Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
System Check Trojaner?

System Check Trojaner?


Plagegeister aller Art und deren Bekämpfung: System Check Trojaner?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.02.2012, 23:22   #1
amonika
 
System Check Trojaner? - Standard

System Check Trojaner?


Hallo,

seit heute morgen hab ich einen System Check Trojaner, der sich mit den hier gefunden Fehlermeldungen und der Anzeige des Desktop und der Aussage über den Taskmanager und den "verschwundenen " Dateien und Programme deckt.
Wie kann ich ihn beseitigen ohne meinen ganzen Laptop platt zu machen (nein, ich hatte keine Datensicherung gemacht und benötige diese dringend).

Ich hoffe, ich habe alle hier geforderten Daten erfolgreich geladen.

Über Hilfe, die auch ein Laie wie ich verstehen kann würde ich mich sehr freuen.

Liebe Grüsse

Claudia

Hier der DDS.txt:

.
DDS (Ver_2011-08-26.01) - FAT32x86
Internet Explorer: 7.0.5730.13 BrowserJavaVersion: 1.6.0_22
Run by Administrator at 22:38:19 on 2012-02-26
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1919.961 [GMT 1:00]
.
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
SVCHOST.EXE
C:\WINDOWS\System32\svchost.exe -k netsvcs
SVCHOST.EXE
SVCHOST.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
SVCHOST.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\LANCOM\Advanced VPN Client\ncpclcfg.exe
C:\Programme\LANCOM\Advanced VPN Client\ncprwsnt.exe
C:\Programme\LANCOM\Advanced VPN Client\ncpsec.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\LANCOM\Advanced VPN Client\rwsrsu.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\Programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\ATKOSD2\ATKOSD2.exe
C:\Programme\ATK Hotkey\Hcontrol.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ASUS\ATK Media\DMEDIA.EXE
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ASUS\Splendid\ACMON.exe
C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\WINDOWS\system32\ASUSTPE.exe
C:\WINDOWS\ASScrPro.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\LANCOM\Advanced VPN Client\NcpBudgetGui.exe
C:\Programme\LANCOM\Advanced VPN Client\rwsrsu.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATK Hotkey\ATKOSD.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qmbMTuLOUQqEwqQ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATK Hotkey\KBFiltr.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe
C:\Programme\ATK Hotkey\WDC.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\WINDOWS\System32\svchost.exe -k HTTPFilter
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\r86bxgw7ITQOSS.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
C:\WINDOWS\notepad.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\Defogger.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.de/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.asus.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
uURLSearchHooks: H - No File
uURLSearchHooks: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\programme\icq6toolbar\ICQToolBar.dll
BHO: Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelper.dll
BHO: Incredibar.com Helper Object: {6e13dde1-2b6e-46ce-8b66-dc8bf36f6b99} - c:\programme\incredibar.com\incredibar\1.5.3.27\bh\incredibar.dll
BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\programme\google\google toolbar\GoogleToolbar_32.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.7.7227.1100\swg.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\programme\icq6toolbar\ICQToolBar.dll
TB: Easy-WebPrint: {327c2873-e90d-4c37-aa9d-10ac9baba46c} - c:\programme\canon\easy-webprint\Toolband.dll
TB: Incredibar Toolbar: {f9639e4a-801b-4843-aee3-03d9da199e77} - c:\programme\incredibar.com\incredibar\1.5.3.27\incredibarTlbr.dll
TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\programme\google\google toolbar\GoogleToolbar_32.dll
EB: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\programme\icq6toolbar\ICQToolBar.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [<NO NAME>]
uRun: [StartCCC] c:\programme\ati technologies\ati.ace\core-static\CLIStart.exe
uRun: [LightScribe Control Panel] c:\programme\gemeinsame dateien\lightscribe\LightScribeControlPanel.exe -hidden
uRun: [swg] "c:\programme\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"
uRun: [H/PC Connection Agent] "c:\programme\microsoft activesync\Wcescomm.exe"
uRun: [Facebook Update] "c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\facebook\update\FacebookUpdate.exe" /c /nocrashserver
mRun: [ATKOSD2] "c:\programme\atkosd2\ATKOSD2.exe"
mRun: [ATKHOTKEY] "c:\programme\atk hotkey\Hcontrol.exe"
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [SkyTel] SkyTel.EXE
mRun: [Alcmtr] ALCMTR.EXE
mRun: [ATKMEDIA] c:\programme\asus\atk media\DMEDIA.EXE
mRun: [ASUS Live Update] c:\programme\asus\asus live update\ALU.exe
mRun: [SynTPEnh] c:\programme\synaptics\syntp\SynTPEnh.exe
mRun: [ACMON] "c:\programme\asus\splendid\ACMON.exe"
mRun: [ABLKSR] c:\windows\ablksr\ABLKSR.exe
mRun: [RemoteControl] c:\programme\asustek\asusdvd\PDVDServ.exe
mRun: [LanguageShortcut] c:\programme\asustek\asusdvd\language\Language.exe
mRun: [NeroFilterCheck] c:\programme\gemeinsame dateien\ahead\lib\NeroCheck.exe
mRun: [SecurDisc] c:\programme\nero\nero 7\incd\NBHGui.exe
mRun: [InCD] c:\programme\nero\nero 7\incd\InCD.exe
mRun: [SMSERIAL] c:\programme\motorola\smserial\sm56hlpr.exe
mRun: [Power_Gear] c:\programme\asus\power4 gear\BatteryLife.exe 1
mRun: [Wireless Console 2] "c:\programme\wireless console 2\wcourier.exe"
mRun: [ASUSTPE] c:\windows\system32\ASUSTPE.exe
mRun: [ASUS Camera ScreenSaver] c:\windows\ASScrProlog.exe
mRun: [ASUS Screen Saver Protector] c:\windows\ASScrPro.exe
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
mRun: [TrueImageMonitor.exe] c:\programme\acronis\trueimagehome\TrueImageMonitor.exe
mRun: [AcronisTimounterMonitor] c:\programme\acronis\trueimagehome\TimounterMonitor.exe
mRun: [Acronis Scheduler2 Service] "c:\programme\gemeinsame dateien\acronis\schedule2\schedhlp.exe"
mRun: [Adobe Reader Speed Launcher] "c:\programme\adobe\reader 8.0\reader\Reader_sl.exe"
mRun: [NcpBudgetGui] "c:\programme\lancom\advanced vpn client\NcpBudgetGui.exe" -start
mRun: [NcpPopup] "c:\programme\lancom\advanced vpn client\ncppopup.exe" noerrmsg
mRun: [NcpRsuGui] "c:\programme\lancom\advanced vpn client\rwsrsu.exe" -gui
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [OpwareSE2] "c:\programme\scansoft\omnipagese2.0\OpwareSE2.exe"
mRun: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime
mRun: [LexwareInfoService] c:\programme\gemeinsame dateien\lexware\update manager\LxUpdateManager.exe /autostart
mRun: [qmbMTuLOUQqEwqQ.exe] c:\dokumente und einstellungen\all users\anwendungsdaten\qmbMTuLOUQqEwqQ.exe
mRun: [Malwarebytes' Anti-Malware] "c:\programme\malwarebytes' anti-malware\mbamgui.exe" /starttray
mRunOnce: [ Malwarebytes Anti-Malware ] c:\programme\malwarebytes' anti-malware\mbamgui.exe /install /silent
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\admini~1\startm~1\progra~1\autost~1\ccc.lnk - c:\programme\ati technologies\ati.ace\core-static\CCC.exe
StartupFolder: c:\dokume~1\admini~1\startm~1\progra~1\autost~1\onenot~1.lnk - c:\programme\microsoft office\office12\ONENOTEM.EXE
StartupFolder: c:\dokume~1\admini~1\startm~1\progra~1\autost~1\openof~1.lnk - c:\programme\openoffice.org 3\program\quickstart.exe
uPolicies-explorer: NoDesktop = 1 (0x1)
IE: Easy-WebPrint - Drucken - c:\programme\canon\easy-webprint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\canon\easy-webprint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\canon\easy-webprint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\canon\easy-webprint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {E59EB121-F339-4851-A3BA-FE49C35617C2} - c:\programme\icq6.5\ICQ.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - c:\progra~1\micros~4\INetRepl.dll
IE: {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - c:\progra~1\micros~4\INetRepl.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} - hxxp://navigram.com/engine/v1111/Navigram.cab
DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} - hxxp://172.16.200.115/activex/AMC.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://172.16.200.100/activex/AMC.cab
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{DCD367F5-B82B-4284-B40E-0CD9D2F5D30D} : DhcpNameServer = 192.168.2.1
Notify: AtiExtEvent - Ati2evxx.dll
LSA: Authentication Packages = msv1_0 relog_ap nwprovau
mASetup: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "c:\programme\gemeinsame dateien\lightscribe\LSRunOnce.exe"
mASetup: ccc-core-static - msiexec /fums {857D4360-762B-978B-76AD-491AA719E47A} /qb
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\administrator\anwendungsdaten\mozilla\firefox\profiles\py0mfi38.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\facebook\video\skype\npFacebookVideoCalling.dll
FF - plugin: c:\programme\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\google\update\1.3.21.99\npGoogleUpdate3.dll
FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\mozilla firefox\plugins\npdeployJava1.dll
.
---- FIREFOX POLICIES ----
FF - user.js: extensions.incredibar_i.newTab - false
FF - user.js: extensions.incredibar_i.tlbrSrchUrl - hxxp://mystart.Incredibar.com/?a=6PQgQRHkZJ&loc=IB_TB&i=26&search=
FF - user.js: extensions.incredibar_i.id - 20e0dc4300000000000002004e435049
FF - user.js: extensions.incredibar_i.hardId - 20e0dc4300000000000002004e435049
FF - user.js: extensions.incredibar_i.instlDay - 15308
FF - user.js: extensions.incredibar_i.vrsn - 1.5.3.27
FF - user.js: extensions.incredibar_i.vrsni - 1.5.3.27
FF - user.js: extensions.incredibar_i.vrsnTs - 1.5.3.270:39:10
FF - user.js: extensions.incredibar_i.prtnrId - Incredibar
FF - user.js: extensions.incredibar_i.prdct - incredibar
FF - user.js: extensions.incredibar_i.aflt - orgnl
FF - user.js: extensions.incredibar_i.smplGrp - none
FF - user.js: extensions.incredibar_i.tlbrId - base
FF - user.js: extensions.incredibar_i.instlRef -
FF - user.js: extensions.incredibar_i.dfltLng -
FF - user.js: extensions.incredibar_i.excTlbr - false
FF - user.js: extensions.incredibar_i.ms_url_id -
FF - user.js: extensions.incredibar_i.upn2 - 6PQgQRHkZJ
FF - user.js: extensions.incredibar_i.upn2n - 92541945858085051
FF - user.js: extensions.incredibar_i.productid - 26
FF - user.js: extensions.incredibar_i.installerproductid - 26
FF - user.js: extensions.incredibar_i.did - 10590
FF - user.js: extensions.incredibar_i.ppd -
.
============= SERVICES / DRIVERS ===============
.
R1 avgio;avgio;c:\programme\avira\antivir desktop\avgio.sys [2010-12-5 11608]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\avira\antivir desktop\sched.exe [2010-12-5 136360]
R2 AntiVirService;Avira AntiVir Guard;c:\programme\avira\antivir desktop\avguard.exe [2010-12-5 269480]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2010-12-5 66616]
R2 ICQ Service;ICQ Service;c:\programme\icq6toolbar\ICQ Service.exe [2009-12-17 222968]
R2 MBAMService;MBAMService;c:\programme\malwarebytes' anti-malware\mbamservice.exe [2012-2-26 652360]
R2 ncpclcfg;ncpclcfg;c:\programme\lancom\advanced vpn client\ncpclcfg.exe [2009-10-5 86016]
R2 ncprwsnt;ncprwsnt;c:\programme\lancom\advanced vpn client\NCPRWSNT.EXE [2009-10-5 1078792]
R2 NcpSec;NcpSec;c:\programme\lancom\advanced vpn client\NCPSEC.EXE [2009-10-5 32768]
R2 rwsrsu;RwsRsu;c:\programme\lancom\advanced vpn client\rwsrsu.exe [2009-10-5 850432]
R2 StarMoney 8.0 OnlineUpdate;StarMoney 8.0 OnlineUpdate;c:\programme\starmoney 8.0 s-edition\ouservice\StarMoneyOnlineUpdate.exe [2012-1-3 688648]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-2-26 20464]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2012-2-26 40776]
R3 NcpFiltMP;NcpFiltMP;c:\windows\system32\drivers\ncpvaxp.sys [2009-10-5 79528]
S2 gupdate;Google Update Service (gupdate);c:\programme\google\update\GoogleUpdate.exe [2010-4-1 135664]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\google\update\GoogleUpdate.exe [2010-4-1 135664]
S3 NcpFilt;Ncp Filter Service;c:\windows\system32\drivers\ncpvaxp.sys [2009-10-5 79528]
S3 ncpvaxp;NCP Secure Client Virtual Adapter Driver;c:\windows\system32\drivers\ncpvaxp.sys [2009-10-5 79528]
.
=============== Created Last 30 ================
.
2012-02-26 21:17:32 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-02-26 21:17:31 -------- d-----w- c:\dokumente und einstellungen\administrator\anwendungsdaten\Malwarebytes
2012-02-26 21:17:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-02-26 21:17:24 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2012-02-26 21:17:23 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-02-26 20:28:16 -------- d-----w- c:\windows\system32\appmgmt
2012-02-26 17:01:11 355328 ---ha-w- c:\dokumente und einstellungen\all users\anwendungsdaten\r86bxgw7ITQOSS.exe
2012-02-26 12:53:02 450048 ---ha-w- c:\dokumente und einstellungen\all users\anwendungsdaten\qmbMTuLOUQqEwqQ.exe
2012-02-16 17:50:02 3072 ---h--w- c:\windows\system32\iacenc.dll
2012-02-16 17:50:02 3072 ---h--w- c:\windows\system32\dllcache\iacenc.dll
2012-02-10 18:36:27 -------- d--h--w- c:\programme\OnlineControl
2012-02-09 22:40:34 -------- d-sh--w- C:\FOUND.000
2012-01-29 21:55:49 -------- d--h--w- c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\Facebook
.
==================== Find3M ====================
.
2012-02-17 00:35:04 4542 ---ha-w- c:\windows\system32\PerfStringBackup.TMP
2012-01-12 17:20:28 1860096 ---ha-w- c:\windows\system32\win32k.sys
2011-12-19 08:08:30 832512 ---ha-w- c:\windows\system32\wininet.dll
2011-12-19 08:08:30 78336 ---ha-w- c:\windows\system32\ieencode.dll
2011-12-19 08:08:30 1830912 ---h--w- c:\windows\system32\inetcpl.cpl
2011-12-19 08:08:28 17408 ---h--w- c:\windows\system32\corpol.dll
2011-10-18 22:30:10 38958968 ---ha-w- c:\programme\QuickTimeInstaller.exe
2011-10-01 22:57:54 7886336 ---ha-w- c:\programme\Microsoft_ActiveSync_4.5.msi
2011-10-01 22:55:54 28895326 ---ha-w- c:\programme\Phone_Software_Update-Windows_Mobile_IF1.exe
2011-09-17 12:41:44 286104 ---ha-w- c:\programme\SoftonicDownloader_fuer_photo-flash-maker.exe
2007-03-12 17:59:00 299008 ---ha-w- c:\programme\navigram_register.exe
.
============= FINISH: 22:39:20,92 ===============

Alt 27.02.2012, 09:44   #2
Psychotic
/// Malwareteam
 
System Check Trojaner? - Standard

System Check Trojaner?




Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld

Gruß,
PsYcHoTiC
__________________

__________________
Alt 27.02.2012, 10:43   #3
amonika
 
System Check Trojaner? - Standard

System Check Trojaner?


Danke für die Info!
__________________
Alt 27.02.2012, 14:19   #4
Psychotic
/// Malwareteam
 
System Check Trojaner? - Standard

System Check Trojaner?




Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scans durchführen zu denen du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.


Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Schritt 1: Software deinstallieren

Drücke die Windows- und die R-Taste gleichzeitig, schreibe in das sich öffende Textfeld appwiz.cpl, drücke enter.

Im folgenden Fenster, suche und deinstalliere folgende Einträge:
Code:
ATTFilter
Incredibar Toolbar  on IE and Chrome
Schließe dann das Fenster.


Schritt 2: Combofix
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 27.02.2012, 15:33   #5
amonika
 
System Check Trojaner? - Standard

System Check Trojaner?


Hallo Marius,

Danke, das Du mir hilfst!!

Hier die Combofix Textdatei:

Combofix Logfile:
Code:
ATTFilter
ComboFix 12-02-25.02 - Administrator 27.02.2012  15:10:07.1.2 - FAT32x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1919.583 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Eigene Dateien\Downloads\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\Desktop\System Check.lnk
c:\dokumente und einstellungen\Administrator\WINDOWS
c:\dokumente und einstellungen\All Users\Anwendungsdaten\~r86bxgw7ITQOSS
c:\dokumente und einstellungen\All Users\Anwendungsdaten\~r86bxgw7ITQOSSr
c:\dokumente und einstellungen\All Users\Anwendungsdaten\qmbMTuLOUQqEwqQ.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\r86bxgw7ITQOSS
c:\dokumente und einstellungen\All Users\Anwendungsdaten\r86bxgw7ITQOSS.exe
c:\windows\IsUn0407.exe
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\WindowsUpdate.log
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-01-27 bis 2012-02-27  ))))))))))))))))))))))))))))))
.
.
2012-02-27 14:17 . 2003-07-29 02:18	3839	---ha-w-	c:\windows\system32\drivers\GETPADD.sys
2012-02-27 06:50 . 2012-02-27 06:50	--------	d--h--r-	c:\dokumente und einstellungen\LocalService\Eigene Dateien
2012-02-26 23:55 . 2012-02-26 23:55	--------	d--h--w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Incredibar.com
2012-02-26 23:54 . 2012-02-26 23:54	--------	d--h--r-	c:\dokumente und einstellungen\LocalService\Favoriten
2012-02-26 22:33 . 2012-02-26 22:33	--------	d--h--w-	c:\programme\ESET
2012-02-26 21:56 . 2012-02-26 21:56	--------	d--h--w-	c:\programme\7-Zip
2012-02-26 21:17 . 2012-02-26 21:17	--------	d--h--w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2012-02-26 21:17 . 2012-02-26 21:17	--------	d--h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-02-26 21:17 . 2011-12-10 14:24	20464	---ha-w-	c:\windows\system32\drivers\mbam.sys
2012-02-26 21:17 . 2012-02-26 21:17	--------	d--h--w-	c:\programme\Malwarebytes' Anti-Malware
2012-02-16 17:50 . 2012-01-11 19:06	3072	---h--w-	c:\windows\system32\iacenc.dll
2012-02-16 17:50 . 2012-01-11 19:06	3072	---h--w-	c:\windows\system32\dllcache\iacenc.dll
2012-02-10 18:36 . 2012-02-10 18:36	--------	d--h--w-	c:\programme\OnlineControl
2012-02-09 22:40 . 2012-02-09 22:40	--------	d-----w-	C:\FOUND.000
2012-01-29 21:55 . 2012-01-29 21:55	--------	d--h--w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-17 00:35 . 2009-05-12 19:51	4542	---ha-w-	c:\windows\system32\PerfStringBackup.TMP
2012-01-12 17:20 . 2006-08-17 16:42	1860096	---ha-w-	c:\windows\system32\win32k.sys
2011-12-19 08:08 . 2006-08-17 16:42	832512	---ha-w-	c:\windows\system32\wininet.dll
2011-12-19 08:08 . 2006-08-17 16:42	1830912	---h--w-	c:\windows\system32\inetcpl.cpl
2011-12-19 08:08 . 2006-08-17 16:42	78336	---ha-w-	c:\windows\system32\ieencode.dll
2011-12-19 08:08 . 2006-08-17 16:42	17408	---h--w-	c:\windows\system32\corpol.dll
2011-10-18 22:30 . 2011-10-18 22:30	38958968	---ha-w-	c:\programme\QuickTimeInstaller.exe
2011-10-01 22:57 . 2011-10-01 22:57	7886336	---ha-w-	c:\programme\Microsoft_ActiveSync_4.5.msi
2011-10-01 22:55 . 2011-10-01 22:55	28895326	---ha-w-	c:\programme\Phone_Software_Update-Windows_Mobile_IF1.exe
2011-09-17 12:41 . 2011-09-17 12:41	286104	---ha-w-	c:\programme\SoftonicDownloader_fuer_photo-flash-maker.exe
2007-03-12 17:59 . 2007-03-12 17:59	299008	---ha-w-	c:\programme\navigram_register.exe
2012-02-19 08:58 . 2012-02-15 04:47	134104	---ha-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-06-20 451872]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-09 68856]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]
"Facebook Update"="c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe" [2012-01-29 137536]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATKOSD2"="c:\programme\ATKOSD2\ATKOSD2.exe" [2007-10-17 7737344]
"ATKHOTKEY"="c:\programme\ATK Hotkey\Hcontrol.exe" [2007-07-12 225280]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 16269312]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"ATKMEDIA"="c:\programme\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 61440]
"ASUS Live Update"="c:\programme\ASUS\ASUS Live Update\ALU.exe" [2007-11-30 51768]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"ACMON"="c:\programme\ASUS\Splendid\ACMON.exe" [2007-07-10 851968]
"ABLKSR"="c:\windows\ABLKSR\ABLKSR.exe" [2006-01-02 61440]
"RemoteControl"="c:\programme\ASUSTek\ASUSDVD\PDVDServ.exe" [2007-01-08 68640]
"LanguageShortcut"="c:\programme\ASUSTek\ASUSDVD\Language\Language.exe" [2007-01-08 52256]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="c:\programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-01 1629744]
"InCD"="c:\programme\Nero\Nero 7\InCD\InCD.exe" [2007-06-01 1057328]
"SMSERIAL"="c:\programme\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"Power_Gear"="c:\programme\ASUS\Power4 Gear\BatteryLife.exe" [2006-07-26 90112]
"Wireless Console 2"="c:\programme\Wireless Console 2\wcourier.exe" [2007-07-05 1040384]
"ASUSTPE"="c:\windows\system32\ASUSTPE.exe" [2007-01-16 106496]
"ASUS Camera ScreenSaver"="c:\windows\ASScrProlog.exe" [2008-05-14 37232]
"ASUS Screen Saver Protector"="c:\windows\ASScrPro.exe" [2008-05-14 33136]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-09-22 1176768]
"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-09-22 1949912]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-09-22 82832]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NcpBudgetGui"="c:\programme\LANCOM\Advanced VPN Client\NcpBudgetGui.exe" [2009-01-19 2625536]
"NcpPopup"="c:\programme\LANCOM\Advanced VPN Client\ncppopup.exe" [2008-09-25 618496]
"NcpRsuGui"="c:\programme\LANCOM\Advanced VPN Client\rwsrsu.exe" [2008-12-02 850432]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2011-07-05 421888]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2010-09-15 339312]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\windows\system32\config\systemprofile\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\dokumente und einstellungen\CS\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\windows\system32\config\systemprofile\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\windows\system32\config\systemprofile\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\dokumente und einstellungen\Default User\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\persistentroutes]
"84.178.46.13,255.255.255.255,192.168.2.1,1"=""
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 relog_ap nwprovau
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\MSMSGS.EXE"=
"c:\\Programme\\go1984 Desktop Client\\go1984DesktopClient.exe"=
"c:\\Programme\\LANCOM\\Advanced VPN Client\\NCPMON.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\app\\StarMoney.exe"=
"c:\\Dokumente und Einstellungen\\Administrator\\Lokale Einstellungen\\Anwendungsdaten\\Facebook\\Video\\Skype\\FacebookVideoCalling.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [05.12.2010 14:40 136360]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [17.12.2009 23:09 222968]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [26.02.2012 22:17 652360]
R2 ncpclcfg;ncpclcfg;c:\programme\LANCOM\Advanced VPN Client\ncpclcfg.exe [05.10.2009 17:12 86016]
R2 ncprwsnt;ncprwsnt;c:\programme\LANCOM\Advanced VPN Client\NCPRWSNT.EXE [05.10.2009 17:12 1078792]
R2 NcpSec;NcpSec;c:\programme\LANCOM\Advanced VPN Client\NCPSEC.EXE [05.10.2009 17:12 32768]
R2 rwsrsu;RwsRsu;c:\programme\LANCOM\Advanced VPN Client\rwsrsu.exe [05.10.2009 17:12 850432]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [26.02.2012 22:17 20464]
R3 NcpFiltMP;NcpFiltMP;c:\windows\system32\drivers\ncpvaxp.sys [05.10.2009 17:12 79528]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [01.04.2010 19:03 135664]
S2 StarMoney 8.0 OnlineUpdate;StarMoney 8.0 OnlineUpdate;c:\programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [03.01.2012 16:03 688648]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [01.04.2010 19:03 135664]
S3 NcpFilt;Ncp Filter Service;c:\windows\system32\drivers\ncpvaxp.sys [05.10.2009 17:12 79528]
S3 ncpvaxp;NCP Secure Client Virtual Adapter Driver;c:\windows\system32\drivers\ncpvaxp.sys [05.10.2009 17:12 79528]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-06-20 11:47	451872	---ha-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-27 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-05-05 21:18]
.
2012-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-01 18:03]
.
2012-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-01 18:03]
.
2012-02-26 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1786809193-3580902552-3016979917-500Core.job
- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe [2012-01-29 21:55]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.asus.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://172.16.200.100/activex/AMC.cab
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\py0mfi38.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - user.js: extensions.incredibar_i.newTab - false
FF - user.js: extensions.incredibar_i.tlbrSrchUrl - hxxp://mystart.Incredibar.com/?a=6PQgQRHkZJ&loc=IB_TB&i=26&search=
FF - user.js: extensions.incredibar_i.id - 20e0dc4300000000000002004e435049
FF - user.js: extensions.incredibar_i.hardId - 20e0dc4300000000000002004e435049
FF - user.js: extensions.incredibar_i.instlDay - 15308
FF - user.js: extensions.incredibar_i.vrsn - 1.5.3.27
FF - user.js: extensions.incredibar_i.vrsni - 1.5.3.27
FF - user.js: extensions.incredibar_i.vrsnTs - 1.5.3.270:39
FF - user.js: extensions.incredibar_i.prtnrId - Incredibar
FF - user.js: extensions.incredibar_i.prdct - incredibar
FF - user.js: extensions.incredibar_i.aflt - orgnl
FF - user.js: extensions.incredibar_i.smplGrp - none
FF - user.js: extensions.incredibar_i.tlbrId - base
FF - user.js: extensions.incredibar_i.instlRef - 
FF - user.js: extensions.incredibar_i.dfltLng - 
FF - user.js: extensions.incredibar_i.excTlbr - false
FF - user.js: extensions.incredibar_i.ms_url_id - 
FF - user.js: extensions.incredibar_i.upn2 - 6PQgQRHkZJ
FF - user.js: extensions.incredibar_i.upn2n - 92541945858085051
FF - user.js: extensions.incredibar_i.productid - 26
FF - user.js: extensions.incredibar_i.installerproductid - 26
FF - user.js: extensions.incredibar_i.did - 10590
FF - user.js: extensions.incredibar_i.ppd - 
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-qmbMTuLOUQqEwqQ.exe - c:\dokumente und einstellungen\All Users\Anwendungsdaten\qmbMTuLOUQqEwqQ.exe
HKLM_ActiveSetup-ccc-core-static - msiexec
AddRemove-Adobe Photoshop 7.0 - c:\windows\ISUN0407.EXE
AddRemove-Easy-WebPrint - c:\windows\IsUn0407.exe
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-02-27 15:18
Windows 5.1.2600 Service Pack 3 FAT NTAPI
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(872)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'lsass.exe'(940)
c:\windows\system32\relog_ap.dll
.
- - - - - - - > 'explorer.exe'(5100)
c:\programme\ScanSoft\OmniPageSE2.0\ophookSE2.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\acs.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\ACEngSvr.exe
c:\programme\ATK Hotkey\ATKOSD.exe
c:\progra~1\MICROS~4\rapimgr.exe
c:\programme\ATK Hotkey\KBFiltr.exe
c:\programme\ATK Hotkey\WDC.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Nero\Nero 7\InCD\InCDsrv.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\program files\ASUS\NB Probe\SPM\spmgr.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\windows\system32\wdfmgr.exe
c:\programme\RealVNC\VNC4\WinVNC4.exe
c:\windows\System32\SCardSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-02-27  15:26:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-02-27 14:25
.
Vor Suchlauf: 1 Verzeichnis(se), 53.016.952.832 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 55.515.545.600 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 1168D6A8A962DFB79B325F7E4462A7D2
--- --- ---
Alt 27.02.2012, 17:59   #6
Psychotic
/// Malwareteam
 
System Check Trojaner? - Standard

System Check Trojaner?


Schritt 1: Combofix-Script

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
ATTFilter
FILE::
c:\programme\SoftonicDownloader_fuer_photo-flash-maker.exe
FOLDER::
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Incredibar.com
FIREFOX::
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\py0mfi38.default\
FF - user.js: extensions.incredibar_i.newTab - false
FF - user.js: extensions.incredibar_i.tlbrSrchUrl - hxxp://mystart.Incredibar.com/?a=6PQgQRHkZJ&loc=IB_TB&i=26&search=
FF - user.js: extensions.incredibar_i.id - 20e0dc4300000000000002004e435049
FF - user.js: extensions.incredibar_i.hardId - 20e0dc4300000000000002004e435049
FF - user.js: extensions.incredibar_i.instlDay - 15308
FF - user.js: extensions.incredibar_i.vrsn - 1.5.3.27
FF - user.js: extensions.incredibar_i.vrsni - 1.5.3.27
FF - user.js: extensions.incredibar_i.vrsnTs - 1.5.3.270:39
FF - user.js: extensions.incredibar_i.prtnrId - Incredibar
FF - user.js: extensions.incredibar_i.prdct - incredibar
FF - user.js: extensions.incredibar_i.aflt - orgnl
FF - user.js: extensions.incredibar_i.smplGrp - none
FF - user.js: extensions.incredibar_i.tlbrId - base
FF - user.js: extensions.incredibar_i.instlRef - 
FF - user.js: extensions.incredibar_i.dfltLng - 
FF - user.js: extensions.incredibar_i.excTlbr - false
FF - user.js: extensions.incredibar_i.ms_url_id - 
FF - user.js: extensions.incredibar_i.upn2 - 6PQgQRHkZJ
FF - user.js: extensions.incredibar_i.upn2n - 92541945858085051
FF - user.js: extensions.incredibar_i.productid - 26
FF - user.js: extensions.incredibar_i.installerproductid - 26
FF - user.js: extensions.incredibar_i.did - 10590
FF - user.js: extensions.incredibar_i.ppd -
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.



Schritt 2: MBAM


Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.


Schritt 3: Neues DDs-Log

Starte bitte DDS
  • Wenn der Scan fertig ist, wird es 2 Logfiles erstellen. :
    1. DDS.txt
    2. Attach.txt
  • Speichere beide auf deinem Desktop und poste diese bitte hier
__________________
--> System Check Trojaner?
Geändert von Larusso (27.02.2012 um 19:14 Uhr)

Antwort

Themen zu System Check Trojaner?
administrator, adobe, antivir, antivir guard, avira, canon, datensicherung, desktop, dringend, einstellungen, explorer, firefox, google, google earth, incredibar toolbar, incredibar.com, lexware, mozilla, msiexec, object, pdf, plug-in, programme, software, starmoney, svchost, system, taskmanager, trojaner, trojaner?, windows, windows xp


« Virus "aus Sicherheitsgründen Windowssystem blockiert" 50€ | Bundespolizei - Trojaner auch bei mir! »


Ähnliche Themen: System Check Trojaner?


  1. System Check-Up
    Plagegeister aller Art und deren Bekämpfung - 08.07.2013 (2)
  2. AKM - Trojaner gelöscht | System einwandfrei | Dennoch Logfile check
    Log-Analyse und Auswertung - 03.10.2012 (5)
  3. Trojaner "System Check" deinstalliert - System sauber?
    Log-Analyse und Auswertung - 11.04.2012 (23)
  4. System Check Virus
    Log-Analyse und Auswertung - 06.04.2012 (27)
  5. System Check Virus + Gema Trojaner eingefangen...
    Plagegeister aller Art und deren Bekämpfung - 04.04.2012 (32)
  6. System Check - Virus
    Plagegeister aller Art und deren Bekämpfung - 03.04.2012 (37)
  7. System Check Trojaner -> Logfiles angehängt
    Log-Analyse und Auswertung - 29.03.2012 (8)
  8. System Check Virus. Nach Trojaner Entfernung immer noch geblockt!
    Plagegeister aller Art und deren Bekämpfung - 23.03.2012 (17)
  9. Trojaner 'System check' eingefangen, Sony Vaio Systemwiederherstellung durchgeführt -> ausreichend?
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (4)
  10. Trojaner "System Check" - letzte Schritte?
    Log-Analyse und Auswertung - 12.03.2012 (23)
  11. System Check Trojaner
    Plagegeister aller Art und deren Bekämpfung - 17.02.2012 (1)
  12. Windows Live Update/Firewall/Defender gehen nicht mehr nach Trojaner System Check
    Plagegeister aller Art und deren Bekämpfung - 02.02.2012 (5)
  13. Trojaner: Check System und Spy Hunter auf Laptop
    Log-Analyse und Auswertung - 22.01.2012 (21)
  14. System Check - Failed to save all the components for the file ... Trojaner oder Hardwarefehler?
    Log-Analyse und Auswertung - 10.01.2012 (6)
  15. System check
    Log-Analyse und Auswertung - 17.04.2010 (0)
  16. System Check
    Log-Analyse und Auswertung - 18.02.2008 (5)
  17. system check
    Mülltonne - 25.01.2007 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema System Check Trojaner? - Hallo, seit heute morgen hab ich einen System Check Trojaner, der sich mit den hier gefunden Fehlermeldungen und der Anzeige des Desktop und der Aussage über den Taskmanager und den - System Check Trojaner?...
Archiv
Du betrachtest: System Check Trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19