
29.02.2012, 23:24
| #15 |
| /// Malwareteam | System Check Trojaner? Hallo Claudia, wir sind noch nicht ganz durch! Wir werden zunächst versuchen, nach dem verschwundenen Startmenü zu suchen und dann die genutzten Tools wieder entfernen sowie die teilweise veraltete Software auf deinem System aktualisieren. Das bringt mich direkt zu deiner nächsten Frage: Die meisten der heutigen Schadprogramme wären wirkungslos, wenn der User nicht mit Administratorrechten im Internet unterwegs wäre (was heutzutage unter Windows leider Standard ist). Ferner ist es notwendig, dass gerade kritische Software wie z.B. der Adobe Reader, Adobe Flash Player oder Java runtime environment, die heute auf einem Großteil der Rechner zu finden sind, stets aktuell gehalten werden. Ich werde dir zum Abschluß deines Themas einige Tipps dazu geben. Als Lösung für deine Backup-Frage kommen verschiedene Programme in Frage - du wirst allerdings ein paar Euro investieren müssen. Schritt 1. CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter DirLook::
C:\qoobox\quarantine
Wichtig:
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
| Themen zu System Check Trojaner? |
| administrator, adobe, antivir, antivir guard, avira, canon, datensicherung, desktop, dringend, einstellungen, explorer, firefox, google, google earth, incredibar toolbar, incredibar.com, lexware, mozilla, msiexec, object, pdf, plug-in, programme, software, starmoney, svchost, system, taskmanager, trojaner, trojaner?, windows, windows xp |
Linear-Darstellung
