POLIZEI / Bundespolizei Trojaner WXP

beckejr · 11.04.2012, 20:37

Hallo zusammen,

ich habe seit heute einen dieser "BKA Trojaner" auf meinem Windows XP Rechner. Folgende Nachricht erhalte ich sofort nach der Anmeldung:

hxxp://imageshack.us/photo/my-images/210/screenqx.jpg/

Der Start im Abgesicherten Modus ist leider nicht möglich (permanenter Neustart).

In anderen Beiträgen mit ähnlichen Problemen habe ich gelesen, dass man einen SCAN mit OTL durchführen sollte. Das habe ich vorab schon mal gemacht. Hier das Ergebnis:OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 4/12/2012 2:11:55 AM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 87.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): C:\pagefile.sys 3070 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 39.06 Gb Total Space | 22.49 Gb Free Space | 57.58% Space Free | Partition Type: NTFS
Drive D: | 465.75 Gb Total Space | 244.23 Gb Free Space | 52.44% Space Free | Partition Type: NTFS
Drive E: | 97.65 Gb Total Space | 65.00 Gb Free Space | 66.56% Space Free | Partition Type: NTFS
Drive F: | 161.37 Gb Total Space | 140.78 Gb Free Space | 87.24% Space Free | Partition Type: NTFS
Drive K: | 3.83 Gb Total Space | 3.83 Gb Free Space | 100.00% Space Free | Partition Type: FAT32
Drive X: | 284.12 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto] --  -- (Spooler)
SRV - File not found [On_Demand] --  -- (NBService)
SRV - [2012/02/26 19:15:42 | 000,055,144 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2011/06/28 07:52:30 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/04/27 07:59:45 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011/03/25 15:22:06 | 000,223,088 | ---- | M] () [Auto] -- C:\Programme\Motorola\MotoHelper\MotoHelperService.exe -- (MotoHelper)
SRV - [2009/11/02 04:55:37 | 000,009,728 | ---- | M] (Deutsche Telekom AG) [Auto] -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe -- (Netzmanager Service)
SRV - [2008/11/11 03:38:06 | 000,620,544 | ---- | M] (Nokia.) [On_Demand] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2004/09/29 06:14:36 | 000,069,632 | ---- | M] (HP) [Auto] -- C:\WINXP\system32\HPZipm12.exe -- (Pml Driver HPZ12)
SRV - [2003/07/28 06:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - File not found [Kernel | Auto] --  -- ({95808DC4-FA4A-4c74-92FE-5B863F82066B})
DRV - [2011/06/28 07:52:30 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINXP\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/06/28 07:52:30 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINXP\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010/09/29 11:13:46 | 000,024,064 | ---- | M] (Motorola) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\motmodem.sys -- (motmodem)
DRV - [2009/05/11 05:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINXP\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/02/13 06:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008/09/15 01:56:34 | 000,008,064 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2008/09/15 01:56:24 | 000,022,016 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2008/09/15 01:56:24 | 000,017,664 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2008/09/15 01:56:24 | 000,008,064 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2008/08/26 03:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2006/11/02 21:32:30 | 004,394,496 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006/06/17 08:36:32 | 000,083,968 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2005/10/27 10:01:06 | 000,038,468 | ---- | M] (Alcor Micro Corp.) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\Sunkfilt.sys -- (SunkFilt)
DRV - [2004/08/03 18:08:22 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2004/08/03 15:59:52 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\nmnt.sys -- (nm)
DRV - [2004/06/26 07:22:00 | 000,006,016 | ---- | M] (RDV Soft) [Kernel | Auto] -- C:\WINXP\system32\drivers\vnccom.SYS -- (vnccom)
DRV - [2004/06/26 07:22:00 | 000,004,736 | ---- | M] (RDV Soft) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\vncdrv.sys -- (vncdrv)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local;192.168.*.*
 
 
 
 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINXP\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\bkmrksync@nokia.com: C:\Programme\Nokia\Nokia PC Suite 7\bkmrksync\ [2009/04/14 14:49:37 | 000,000,000 | ---D | M]
 
 
O1 HOSTS File: ([2001/08/23 07:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher]  File not found
O4 - HKLM..\Run: [Alcmtr] C:\WINXP\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [HP Software Update]  File not found
O4 - HKLM..\Run: [LanguageShortcut]  File not found
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINXP\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINXP\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINXP\System32\nwiz.exe ()
O4 - HKLM..\Run: [RemoteControl]  File not found
O4 - HKLM..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe (Alcor Micro, Corp.)
O4 - HKU\Administrator_ON_C..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKU\Administrator_ON_C..\Run: [PC Suite Tray] C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe (Nokia)
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2]  File not found
O4 - HKU\LocalService_ON_C..\RunOnce: [nltide_2]  File not found
O4 - HKU\NetworkService_ON_C..\RunOnce: [nltide_2]  File not found
O4 - HKU\systemprofile_ON_C..\RunOnce: [nltide_2]  File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk =  File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk =  File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk =  File not found
F3 - HKU\Administrator_ON_C WinNT: Load - (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\6DB71B3BF87EE5C614C0.exe) - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\6DB71B3BF87EE5C614C0.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -  File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://sdlc-esd.sun.com/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?AuthParam=1231694941_7910b6a72f76f296f7fc5bd4bfa0c154&GroupName=JSC&FilePath=/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab&File=jinstall-6u11-windows-i586-jc.cab&BHost=javadl.sun.com (Java Plug-in 1.6.0_11)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINXP\system32\2BB97415F87EE5C65CAC.exe) - C:\WINXP\system32\2BB97415F87EE5C65CAC.exe ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/04/10 18:04:35 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009/09/29 16:39:22 | 000,000,000 | RH-D | M] - D:\autorun -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{4ff5a99d-06c1-11dd-a7bf-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{4ff5a99d-06c1-11dd-a7bf-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{4ff5a99d-06c1-11dd-a7bf-806d6172696f}\Shell\AutoRun\command - "" = F:\setup.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/04/11 14:47:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\CyberLink PowerDVD
[2012/04/11 11:34:42 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\NetworkService\IETldCache
[2012/04/11 11:17:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
[2012/04/11 11:17:02 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IECompatCache
[2012/04/11 11:16:48 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\PrivacIE
[2012/04/11 11:15:51 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache
[2012/04/11 11:11:01 | 000,000,000 | ---D | C] -- C:\WINXP\ie8updates
[2012/04/11 11:06:22 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\iedvtool.dll
[2012/03/22 11:56:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\iTunes
[2012/03/22 11:55:49 | 000,000,000 | ---D | C] -- C:\Programme\iPod
[2012/03/22 11:55:46 | 000,000,000 | ---D | C] -- C:\Programme\iTunes
[2005/05/11 17:36:48 | 000,012,288 | ---- | C] (Hewlett-Packard Co.) -- C:\WINXP\Fonts\RandFont.dll
[6 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/04/11 17:11:48 | 000,000,178 | -HS- | M] () -- C:\boot.ini
[2012/04/11 14:47:39 | 000,081,191 | ---- | M] () -- C:\WINXP\System32\nvapps.xml
[2012/04/11 14:47:27 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2012/04/11 14:47:21 | 000,001,100 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineCore.job
[2012/04/11 14:46:22 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2012/04/11 11:45:00 | 000,001,104 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineUA.job
[2012/04/11 11:34:32 | 000,056,320 | -H-- | M] () -- C:\WINXP\System32\2BB97415F87EE5C65CAC.exe
[2012/04/11 11:27:03 | 000,002,489 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Microsoft Office Outlook 2003.lnk
[2012/04/11 11:15:50 | 000,000,795 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk
[2012/04/11 11:10:15 | 000,001,374 | ---- | M] () -- C:\WINXP\imsins.BAK
[2012/04/09 21:46:52 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2012/04/09 15:24:01 | 000,000,276 | ---- | M] () -- C:\WINXP\tasks\AppleSoftwareUpdate.job
[2012/04/09 13:09:10 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh324
[2012/04/09 13:08:36 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh323
[2012/04/09 13:08:20 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh322
[2012/04/09 13:08:00 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh321
[2012/04/09 13:07:42 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh320
[2012/04/07 07:48:59 | 000,461,976 | ---- | M] () -- C:\WINXP\System32\perfh007.dat
[2012/04/07 07:48:59 | 000,443,588 | ---- | M] () -- C:\WINXP\System32\perfh009.dat
[2012/04/07 07:48:59 | 000,085,336 | ---- | M] () -- C:\WINXP\System32\perfc007.dat
[2012/04/07 07:48:59 | 000,071,846 | ---- | M] () -- C:\WINXP\System32\perfc009.dat
[2012/04/05 11:31:59 | 000,248,832 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012/03/22 11:56:32 | 000,001,518 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2012/03/22 11:56:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\iTunes
[2012/03/17 07:54:26 | 000,000,221 | ---- | M] () -- C:\WINXP\NCLogConfig.ini
[2012/03/17 05:18:34 | 000,002,391 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Word 2003.lnk
[2012/03/15 17:02:06 | 000,002,425 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\PowerPoint 2003.lnk
[2012/03/13 11:48:44 | 000,002,489 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Office Outlook 2003.lnk
[6 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/04/11 16:04:00 | 000,000,207 | -HS- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Kopie von boot.ini
[2012/04/11 11:34:45 | 000,960,056 | ---- | C] () -- C:\WINXP\System32\winsh324
[2012/04/11 11:34:45 | 000,960,056 | ---- | C] () -- C:\WINXP\System32\winsh323
[2012/04/11 11:34:45 | 000,960,056 | ---- | C] () -- C:\WINXP\System32\winsh322
[2012/04/11 11:34:45 | 000,960,056 | ---- | C] () -- C:\WINXP\System32\winsh321
[2012/04/11 11:34:45 | 000,960,056 | ---- | C] () -- C:\WINXP\System32\winsh320
[2012/04/11 11:34:32 | 000,056,320 | -H-- | C] () -- C:\WINXP\System32\2BB97415F87EE5C65CAC.exe
[2012/03/22 11:56:32 | 000,001,518 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2012/03/17 07:54:26 | 000,000,221 | ---- | C] () -- C:\WINXP\NCLogConfig.ini
[2011/08/11 09:33:45 | 000,000,000 | ---- | C] () -- C:\WINXP\hpqEmlSz.INI
[2010/11/03 12:10:13 | 000,000,001 | R--- | C] () -- C:\Dokumente und Einstellungen\Administrator\serverport
[2009/05/24 06:04:43 | 001,085,603 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\NMM-MetaData.db
[2008/11/08 06:01:02 | 000,000,148 | ---- | C] () -- C:\WINXP\vbg_wel.ini
[2008/09/12 10:09:34 | 000,000,138 | ---- | C] () -- C:\WINXP\wincmd.ini
[2008/06/28 16:46:54 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/06/28 15:51:04 | 000,116,681 | ---- | C] () -- C:\WINXP\hpoins07.dat
[2008/06/28 15:51:04 | 000,021,124 | ---- | C] () -- C:\WINXP\hpomdl07.dat
[2008/06/28 13:56:43 | 000,248,832 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008/04/18 14:08:08 | 000,000,065 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\default.pls
[2008/04/18 14:07:49 | 000,000,116 | ---- | C] () -- C:\WINXP\NeroDigital.ini
[2008/04/11 11:20:21 | 000,034,308 | ---- | C] () -- C:\WINXP\System32\BASSMOD.dll
[2008/04/11 11:16:37 | 000,000,394 | ---- | C] () -- C:\WINXP\ODBC.INI
[2008/04/10 18:30:17 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2008/04/10 18:15:19 | 000,049,152 | R--- | C] () -- C:\WINXP\System32\ChCfg.exe
[2008/04/10 18:13:28 | 000,004,875 | ---- | C] () -- C:\WINXP\Ascd_tmp.ini
[2008/04/10 18:13:26 | 000,010,288 | ---- | C] () -- C:\WINXP\System32\drivers\ASUSHWIO.SYS
[2008/04/10 18:05:30 | 000,002,048 | --S- | C] () -- C:\WINXP\bootstat.dat
[2008/04/10 18:02:07 | 000,021,740 | ---- | C] () -- C:\WINXP\System32\emptyregdb.dat
[2008/04/10 00:54:03 | 000,004,073 | ---- | C] () -- C:\WINXP\ODBCINST.INI
[2008/04/10 00:51:08 | 000,203,328 | ---- | C] () -- C:\WINXP\System32\FNTCACHE.DAT
[2007/03/29 16:00:40 | 000,203,264 | ---- | C] () -- C:\WINXP\System32\CddbCdda.dll
[2006/08/11 09:45:20 | 000,581,632 | ---- | C] () -- C:\WINXP\System32\nvhwvid.dll
[2006/08/11 09:43:10 | 000,196,608 | ---- | C] () -- C:\WINXP\System32\nvapi.dll
[2006/08/11 09:43:00 | 001,662,976 | ---- | C] () -- C:\WINXP\System32\nvwdmcpl.dll
[2006/08/11 09:43:00 | 001,519,616 | ---- | C] () -- C:\WINXP\System32\nwiz.exe
[2006/08/11 09:43:00 | 001,470,464 | ---- | C] () -- C:\WINXP\System32\nview.dll
[2006/08/11 09:43:00 | 001,339,392 | ---- | C] () -- C:\WINXP\System32\nvdspsch.exe
[2006/08/11 09:43:00 | 001,019,904 | ---- | C] () -- C:\WINXP\System32\nvwimg.dll
[2006/08/11 09:43:00 | 000,466,944 | ---- | C] () -- C:\WINXP\System32\nvshell.dll
[2006/08/11 09:43:00 | 000,442,368 | ---- | C] () -- C:\WINXP\System32\nvappbar.exe
[2006/08/11 09:43:00 | 000,425,984 | ---- | C] () -- C:\WINXP\System32\keystone.exe
[2006/08/11 09:43:00 | 000,286,720 | ---- | C] () -- C:\WINXP\System32\nvnt4cpl.dll
[2004/08/03 18:12:38 | 000,001,788 | ---- | C] () -- C:\WINXP\System32\Dcache.bin
[2004/08/02 07:20:40 | 000,004,569 | ---- | C] () -- C:\WINXP\System32\secupd.dat
[2003/02/20 11:53:42 | 000,005,702 | ---- | C] () -- C:\WINXP\System32\OUTLPERF.INI
[2001/08/23 07:00:00 | 013,107,200 | ---- | C] () -- C:\WINXP\System32\oembios.bin
[2001/08/23 07:00:00 | 000,673,088 | ---- | C] () -- C:\WINXP\System32\mlang.dat
[2001/08/23 07:00:00 | 000,461,976 | ---- | C] () -- C:\WINXP\System32\perfh007.dat
[2001/08/23 07:00:00 | 000,443,588 | ---- | C] () -- C:\WINXP\System32\perfh009.dat
[2001/08/23 07:00:00 | 000,272,128 | ---- | C] () -- C:\WINXP\System32\perfi009.dat
[2001/08/23 07:00:00 | 000,269,480 | ---- | C] () -- C:\WINXP\System32\perfi007.dat
[2001/08/23 07:00:00 | 000,218,003 | ---- | C] () -- C:\WINXP\System32\dssec.dat
[2001/08/23 07:00:00 | 000,085,336 | ---- | C] () -- C:\WINXP\System32\perfc007.dat
[2001/08/23 07:00:00 | 000,071,846 | ---- | C] () -- C:\WINXP\System32\perfc009.dat
[2001/08/23 07:00:00 | 000,046,258 | ---- | C] () -- C:\WINXP\System32\mib.bin
[2001/08/23 07:00:00 | 000,034,478 | ---- | C] () -- C:\WINXP\System32\perfd007.dat
[2001/08/23 07:00:00 | 000,028,626 | ---- | C] () -- C:\WINXP\System32\perfd009.dat
[2001/08/23 07:00:00 | 000,004,463 | ---- | C] () -- C:\WINXP\System32\oembios.dat
[2001/08/23 07:00:00 | 000,000,741 | ---- | C] () -- C:\WINXP\System32\noise.dat
[2001/07/06 09:30:00 | 000,003,254 | ---- | C] () -- C:\WINXP\System32\HPTCPMON.INI
[1997/12/14 07:34:38 | 000,180,224 | ---- | C] () -- C:\WINXP\System32\UNLHA32.DLL
 
========== LOP Check ==========
 
[2010/08/01 04:13:58 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.#
[2008/04/11 11:20:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ACD Systems
[2009/07/30 11:20:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nokia
[2009/05/24 06:08:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PC Suite
[2010/07/12 09:47:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\T-Online
[2011/06/15 14:22:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer
[2008/04/11 11:18:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
[2009/04/14 14:48:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2010/07/12 09:45:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager
[2009/05/24 06:07:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2008/04/13 14:33:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011/11/21 11:22:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
[2011/12/07 10:44:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010/07/12 09:46:03 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{BAAC9F5F-09A6-4530-B65F-7B848F2EC280}
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 129 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:1FB1CEE3
< End of report >

--- --- ---
Ich hoffe, ihr könnt mir weiterhelfen. Vorab schon mal vielen Dank!

Chris4You · 12.04.2012, 06:47

Hi,

Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:

ATTFilter

:OTL
20 - HKLM Winlogon: UserInit - (C:\WINXP\system32\2BB97415F87EE5C65CAC.exe) - C:\WINXP\system32\2BB97415F87EE5C65CAC.exe ()
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
[2012/04/09 13:09:10 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh324
[2012/04/09 13:08:36 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh323
[2012/04/09 13:08:20 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh322
[2012/04/09 13:08:00 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh321
[2012/04/09 13:07:42 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh320
[2012/04/11 11:34:32 | 000,056,320 | -H-- | M] () -- C:\WINXP\System32\2BB97415F87EE5C65CAC.exe
F3 - HKU\Administrator_ON_C WinNT: Load - (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\6DB71B3BF87EE5C614C0.exe) - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\6DB71B3BF87EE5C614C0.exe ()

:Commands
[emptytemp]
[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Danach:
Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

beckejr · 12.04.2012, 13:10

Hallo,

vielen Dank für die schnelle Hilfe!

Hier der Inhalt der Log-Datei:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.04.12.02

Windows XP Service Pack 2 x86 FAT32
Internet Explorer 8.0.6001.18702
Administrator :: BECKER-F6DE45E5 [Administrator]

Schutz: Deaktiviert

12.04.2012 16:16:50
mbam-log-2012-04-12 (16-16-50).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 300148
Laufzeit: 37 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\_OTL\MovedFiles\04122012_154633\C_Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\6DB71B3BF87EE5C614C0.exe (Trojan.Zbot.IPGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\04122012_154633\C_WINXP\system32\2BB97415F87EE5C65CAC.exe (Trojan.Zbot.IPGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Favoriten\MP3 Download, music mp3 downloads. ALLOFMP3..url (Rogue.Link) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Chris4You · 12.04.2012, 13:17

Hi,

bitte noch das LOG von OTL (Log was beim fixen erstellt wurde) posten...

chris

POLIZEI / Bundespolizei Trojaner WXP

Plagegeister aller Art und deren Bekämpfung: POLIZEI / Bundespolizei Trojaner WXP