Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Facebook Virus/Phising: Kreditkarten eingeben

Facebook Virus/Phising: Kreditkarten eingeben


Plagegeister aller Art und deren Bekämpfung: Facebook Virus/Phising: Kreditkarten eingeben

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.07.2012, 08:34   #1
Jodimaster
 
Facebook Virus/Phising: Kreditkarten eingeben - Standard

Facebook Virus/Phising: Kreditkarten eingeben


So heute Morgen erwischt es mich unter IE und Firefox

Test mit Tor Browser: Ebenfalls, direkte Umleitung

Aufruf von Facebook

Klappt für 2 Sekunden dann direkte Umleitung : Sie haben gespamt.

Ihr Account wurde gesperrt.

Von Ihrem Account wurde die Spam ausgesendet und aus diesem Grund ist er zeitweilig gesperrt.
Um Ihr Account freigeben, Sie müssen bestätigen, dass Sie der reale Mensch und nicht den Roboter sind und dass Sie wirklich ein Accountbesitzer sind.
Dafür brauchen wir Ihnen verifizieren, füllen Sie die Form aus und senden Sie die Form niedriger ab.
Sofort wird Ihr Account geöffnet sein. Bitte beachten Sie, dass die Daten, die für Verifikation gefordert werden, werden von den Servern facebook.com nicht erhalten und werden nur einmal für die Freigebung Ihres Accounts benutzt.
Bitte, vergessen Sie nicht, die Parole nach der Freigebung des Accounts zu verändern.
Wir danken Ihnen für das Verständnis.


Avira läuft
Malwarebytes läuft

HijackThis


Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 09:31:42, on 25.07.2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\logishrd\LVMVFM\UMVPFSrv.exe
C:\WINXP\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINXP\Explorer.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DatacardService\DCService.exe
C:\Programme\devolo\dlan\devolonetsvc.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINXP\system32\KaraokeSer.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
F:\Programme\TrueCrypt\TrueCrypt.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\System32\svchost.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINXP\system32\NOTEPAD.EXE
F:\Programme\Mozilla Firefox\plugin-container.exe
F:\Programme\Miranda IM\miranda32.exe
F:\Programme\Malwarebytes' Anti-Malware\mbam.exe
c:\programme\avira\antivir desktop\avcenter.exe
c:\programme\avira\antivir desktop\avscan.exe
C:\WINXP\System32\vssvc.exe
C:\WINXP\system32\dllhost.exe
C:\WINXP\system32\dllhost.exe
C:\Dokumente und Einstellungen\admin\Desktop\Tor Browser\App\vidalia.exe
C:\Dokumente und Einstellungen\admin\Desktop\Tor Browser\App\tor.exe
C:\Dokumente und Einstellungen\admin\Desktop\Tor Browser\FirefoxPortable\App\Firefox\tbb-firefox.exe
C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bigseekpro.com/splitcam/{A0B1D5BC-7ACD-45B4-B76B-F7E35484894B}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - F:\PROGRA~1\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [ Malwarebytes Anti-Malware ] F:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [TrueCrypt] "F:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [Remote Control Editor] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKCU\..\Run: [Ynaducm] "C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Ipylfu\ahtyu.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://F:\PROGRA~1\MICROS~1\Office14\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: HP Smart Web Printing ein- oder ausblenden - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\winxp\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\winxp\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\winxp\system32\prxerdrv.dll
O15 - Trusted Zone: hxxp://asia.msi.com.tw
O15 - Trusted Zone: hxxp://global.msi.com.tw
O15 - Trusted IP range: hxxp://192.168.178.1
O15 - ESC Trusted IP range: hxxp://192.168.178.1
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - hxxp://www.waf-chat.de/activex/ImageUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1297693142328
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - hxxp://liveupdate.msi.com.tw/autobios/LOnline/RELEASECAB/install.cab
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} - hxxp://download.sopcast.com/download/SOPCORE.CAB
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7594AA1B-36EC-4BFD-8872-BFF897DF8A2B}: NameServer = 192.168.178.1
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINXP\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: DCService.exe - Unknown owner - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DatacardService\DCService.exe
O23 - Service: devolo Network Service (DevoloNetworkService) - devolo AG - C:\Programme\devolo\dlan\devolonetsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: VIA Karaoke digital mixer Service (KaraokeService) - VIA Technologies, Inc. - C:\WINXP\system32\KaraokeSer.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - F:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Skype C2C Service - Skype Technologies S.A. - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Programme\Skype\Updater\Updater.exe
O23 - Service: UMVPFSrv - Logitech Inc. - C:\Programme\Gemeinsame Dateien\logishrd\LVMVFM\UMVPFSrv.exe

--
End of file - 11344 bytes
Das nicht bekannte Programm:

O4 - HKCU\..\Run: [Ynaducm] "C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Ipylfu\ahtyu.exe"

Habe ich erstmal entfernt.

Das war bei mir auch im Autostart drin

Avira Free Antivirus Log:


Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 25. Juli 2012  09:15

Es wird nach 3921311 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : admin
Computername   : XXXXXXXXXXXXX
Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  01.05.2012 22:48:48
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  02.05.2012 00:02:50
LUKE.DLL       : 12.3.0.15      68304 Bytes  01.05.2012 23:31:47
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  01.05.2012 22:13:36
AVREG.DLL      : 12.3.0.17     232200 Bytes  15.05.2012 19:48:41
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 10:43:53
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 11:09:54
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 11:09:54
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 11:09:56
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 11:09:56
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 11:09:56
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 11:09:56
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 11:09:56
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 11:09:57
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 11:09:58
VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 11:08:29
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 11:08:31
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 11:08:33
VBASE017.VDF   : 7.11.35.143   126464 Bytes  09.07.2012 11:08:37
VBASE018.VDF   : 7.11.35.235   151552 Bytes  12.07.2012 11:08:39
VBASE019.VDF   : 7.11.36.45    118784 Bytes  13.07.2012 11:08:40
VBASE020.VDF   : 7.11.36.107   123904 Bytes  16.07.2012 11:08:43
VBASE021.VDF   : 7.11.36.147   238592 Bytes  17.07.2012 11:08:44
VBASE022.VDF   : 7.11.36.209   135168 Bytes  19.07.2012 11:09:15
VBASE023.VDF   : 7.11.37.19    116224 Bytes  21.07.2012 11:08:45
VBASE024.VDF   : 7.11.37.79    149504 Bytes  23.07.2012 11:08:47
VBASE025.VDF   : 7.11.37.80      2048 Bytes  23.07.2012 11:08:48
VBASE026.VDF   : 7.11.37.81      2048 Bytes  23.07.2012 11:08:48
VBASE027.VDF   : 7.11.37.82      2048 Bytes  23.07.2012 11:08:48
VBASE028.VDF   : 7.11.37.83      2048 Bytes  23.07.2012 11:08:48
VBASE029.VDF   : 7.11.37.84      2048 Bytes  23.07.2012 11:08:48
VBASE030.VDF   : 7.11.37.85      2048 Bytes  23.07.2012 11:08:48
VBASE031.VDF   : 7.11.37.102    15872 Bytes  24.07.2012 11:08:48
Engineversion  : 8.2.10.118
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 11:08:38
AESCRIPT.DLL   : 8.1.4.34      455035 Bytes  20.07.2012 11:09:19
AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 11:08:03
AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32
AEPACK.DLL     : 8.3.0.16      807287 Bytes  20.07.2012 11:09:19
AEOFFICE.DLL   : 8.1.2.42      201083 Bytes  20.07.2012 11:09:19
AEHEUR.DLL     : 8.1.4.76     5063031 Bytes  20.07.2012 11:09:18
AEHELP.DLL     : 8.1.23.2      258422 Bytes  29.06.2012 11:08:21
AEGEN.DLL      : 8.1.5.34      434548 Bytes  20.07.2012 11:09:16
AEEXP.DLL      : 8.1.0.68       86389 Bytes  20.07.2012 11:09:19
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 11:08:37
AECORE.DLL     : 8.1.27.2      201078 Bytes  10.07.2012 11:08:37
AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  01.05.2012 22:59:21
AVPREF.DLL     : 12.3.0.15      51920 Bytes  01.05.2012 22:44:31
AVREP.DLL      : 12.3.0.15     179208 Bytes  01.05.2012 22:13:35
AVARKT.DLL     : 12.3.0.15     211408 Bytes  01.05.2012 22:21:32
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  01.05.2012 22:28:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  16.04.2012 21:11:02
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  01.05.2012 22:51:35
NETNT.DLL      : 12.3.0.15      17104 Bytes  01.05.2012 23:33:29
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  02.05.2012 00:03:51
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  02.05.2012 00:03:51

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, F:, G:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 25. Juli 2012  09:15

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'tbb-firefox.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'tor.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'vidalia.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'miranda32.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOTEPAD.EXE' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'msimn.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '132' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '168' Modul(e) wurden durchsucht
Durchsuche Prozess 'TTTVRC.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueCrypt.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'c2c_service.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'KaraokeSer.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'devolonetsvc.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'DCService.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'UMVPFSrv.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '164' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '3144' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27\6c80859b-5cc32b42
  [0] Archivtyp: ZIP
  --> a/a.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
  --> a/J.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.AF
  --> a/ya.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56\45269c78-2ad6e3fe
  [0] Archivtyp: ZIP
  --> gfsprpp/bepwrbcguwgb.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2008-5353.AI.3
  --> gfsprpp/efcqud.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.W
  --> gfsprpp/htuvhecvcpvs.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.BP.2
  --> gfsprpp/mhdkphsarpsravfm.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.112
  --> gfsprpp/qgstdablbr.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.BQ.2
  --> gfsprpp/sydatamabe.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.BR.2
  --> gfsprpp/uhfcbakcecf.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.BS.2
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\TuneUp Software\TuneUp Utilities 2011\WinStyler\BootScreens\_default.tbs
  [WARNUNG]   Der Archivheader ist defekt
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\TuneUp Software\TuneUp Utilities 2011\WinStyler\LogonScreens\_default.tls
  [WARNUNG]   Der Archivheader ist defekt
C:\Dokumente und Einstellungen\admin\Downloads\DE_AT_CH_890_4223.rar
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\ltbs.zip
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AGeeksToy\AGeeksToy\Settings - Betfair\xl.dat
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar1.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar10.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar11.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar12.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar13.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar14.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar15.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar16.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar17.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar18.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar19.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar20.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar21.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar22.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar23.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar24.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar25.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar26.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar27.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar28.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar29.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar3.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar30.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar31.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar32.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar33.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar34.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar35.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar36.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar37.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar38.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar39.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar4.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar40.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar41.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar42.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar43.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar44.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar45.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar46.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar47.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar48.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar49.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar5.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar50.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar51.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar52.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar53.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar54.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar55.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar56.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar57.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar58.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar59.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar6.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar60.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar61.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar7.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar8.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BabylonToolbar9.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterAntiVirusOverride.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SweetIM.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SweetIM1.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SweetIM2.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SweetIM3.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SweetIM4.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SweetIM5.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SweetIM6.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentadb.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Programme\Gemeinsame Dateien\LogiShrd\LWSPlugins\LWS\Applets\Gallery\SocialNetworking\Applets\YouKu\ikuacc.dat
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Programme\Gemeinsame Dateien\LogiShrd\LWSPlugins\LWS\Applets\Gallery\SocialNetworking\Applets\YouKu\YouKu_Uninstall.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Programme\Gemeinsame Dateien\LogiShrd\LWSPlugins\LWS\GetMore\LWS_GetMore_Uninstall.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Programme\Gemeinsame Dateien\LogiShrd\LWSPlugins\LWS\Help\LWS_Help_Uninstall.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Programme\MSI\Live Update 5\LiveUpdate.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Programme\WinRAR\rarnew.dat
  [WARNUNG]   Das Archiv ist unbekannt oder defekt
Beginne mit der Suche in 'F:\' <SOFTWARE>
F:\TuT_Bahn_Bus_Fahren.zipx
  [WARNUNG]   Die Komprimierungsmethode wird nicht unterstützt
F:\TuT_K__ufer_Nr._6\Kostenlos Bus unsd Bahn fahrn Tut.zipx
  [WARNUNG]   Die Komprimierungsmethode wird nicht unterstützt
Beginne mit der Suche in 'G:\' <MP3-VIDEO>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56\45269c78-2ad6e3fe
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.BS.2
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54a31047.qua' verschoben!
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27\6c80859b-5cc32b42
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c323e37.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 25. Juli 2012  10:56
Benötigte Zeit:  1:40:38 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  12151 Verzeichnisse wurden überprüft
 469312 Dateien wurden geprüft
     10 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 469302 Dateien ohne Befall
  10874 Archive wurden durchsucht
     84 Warnungen
      2 Hinweise
 613494 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
Nach Avira sind jetzt in Quarantäne:

EXP.JAVA.Ternub.Gen
EXP/2012-0507.BS.2
ADWARE/InstallCore.Gen

Malwarebytes Anti-Malware KEINE TREFFER



Code:
ATTFilter
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.24.12

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
admin :: XXXXXXXXXX[Administrator]

25.07.2012 09:14:57
mbam-log-2012-07-25 (09-14-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 345378
Laufzeit: 2 Stunde(n), 29 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Geändert von Jodimaster (25.07.2012 um 08:44 Uhr)

Alt 25.07.2012, 10:51   #2
Jodimaster
 
Facebook Virus/Phising: Kreditkarten eingeben - Standard

Facebook Virus/Phising: Kreditkarten eingeben


OTL.TXT im Anhang
__________________
Alt 25.07.2012, 11:13   #3
Jodimaster
 
Facebook Virus/Phising: Kreditkarten eingeben - Standard

Facebook Virus/Phising: Kreditkarten eingeben


SOS

Gmer hängt sich bei mir auf
Rechner fährt dann direkt neu hoch
Fehlermeldung: A syncron flood F1 Resume

Das scheint ein Rootkit zu sein

O4 - HKCU\..\Run: [Ynaducm] "C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Ipylfu\ahtyu.exe" erscheint auch immer wieder in Autostart

ComboFix Log


Code:
ATTFilter
ComboFix 12-07-25.04 - admin 25.07.2012  13:57:34.1.3 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2529 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\admin\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\admin\Anwendungsdaten\Help\coredb\storage
c:\dokumente und einstellungen\admin\Anwendungsdaten\Ipylfu
c:\dokumente und einstellungen\admin\Anwendungsdaten\Ipylfu\ahtyu.exe
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\1.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\1728.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\a.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\b.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\c.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\d.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\e.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\f.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\g.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\h.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\i.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\j.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\k.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\l.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\m.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\n.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\o.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\p.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\q.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\r.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\s.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\t.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\u.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\v.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\w.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\wlu.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\x.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\y.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\PriceGong\Data\z.txt
c:\dokumente und einstellungen\admin\Anwendungsdaten\Toolbar4
c:\dokumente und einstellungen\admin\g2mdlhlpx.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\winxp\Install
c:\winxp\IsUn0407.exe
c:\winxp\msvcr71.dll
c:\winxp\system32\config.txt
c:\winxp\system32\install
c:\winxp\system32\scvideo.dll
c:\winxp\system32\spool\prtprocs\w32x86\vprproc.dll
c:\winxp\system32\wins.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-06-25 bis 2012-07-25  ))))))))))))))))))))))))))))))
.
.
2012-07-25 11:19 . 2012-07-25 11:19	--------	d-----w-	c:\programme\CCleaner
2012-07-25 11:04 . 2012-07-25 11:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos
2012-07-24 22:31 . 2012-07-25 07:40	--------	d-----w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\Ubiv
2012-07-24 22:31 . 2012-07-24 22:31	--------	d-----w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\Ewag
2012-07-23 13:37 . 2012-07-23 13:37	--------	d-----w-	c:\programme\FRITZ!
2012-06-30 10:52 . 2012-06-30 10:52	--------	d-----w-	c:\programme\Gemeinsame Dateien\xing shared
2012-06-30 10:52 . 2012-06-30 10:52	--------	d-----w-	c:\programme\Real
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-12 08:14 . 2012-04-04 14:58	426184	----a-w-	c:\winxp\system32\FlashPlayerApp.exe
2012-07-12 08:14 . 2011-08-08 07:25	70344	----a-w-	c:\winxp\system32\FlashPlayerCPLApp.cpl
2012-07-03 11:46 . 2012-03-21 12:44	22344	----a-w-	c:\winxp\system32\drivers\mbam.sys
2012-06-30 10:52 . 2009-05-21 19:21	499712	----a-w-	c:\winxp\system32\msvcp71.dll
2012-06-30 10:52 . 2009-05-21 17:57	348160	----a-w-	c:\winxp\system32\msvcr71.dll
2012-04-27 08:20 . 2012-05-15 19:47	137928	----a-w-	c:\winxp\system32\drivers\avipbb.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrueCrypt"="f:\programme\TrueCrypt\TrueCrypt.exe" [2010-11-09 1415632]
"Remote Control Editor"="c:\programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [2012-05-14 1834496]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-04-19 98304]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-05-01 348624]
"Malwarebytes' Anti-Malware"="f:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^admin^Startmenü^Programme^Autostart^Logitech . Produktregistrierung.lnk]
backup=c:\winxp\pss\Logitech . Produktregistrierung.lnkStartup
path=c:\dokumente und einstellungen\admin\Startmenü\Programme\Autostart\Logitech . Produktregistrierung.lnk
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^admin^Startmenü^Programme^Autostart^Psi.lnk]
path=c:\dokumente und einstellungen\admin\Startmenü\Programme\Autostart\Psi.lnk
backup=c:\winxp\pss\Psi.lnkStartup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
backup=c:\winxp\pss\HP Digital Imaging Monitor.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WISO Mein Steuer-Sparbuch heute.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Steuer-Sparbuch heute.lnk
backup=c:\winxp\pss\WISO Mein Steuer-Sparbuch heute.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware (reboot)
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UIExec
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-02 08:07	843712	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-03-27 12:41	37296	----a-w-	f:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 09:00	15360	----a-w-	c:\winxp\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
2009-09-05 16:29	385024	----a-w-	c:\programme\FreePDF_XP\fpassist.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]
2011-06-24 13:44	41101936	----a-w-	c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-05-08 15:24	54840	----a-w-	c:\programme\HP\HP Software Update\hpwuSchd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid]
2011-01-13 02:01	6129496	----a-w-	c:\programme\Logitech\Vid HD\Vid.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LWS]
2011-08-12 11:18	205336	----a-w-	f:\programme\Logitech\LWS\Webcam Software\LWS.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware]
2012-07-03 11:46	462920	----a-w-	f:\programme\Malwarebytes' Anti-Malware\mbamgui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 04:52	1695232	------w-	c:\programme\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-04-16 21:12	3872080	----a-w-	c:\programme\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MyTomTomSA.exe]
2012-05-18 09:04	434168	----a-w-	c:\programme\MyTomTom 3\MyTomTomSA.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Remote Control Editor]
2012-05-14 09:22	1834496	----a-w-	c:\programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-01-18 13:02	254696	----a-w-	c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2012-06-30 10:52	296096	----a-w-	c:\programme\Real\RealPlayer\Update\realsched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Programme\\HP\\HP Software Update\\HPWUCli.exe"=
"c:\\Programme\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"f:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"f:\\Programme\\Macromedia\\Fireworks MX\\Fireworks.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"f:\\Programme\\FlashFXP 4\\FlashFXP.exe"=
"f:\\Programme\\Logitech\\Vid\\Vid.exe"=
"c:\\Programme\\Logitech\\Vid HD\\Vid.exe"=
"c:\\WINXP\\system32\\dpvsetup.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"c:\\Programme\\devolo\\dlan\\devolonetsvc.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\InstTool.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\VersionCheck\\VersionCheck.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:TCP"= 5900:TCP:vnc5900
"5800:TCP"= 5800:TCP:vnc5800
.
R1 avkmgr;avkmgr;c:\winxp\system32\drivers\avkmgr.sys [15.05.2012 21:47 36000]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 17:35 128296]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.05.2012 21:47 86224]
R2 DevoloNetworkService;devolo Network Service;c:\programme\devolo\dlan\devolonetsvc.exe [19.07.2010 20:57 3304768]
R2 KaraokeService;VIA Karaoke digital mixer Service;c:\winxp\system32\KaraokeSer.exe [06.04.2012 23:01 88688]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [21.03.2012 14:44 652360]
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);c:\winxp\system32\drivers\npf_devolo.sys [10.06.2010 14:32 35840]
R2 UMVPFSrv;UMVPFSrv;c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\UMVPFSrv.exe [01.04.2011 07:11 450848]
R3 huawei_enumerator;huawei_enumerator;c:\winxp\system32\drivers\ew_jubusenum.sys [24.01.2011 18:59 63616]
R3 L1c;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\winxp\system32\drivers\l1c51x86.sys [11.08.2011 15:54 75504]
R3 MBAMProtector;MBAMProtector;c:\winxp\system32\drivers\mbam.sys [21.03.2012 14:44 22344]
R3 usbfilter;AMD USB Filter Driver;c:\winxp\system32\drivers\usbfilter.sys [11.04.2012 12:54 35712]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\winxp\system32\drivers\viahduaa.sys [09.11.2010 21:49 2801904]
S0 vmci;VMware VMCI Bus Driver;c:\winxp\system32\DRIVERS\vmci.sys --> c:\winxp\system32\DRIVERS\vmci.sys [?]
S2 DCService.exe;DCService.exe;c:\dokumente und einstellungen\All Users\Anwendungsdaten\DatacardService\DCService.exe [08.05.2010 13:48 229376]
S2 EAPPkt;Realtek EAPPkt Protocol;c:\winxp\system32\DRIVERS\EAPPkt.sys --> c:\winxp\system32\DRIVERS\EAPPkt.sys [?]
S2 Scutum50;Scutum50 NDIS Protocol Driver;c:\winxp\system32\Drivers\Scutum50.sys --> c:\winxp\system32\Drivers\Scutum50.sys [?]
S2 Skype C2C Service;Skype C2C Service;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe [05.07.2012 18:41 3048136]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [03.05.2012 08:31 158856]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\winxp\system32\Macromed\Flash\FlashPlayerUpdateService.exe [04.04.2012 16:58 250056]
S3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\winxp\system32\drivers\AtihdXP3.sys --> c:\winxp\system32\drivers\AtihdXP3.sys [?]
S3 BTCFilterService;USB Networking Driver Filter Service;c:\winxp\system32\DRIVERS\motfilt.sys --> c:\winxp\system32\DRIVERS\motfilt.sys [?]
S3 CompFilter;UVCCompositeFilter;c:\winxp\system32\drivers\lvbusflt.sys [10.11.2010 04:46 22176]
S3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\winxp\system32\drivers\ew_hwusbdev.sys [24.01.2011 18:58 101504]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\winxp\system32\drivers\ewusbnet.sys [24.01.2011 18:59 117504]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\winxp\system32\drivers\massfilter.sys --> c:\winxp\system32\drivers\massfilter.sys [?]
S3 massfilter_hs;USB Mass Storage Filter Driver;c:\winxp\system32\drivers\massfilter_hs.sys --> c:\winxp\system32\drivers\massfilter_hs.sys [?]
S3 motandroidusb;Mot ADB Interface Driver;c:\winxp\system32\Drivers\motoandroid.sys --> c:\winxp\system32\Drivers\motoandroid.sys [?]
S3 motccgp;Motorola USB Composite Device Driver;c:\winxp\system32\DRIVERS\motccgp.sys --> c:\winxp\system32\DRIVERS\motccgp.sys [?]
S3 motccgpfl;MotCcgpFlService;c:\winxp\system32\DRIVERS\motccgpfl.sys --> c:\winxp\system32\DRIVERS\motccgpfl.sys [?]
S3 MotDev;Motorola Inc. USB Device;c:\winxp\system32\DRIVERS\motodrv.sys --> c:\winxp\system32\DRIVERS\motodrv.sys [?]
S3 Motousbnet;Motorola USB Networking Driver Service;c:\winxp\system32\DRIVERS\Motousbnet.sys --> c:\winxp\system32\DRIVERS\Motousbnet.sys [?]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [26.04.2012 00:01 113120]
S3 MSI_DVD_010507;MSI_DVD_010507;c:\progra~2\MSI\MSIWDev\DVDSYS32_100507.sys [10.05.2010 11:44 22328]
S3 MSI_MSIBIOS_010507;MSI_MSIBIOS_010507;f:\programme\MSI\Live Update 5\msibios32_100507.sys [21.05.2012 18:15 25912]
S3 MSI_VGASYS_010507;MSI_VGASYS_010507;c:\progra~2\MSI\MSIWDev\VGASYS32_100507.sys [10.05.2010 11:44 16696]
S3 NTIOLib_1_0_4;NTIOLib_1_0_4;f:\programme\MSI\Live Update 5\NTIOLib.sys [21.05.2012 18:15 7680]
S3 NTIOLib_1_0_6;NTIOLib_1_0_6;c:\programme\Setup Files\Ms7623vBB0\NTIOLib.sys [06.01.2011 11:04 7680]
S3 NTIOLib_1_0_8;NTIOLib_1_0_8;c:\progra~2\MSI\MSIWDev\NTIOLib.sys [27.01.2011 14:43 7680]
S3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 22:37 4640000]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter;c:\winxp\system32\DRIVERS\RTL8187.sys --> c:\winxp\system32\DRIVERS\RTL8187.sys [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - UJM1NJI3
*NewlyCreated* - UTM1NJI3
*Deregistered* - ujm1nji3
*Deregistered* - utm1nji3
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-25 c:\winxp\Tasks\Adobe Flash Player Updater.job
- c:\winxp\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-04 08:14]
.
2012-07-25 c:\winxp\Tasks\RealUpgradeLogonTaskS-1-5-21-1960408961-73586283-1801674531-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2012-06-21 10:00]
.
2012-07-21 c:\winxp\Tasks\RealUpgradeScheduledTaskS-1-5-21-1960408961-73586283-1801674531-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2012-06-21 10:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://www.bigseekpro.com/splitcam/{A0B1D5BC-7ACD-45B4-B76B-F7E35484894B}
uInternet Settings,ProxyOverride = *.local
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: Nach Microsoft E&xcel exportieren - f:\progra~1\MICROS~1\Office14\EXCEL.EXE/3000
LSP: %SystemRoot%\system32\PrxerDrv.dll
Trusted Zone: com\www.msi
Trusted Zone: com.tw\asia.msi
Trusted Zone: com.tw\global.msi
TCP: Interfaces\{7594AA1B-36EC-4BFD-8872-BFF897DF8A2B}: NameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\6atw7bvt.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2481020&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Amazon.de
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: network.proxy.type - 4
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Ynaducm - c:\dokumente und einstellungen\admin\Anwendungsdaten\Ipylfu\ahtyu.exe
MSConfigStartUp-AbacusFaxServer - f:\programme\AbacusFax\AbacusFaxServer.exe
MSConfigStartUp-BabylonToolbar - c:\programme\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe
MSConfigStartUp-Google Update - c:\dokumente und einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
MSConfigStartUp-HKCU - c:\winxp\system32\install\svchost.exe
MSConfigStartUp-HKLM - c:\winxp\system32\install\svchost.exe
MSConfigStartUp-ICQ - c:\programme\ICQ7.7\ICQ.exe
MSConfigStartUp-LicenseValidator - c:\dokumente und einstellungen\admin\Anwendungsdaten\vlc\{FCEB8B07-C4CA-4ACD-8F40-891ACE3CEE7D}\LicenseValidator.exe
MSConfigStartUp-Live Update 5 - c:\programme\MSI\Live Update 5\BootStartLiveupdate.exe
MSConfigStartUp-SearchSettings - c:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
MSConfigStartUp-SweetIM - c:\programme\SweetIM\Messenger\SweetIM.exe
MSConfigStartUp-TomTomHOME - c:\programme\TomTom HOME 2\TomTomHOMERunner.exe
MSConfigStartUp-Upgrade - c:\dokumente und einstellungen\admin\Anwendungsdaten\Opera\{8D8B7E54-559D-47B8-BD0C-ED70E570AC2F}\Upgrade.exe
MSConfigStartUp-UpgradeHelper - c:\dokumente und einstellungen\admin\Anwendungsdaten\Google Inc.\{57477068-2D37-4588-B650-251AC32D669C}\UpgradeHelper.exe
MSConfigStartUp-wmagent - (no file)
MSConfigStartUp-Ynaducm - c:\dokumente und einstellungen\admin\Anwendungsdaten\Ipylfu\ahtyu.exe
HKLM_ActiveSetup-{629524C3-19FE-C7AA-9BFB-6EE4A2377756} - c:\winxp\system32\WinUpd.exe
AddRemove-FRITZ! 2.0 - c:\winxp\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-07-25 14:04
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1944)
c:\winxp\system32\Ati2evxx.dll
c:\winxp\system32\atiadlxx.dll
.
Zeit der Fertigstellung: 2012-07-25  14:07:38
ComboFix-quarantined-files.txt  2012-07-25 12:07
.
Vor Suchlauf: 9 Verzeichnis(se), 196.511.596.544 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 196.486.508.544 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
.
- - End Of File - - A8D648E7BFEA3BAD0EDE609FC99DBA56
Inzwischen hab ich es irgendwie geschafft Facebook wieder aufzrufen nachdem ich CCleaner ausgeführt habe kom ich wieder auf Facebook

Der Rootkit lädt aber im hintergrund immer noch irgendwelche Seiten....

Bitte um Hilfe, bekomme das Teil nicht entfernt

Also ich hab jetzt den ESET Online Scanner angeschmissen

7 Funde und 7 erfolgreich ernfernt.

Der C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Ipylfu\ahtyu.exe

Eintrag ist auf jeden Fall jetzt weg ebenfalls auch bei Hijackthis

Irgendwelche Adware wird aber noch mitgeladen beim surfen, dann weiss ich jetzt auch nicht weiter.
__________________
Geändert von Jodimaster (25.07.2012 um 11:20 Uhr)

Antwort

Themen zu Facebook Virus/Phising: Kreditkarten eingeben
account, accounts, beachten, besitzer, brauche, daten, eingebe, erhalte, erhalten, erwischt, facebook, freigeben, grund, heute, hkus\s-1-5-18, karte, karten, kreditkarte, kreditkarten, morgen, niedriger, plug-in, remote control, sekunden, senden, server, servern, umleitung, vergessen, verweise, wirklich


« Antivir meldet Fund : TR/Spy.Zbot.edsd | Google verlangt Code vor Anmeldung/Mein Rechner veröffntlicht IP-Adresse »


Ähnliche Themen: Facebook Virus/Phising: Kreditkarten eingeben


  1. EMV-Verfahren: PIN-Prüfung von Kreditkarten ausgetrickst
    Nachrichten - 26.10.2015 (0)
  2. Bucht Spy Hunter unberechtigt auf Kreditkarten?
    Log-Analyse und Auswertung - 04.04.2015 (3)
  3. UPS Tracker (Phising Mail) ist da ein Virus dahinter?
    Überwachung, Datenschutz und Spam - 16.03.2015 (1)
  4. Geheimdienste unterwandern SIM- und Kreditkarten
    Nachrichten - 20.02.2015 (0)
  5. Virus von Phising Seite (Tojan.Heur2.JP.TD2@aWV8e!oi)
    Plagegeister aller Art und deren Bekämpfung - 05.08.2014 (2)
  6. Auf Link einer Phising-Mail gedrückt - Möglicher Virus
    Plagegeister aller Art und deren Bekämpfung - 04.06.2014 (11)
  7. Geklaute Kreditkarten Daten
    Log-Analyse und Auswertung - 27.01.2014 (5)
  8. Manipulierte Kreditkarten ohne Limit
    Nachrichten - 08.02.2013 (0)
  9. Zweifel an der Sicherheit von Kreditkarten-Chips
    Nachrichten - 13.09.2012 (0)
  10. Hackerin liest RFID-Kreditkarten aus
    Nachrichten - 01.02.2012 (0)
  11. Facebook Virus - als .jpg getarnte .scr Datei - vermutlich Virus?
    Log-Analyse und Auswertung - 23.08.2011 (22)
  12. Verbraucherschutzzentrale warnt vor 3D-Sicherheitsverfahren bei Kreditkarten
    Nachrichten - 12.08.2011 (0)
  13. Zuerst Facebook-Virus-Neu aufgesetzt,cpu Auslastung 100%,bei Facebook-Games extrem lahm!
    Log-Analyse und Auswertung - 03.02.2011 (11)
  14. Skype - Facebook Virus foto :P h**p://facebook.twitterbizzer.com/member_profile.php
    Plagegeister aller Art und deren Bekämpfung - 27.08.2010 (6)
  15. PIN-Prüfung im EMV-Verfahren bei EC-und Kreditkarten ausgehebelt
    Nachrichten - 12.02.2010 (0)
  16. Kreditkarten HACK !!!!! Gefärlich?????
    Mülltonne - 14.09.2009 (0)
  17. "Kreditkarten-Virus" - Paylap
    Plagegeister aller Art und deren Bekämpfung - 14.11.2003 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Facebook Virus/Phising: Kreditkarten eingeben - So heute Morgen erwischt es mich unter IE und Firefox Test mit Tor Browser: Ebenfalls, direkte Umleitung Aufruf von Facebook Klappt für 2 Sekunden dann direkte Umleitung : Sie haben - Facebook Virus/Phising: Kreditkarten eingeben...
Archiv
Du betrachtest: Facebook Virus/Phising: Kreditkarten eingeben auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131