HILFE ein Trojaner TR/Spy.Delf.JQ.110

hahnhuhn · 22.05.2007, 19:02

Hilfe Hilfe Hilfe an die Profis,

ich habe mir auf meinem Notebook lt. Avira Antivir Personal Edition Classic Meldung den "TR/Spy.Delf.JQ.110" eingefangen. Antivirus hat mir das Teil in die Quarantäne geschoben.
Was muß ich denn jetzt tun?
Kann ich von dort aus die angezeigte Datei c:\windows\cfdemo.scr einfach löschen? und welche Schritte sind noch durchzuführen? Ich habe gar keine Ahnung was das Teil überhaupt anstellt.

Für eine schnelle Hilfe bin ich extrem dankbar.

**Sunny** · 22.05.2007, 19:46

Hallo und im Trojaner Board!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:

Datenträgerbereinigung

Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

*Ein Dankeschön an das Forum HijackThis und besonders Karl83 für die Anleitung*

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

Gruß
Sunny

hahnhuhn · 22.05.2007, 20:22

Hallo,

also ich habe alles gemacht, hier die Auswertungen. Ich hoffe es paßt so weit.
Combifix:
"Admin" - 2007-05-22 20:57:54 Service Pack 2
ComboFix 07-05.21.6.V - Running from: "C:\Dokumente und Einstellungen\All Users\Dokumente\"

((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-22 ))))))))))))))))))))))))))))))))))

2007-05-16 18:51 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys
2007-05-16 18:51 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-22 18:32:39 4,952 --sha-r C:\bootfont.bin
2007-05-21 19:00:55 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-05-13 12:42:16 24,576 --sh--r C:\bootwiz.sys
2007-03-31 15:08:20 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
2007-03-25 12:52:35 75,346 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-25 12:52:35 415,988 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-10 16:52:28 -------- d-----w C:\Programme\Gemeinsame Dateien\Lexware
2007-03-10 16:52:06 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-03-10 16:52:06 -------- d-----w C:\Programme\Lexware
2007-03-10 16:51:48 -------- d-----w C:\DOKUME~1\Admin\ANWEND~1\InstallShield
2007-03-10 16:51:03 -------- d-----w C:\Programme\Haufe
2007-03-08 22:02:26 42,648 ----a-w C:\WINDOWS\zllsputility_loc0407.dll
2007-03-08 22:02:24 54,936 ----a-w C:\WINDOWS\system32\vsutil_loc0407.dll
2007-03-08 22:02:20 22,168 ----a-w C:\WINDOWS\system32\imsinstall_loc0407.dll
2007-03-08 22:02:20 18,072 ----a-w C:\WINDOWS\system32\imslsp_install_loc0407.dll
2007-03-08 22:02:00 75,512 ----a-w C:\WINDOWS\zllsputility.exe
2007-03-08 22:01:42 1,087,216 ----a-w C:\WINDOWS\system32\zpeng24.dll
2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32(2).dll
2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys
2007-03-08 13:07:49 664 ----a-w C:\WINDOWS\system32\d3d9caps.dat
2007-03-07 19:22:03 -------- d-----w C:\Programme\TuneUp Utilities 2004
2007-02-05 20:18:44 185,856 ----a-w C:\WINDOWS\system32\upnphost.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 19:38]
{2F85D76C-0569-466F-A488-493E6BD0E955}=C:\Programme\Windows Desktop Search\dsWebAllow.dll [2006-03-26 22:44]
{5CA3D70E-1895-11CF-8E15-001234567890}=C:\WINDOWS\System32\DLA\DLASHX_W.DLL [2005-10-06 05:20]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22]
{9ECB9560-04F9-4bbc-943D-298DDF1699E1}=C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll [2005-10-22 18:29]
{A8F38D8D-E480-4D52-B7A2-731BB6995FDD}=C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll [2005-10-11 17:58]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}=C:\Programme\MSN Toolbar Suite\msntb.dll [2005-11-09 18:52]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-05-01 22:04]
"nwiz"="nwiz.exe" [2006-05-01 22:04 C:\WINDOWS\system32\nwiz.exe]
"NVRotateSysTray"="C:\WINDOWS\system32\nvsysrot.dll" [2006-05-01 22:04]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 01:02]
"RTHDCPL"="RTHDCPL.EXE" []
"Alcmtr"="ALCMTR.EXE" []
"AGRSMMSG"="AGRSMMSG.exe" []
"THotkey"="C:\Programme\Toshiba\Toshiba Applet\thotkey.exe" [2006-08-25 13:47]
"TPSMain"="TPSMain.exe" [2005-08-03 16:16 C:\WINDOWS\system32\TPSMain.exe]
"NDSTray.exe"="NDSTray.exe" []
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2006-02-02 13:11]
"SmoothView"="C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 11:01]
"TFncKy"="TFncKy.exe" []
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-10-06 05:20]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-09-17 00:27]
"IS CfgWiz"="C:\Programme\Norton Internet Security\cfgwiz.exe" [2005-09-29 22:33]
"SSC_UserPrompt"="C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" [2004-11-09 14:03]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 01:38]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 01:32]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-05-16 18:51]
"OSSelectorReinstall"="C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe" [2006-04-12 16:58]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-10-17 12:47]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-10-18 16:23]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-10-18 16:29]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-01-21 18:02]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 10:05]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"="C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-03-13 13:11]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0 relog_ap

*Newly Created Service* -COMHOST
*Newly Created Service* -PROCEXP90

Contents of the 'Scheduled Tasks' folder
2007-03-23 18:11:11 C:\WINDOWS\tasks\1-Klick-Wartung.job
2007-05-22 18:50:00 C:\WINDOWS\tasks\Check Updates for MSN Search Toolbar.job
2006-12-03 12:37:38 C:\WINDOWS\tasks\Registrierungserinnerung 1.job
2006-12-03 12:37:39 C:\WINDOWS\tasks\Registrierungserinnerung 2.job
2006-09-14 12:08:44 C:\WINDOWS\tasks\Symantec NetDetect.job

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-22 20:59:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

********************************************************************

Completion time: 2007-05-22 20:59:22

--- E O F ---
--------------------------------------------------------------------------
Filelist:
----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-F284

Verzeichnis von C:\

22.05.2007 23:04 210 boot.ini
22.05.2007 23:04 4.952 bootfont.bin
22.05.2007 23:04 251.184 ntldr
22.05.2007 23:04 47.564 ntdetect.com
22.05.2007 21:04 1.071.697.920 hiberfil.sys
22.05.2007 21:04 1.610.612.736 pagefile.sys
22.05.2007 20:59 7.265 ComboFix.txt
13.05.2007 14:42 24.576 bootwiz.sys
10.03.2007 19:06 15 mandant.ini
----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-F284

Verzeichnis von C:\WINDOWS\system32

22.05.2007 21:06 45.378 nvapps.xml
22.05.2007 21:06 1.158 wpa.dbl
22.05.2007 21:06 55.079 vsconfig.xml
27.04.2007 13:45 14.970.328 MRT.exe
08.04.2007 13:17 237.552 FNTCACHE.DAT
02.04.2007 14:21 428.032 swreg.exe
02.04.2007 07:58 546.304 hhctrl.ocx
31.03.2007 17:08 4.212 zllictbl.dat
25.03.2007 14:52 62.678 perfc009.dat
25.03.2007 14:52 401.398 perfh009.dat
25.03.2007 14:52 415.988 perfh007.dat
25.03.2007 14:52 75.346 perfc007.dat
25.03.2007 14:52 966.700 PerfStringBackup.INI
17.03.2007 15:44 293.376 winsrv.dll
15.03.2007 18:19 1.476.992 LegitCheckControl.dll
15.03.2007 18:17 337.280 WgaTray.exe
15.03.2007 18:16 236.928 WgaLogon.dll
09.03.2007 13:51 270.336 xpsp3res.dll
09.03.2007 00:02 54.936 vsutil_loc0407.dll
09.03.2007 00:02 18.072 imslsp_install_loc0407.dll
09.03.2007 00:02 22.168 imsinstall_loc0407.dll
09.03.2007 00:02 394.192 vsdatant.sys
09.03.2007 00:01 1.087.216 zpeng24.dll
09.03.2007 00:01 71.408 zlcommdb.dll
09.03.2007 00:01 83.696 zlcomm.dll
09.03.2007 00:01 46.832 vswmi.dll
09.03.2007 00:01 100.080 vsxml.dll
09.03.2007 00:01 472.816 vsutil.dll
09.03.2007 00:01 71.408 vsregexp.dll
09.03.2007 00:01 276.208 vspubapi.dll
09.03.2007 00:01 104.176 vsmonapi.dll
09.03.2007 00:01 83.696 vsdata.dll
09.03.2007 00:01 157.424 vsinit.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 281.600 gdi32(2).dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:32 1.843.712 win32k.sys
08.03.2007 15:07 664 d3d9caps.dat
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-F284

Verzeichnis von C:\WINDOWS\Prefetch

22.05.2007 21:09 11.174 FIND.EXE-0EC32F1E.pf
22.05.2007 21:09 21.216 CMD.EXE-087B4001.pf
22.05.2007 21:09 19.274 VERCLSID.EXE-3667BD89.pf
22.05.2007 21:09 106.204 EXPLORER.EXE-082F38A9.pf
22.05.2007 21:07 103.354 FIREFOX.EXE-1D57670A.pf
22.05.2007 21:07 22.878 WUAUCLT.EXE-399A8E72.pf
22.05.2007 21:07 65.308 DOT1XCFG.EXE-1140BC5C.pf
22.05.2007 21:07 19.272 ONENOTEM.EXE-07D44FE6.pf
22.05.2007 21:07 15.916 QUICKDCF.EXE-19DDAF60.pf
22.05.2007 21:07 27.000 MSMSGS.EXE-32066BA5.pf
22.05.2007 21:07 70.844 CCAPP.EXE-2EA3695D.pf
22.05.2007 21:06 24.912 AVGNT.EXE-36CA4640.pf
22.05.2007 21:06 18.432 TRUEIMAGEMONITOR.EXE-2C5BC5BC.pf
22.05.2007 21:06 72.238 EHREC.EXE-3B4F59C8.pf
22.05.2007 21:06 22.626 OSA9.EXE-07EC1F61.pf
22.05.2007 21:06 11.382 SMOOTHVIEW.EXE-245D965C.pf
22.05.2007 21:06 10.310 WINDOWSSEARCH.EXE-2B3C04CE.pf
22.05.2007 21:06 10.570 OSS_REINSTALL.EXE-08169A07.pf
22.05.2007 21:06 36.390 ZLCLIENT.EXE-0120F620.pf
22.05.2007 21:06 9.194 AGRSMMSG.EXE-0034A7F7.pf
22.05.2007 21:06 16.078 RUNDLL32.EXE-29582533.pf
22.05.2007 21:06 22.004 EHMSAS.EXE-181DA6C9.pf
22.05.2007 21:06 68.616 EHTRAY.EXE-02EFC9BD.pf
22.05.2007 21:06 50.210 WDS_SL.EXE-39D8C971.pf
22.05.2007 21:06 16.442 NWIZ.EXE-2D0F9FBC.pf
22.05.2007 21:06 100.096 USERINIT.EXE-30B18140.pf
22.05.2007 21:06 45.768 ATI2EVXX.EXE-19D16EB9.pf
22.05.2007 21:06 17.638 RUNDLL32.EXE-415F88EC.pf
22.05.2007 21:06 53.726 WGATRAY.EXE-0ED38BED.pf
22.05.2007 21:06 34.904 ALG.EXE-0F138680.pf
22.05.2007 21:06 30.042 DLLHOST.EXE-5353C76C.pf
22.05.2007 21:06 41.824 WMIPRVSE.EXE-28F301A9.pf
22.05.2007 21:06 28.106 SNDSRVC.EXE-3AB13FF1.pf
22.05.2007 21:06 6.944 TAPPSRV.EXE-0F63DFD2.pf
22.05.2007 21:06 12.788 REGSRVC.EXE-14391AA1.pf
22.05.2007 21:06 19.900 NVSVC32.EXE-1F9EED18.pf
22.05.2007 21:06 9.772 EHSCHED.EXE-1E5750BC.pf
22.05.2007 21:06 20.872 EHRECVR.EXE-20796750.pf
22.05.2007 21:06 16.264 CFSVCS.EXE-38E57441.pf
22.05.2007 21:06 20.368 AVGUARD.EXE-3490B18B.pf
22.05.2007 21:06 28.024 SCHED.EXE-236A886F.pf
22.05.2007 21:06 54.716 SCHEDUL2.EXE-2651AD3F.pf
22.05.2007 21:06 75.848 LOGONUI.EXE-0AF22957.pf
22.05.2007 21:06 16.062 SCHEDHLP.EXE-1C337C21.pf
22.05.2007 21:02 9.926 WINLOGON.EXE-32C57D49.pf
22.05.2007 21:02 69.502 CSRSS.EXE-12B63473.pf
22.05.2007 21:00 69.494 LUCOMS~1.EXE-02DB5950.pf
22.05.2007 20:59 55.892 NOTEPAD.EXE-336351A9.pf
22.05.2007 20:59 4.458 HANDLE.CFEXE-13427ED2.pf
22.05.2007 20:59 29.566 DUMPHIVE.CFEXE-2ED3B134.pf
22.05.2007 20:59 81.332 CATCHME.CFEXE-0F2A0789.pf
22.05.2007 20:59 3.874 SED.CFEXE-268D7E58.pf
22.05.2007 20:59 97.888 181.CFEXE-2FC1A0B5.pf
22.05.2007 20:59 10.788 SORT.EXE-194AE83C.pf
22.05.2007 20:59 11.008 FINDSTR.EXE-0CA6274B.pf
22.05.2007 20:59 12.066 REGT.CFEXE-15DB5DAE.pf
22.05.2007 20:59 3.636 REGBINDUMP.CFEXE-28A4A438.pf
22.05.2007 20:58 6.772 SWXCACLS.CFEXE-365F7973.pf
22.05.2007 20:58 7.292 SWSC.CFEXE-3B4FE4FE.pf
22.05.2007 20:58 60.128 MTEE.CFEXE-1E067BC7.pf
22.05.2007 20:58 5.472 VFIND.CFEXE-2033727F.pf
22.05.2007 20:58 11.290 ATTRIB.EXE-39EAFB02.pf
22.05.2007 20:57 5.474 CHCP.COM-18156052.pf
22.05.2007 20:57 9.010 SWREG.CFEXE-2BF4FFCD.pf
22.05.2007 20:57 8.396 NIRCMD.CFEXE-19FF4781.pf
22.05.2007 20:57 23.160 SETPATH.CFEXE-034E3D26.pf
22.05.2007 20:57 8.506 SWREG.EXE-3560BE42.pf
22.05.2007 20:57 9.624 NIRCMD.EXE-2252711B.pf
22.05.2007 20:57 69.420 COMBOFIX.EXE-266A7488.pf
22.05.2007 20:57 19.874 CTFMON.EXE-0E17969B.pf
22.05.2007 20:57 22.158 TIMOUNTERMONITOR.EXE-02651C90.pf
22.05.2007 20:57 16.674 TPSBATTM.EXE-0243976F.pf
22.05.2007 20:57 18.154 TFNCKY.EXE-2C10A33D.pf
22.05.2007 20:57 20.224 TPSMAIN.EXE-3A835F71.pf
22.05.2007 20:57 19.272 SYNTPENH.EXE-3967AE36.pf
22.05.2007 20:56 33.590 RUNDLL32.EXE-30908AFF.pf
22.05.2007 20:55 16.120 NIRCMD.EXE-1F7FED22.pf
22.05.2007 20:55 9.380 NIRCMD.EXE-06E90D3A.pf
22.05.2007 20:53 5.124 OSE.EXE-313A091F.pf
22.05.2007 20:53 39.646 CLEANMGR.EXE-1F86EA8E.pf
22.05.2007 20:49 61.064 ACRORD32INFO.EXE-30CEC19C.pf
22.05.2007 20:49 79.948 ACRORD32.EXE-0EC716D9.pf
22.05.2007 20:45 54.748 AVCONFIG.EXE-3B8B9C26.pf
22.05.2007 20:43 53.664 AVNOTIFY.EXE-22AE9451.pf
22.05.2007 19:50 48.892 AVSCAN.EXE-05AECC0E.pf
22.05.2007 19:42 43.328 UPDATE.EXE-13D57D76.pf
22.05.2007 19:42 15.196 PREUPD.EXE-358AA1C1.pf
22.05.2007 19:40 24.420 NSCSRVCE.EXE-145D343E.pf
22.05.2007 19:40 66.366 DFRGNTFS.EXE-269967DF.pf
22.05.2007 19:40 35.132 DEFRAG.EXE-273F131E.pf
22.05.2007 19:40 425.382 Layout.ini
22.05.2007 19:11 69.060 LOGON.SCR-151EFAEA.pf
22.05.2007 18:59 54.766 AVCENTER.EXE-37584419.pf
22.05.2007 18:51 14.018 REGSVR32.EXE-25EEFE2F.pf
22.05.2007 18:40 13.824 UPDATER.EXE-2EA78E18.pf
22.05.2007 18:40 16.330 DLACTRLW.EXE-1A171366.pf
22.05.2007 18:39 20.290 WZIP32D.EXE-0871B1C2.pf
22.05.2007 18:36 29.154 AGENTSVR.EXE-002E45AB.pf
22.05.2007 18:36 78.000 WINWORD.EXE-0AEA99D4.pf
22.05.2007 18:36 39.350 NAVW32.EXE-2944DF24.pf
22.05.2007 18:35 14.234 SYMLCSVC.EXE-04DC2DC5.pf
22.05.2007 18:35 17.192 RUNDLL32.EXE-268BFF96.pf
22.05.2007 18:35 12.210 SYMLCSV1.EXE-2A363774.pf
22.05.2007 18:35 16.268 TOSCDSPD.EXE-2E028BB7.pf
22.05.2007 18:35 13.966 REGSHAVE.EXE-1B6F0123.pf
22.05.2007 18:35 20.054 THOTKEY.EXE-188233A8.pf
22.05.2007 18:35 15.994 TOSHIBA.EXE-162CD2A4.pf
22.05.2007 18:35 10.456 ALCMTR.EXE-235F9538.pf
21.05.2007 21:13 22.748 RUNDLL32.EXE-1857459C.pf
21.05.2007 21:09 16.888 SNDVOL32.EXE-383480B7.pf
21.05.2007 21:03 139.976 FIREFOX.EXE-17EE503B.pf
21.05.2007 20:50 106.720 THUNDE~1.EXE-2874618F.pf
21.05.2007 20:50 9.558 TVSTRAY.EXE-089980C8.pf
21.05.2007 20:50 34.844 RTHDCPL.EXE-06918CFA.pf
21.05.2007 20:50 11.252 NDSTRAY.EXE-2384C76C.pf
21.05.2007 20:48 18.552 RUNDLL32.EXE-31610E45.pf
21.05.2007 19:49 59.752 EXCEL.EXE-0D2E9C6C.pf
21.05.2007 19:44 58.224 RUNDLL32.EXE-12E27DD0.pf
21.05.2007 19:42 8.956 SYMLCSV1.EXE-262F3E50.pf
21.05.2007 19:41 24.546 RUNDLL32.EXE-35A483DA.pf
20.05.2007 17:41 10.648 SYMLCSV1.EXE-0BED8894.pf
20.05.2007 17:39 12.016 MCRDSVC.EXE-0560ADD0.pf
20.05.2007 17:39 17.476 X10NETS.EXE-199F9ADE.pf
20.05.2007 17:39 21.192 SVCHOST.EXE-3530F672.pf
19.05.2007 16:14 42.786 FRONTPG.EXE-03C736E4.pf
19.05.2007 15:54 16.400 RUNDLL32.EXE-451FC2C0.pf
19.05.2007 15:53 25.106 WIAACMGR.EXE-212ED878.pf
19.05.2007 15:53 62.692 FINEPIXVIEWER.EXE-281D64E4.pf
19.05.2007 12:36 101.674 UPDCLIENT.EXE-215FC96B.pf
14.09.2006 13:27 984.226 NTOSBOOT-B00DFAAD.pf
130 Datei(en) 5.579.234 Bytes
0 Verzeichnis(se), 13.373.296.640 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-F284

Verzeichnis von C:\WINDOWS

22.05.2007 21:06 0 0.log
22.05.2007 21:06 1.410.292 WindowsUpdate.log
22.05.2007 21:06 50 wiaservc.log
22.05.2007 21:06 159 wiadebug.log
22.05.2007 21:04 2.048 bootstat.dat
22.05.2007 20:58 3.648 pfirewall.log
21.05.2007 21:17 32.348 SchedLgU.Txt
17.05.2007 13:32 4.494 KB930916.log
13.05.2007 12:45 376.617 setupact.log
13.05.2007 12:45 969.893 setupapi.log
21.04.2007 03:52 86.528 catchme.exe
12.04.2007 12:43 129.998 MedCtrOC.log
12.04.2007 12:43 52.643 ehOCGen.log
12.04.2007 12:43 312.241 comsetup.log
12.04.2007 12:43 189.580 ntdtcsetup.log
12.04.2007 12:43 1.026.519 iis6.log
12.04.2007 12:43 438.375 tsoc.log
12.04.2007 12:43 50.680 ocmsn.log
12.04.2007 12:43 1.374 imsins.log
12.04.2007 12:43 46.700 tabletoc.log
12.04.2007 12:43 32.514 KB931784.log
12.04.2007 12:43 177.513 netfxocm.log
12.04.2007 12:43 459.960 ocgen.log
12.04.2007 12:43 110.950 plusoc.log
12.04.2007 12:43 47.175 msgsocm.log
12.04.2007 12:43 918.498 FaxSetup.log
12.04.2007 12:43 287.442 msmqinst.log
12.04.2007 12:43 1.374 imsins.BAK
12.04.2007 12:43 18.093 KB931261.log
12.04.2007 12:43 18.403 KB930178.log
12.04.2007 12:43 44.792 updspapi.log
12.04.2007 12:43 26.447 KB932168.log
10.04.2007 19:00 7.875 KB935448.log
08.04.2007 13:11 28.016 KB925902.log
06.04.2007 18:37 15.273 WgaNotify.log
27.03.2007 10:48 19.478 KB929338.log
10.03.2007 18:54 40.809 wmsetup.log
10.03.2007 18:53 667 KB829558.log
09.03.2007 00:02 42.648 zllsputility_loc0407.dll
09.03.2007 00:02 75.512 zllsputility.exe
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-F284

Verzeichnis von C:\WINDOWS\tasks

22.05.2007 21:05 6 SA.DAT
22.05.2007 20:50 358 Check Updates for MSN Search Toolbar.job
23.03.2007 20:11 396 1-Klick-Wartung.job
----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-F284

Verzeichnis von C:\WINDOWS\temp

22.05.2007 21:06 409 WGANotify.settings
22.05.2007 21:06 255 WGAErrLog.txt
22.05.2007 21:05 256 ZLT00680.TMP
22.05.2007 21:05 256 ZLT0067d.TMP
22.05.2007 18:33 256 ZLT01251.TMP
22.05.2007 18:33 256 ZLT0124e.TMP
6 Datei(en) 1.688 Bytes
0 Verzeichnis(se), 13.373.284.352 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-F284

Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp

22.05.2007 21:09 133.264 filelist.txt
22.05.2007 21:07 6.687 IpAdrSet.log
22.05.2007 21:06 20.859 Turkish.bin
22.05.2007 21:06 20.608 Norwegian.bin
22.05.2007 21:06 24.446 Hungarian.bin
22.05.2007 21:06 18.436 Hebrew.bin
22.05.2007 21:06 21.562 Finnish.bin
22.05.2007 21:06 22.862 Czech.bin
22.05.2007 21:06 23.522 Portuguese(Brazil).bin
22.05.2007 21:06 22.606 Polish.bin
22.05.2007 21:06 23.467 Greek.bin
22.05.2007 21:06 20.733 Thai.bin
22.05.2007 21:06 19.506 Arabic.bin
22.05.2007 21:06 15.534 SimChin.bin
22.05.2007 21:06 21.857 English.bin
22.05.2007 21:06 24.654 Portuguese.bin
22.05.2007 21:06 22.684 SWEDISH.bin
22.05.2007 21:06 26.062 Spanish.bin
22.05.2007 21:06 24.638 Russian.bin
22.05.2007 21:06 25.824 Italian.bin
22.05.2007 21:06 24.274 German.bin
22.05.2007 21:06 25.665 French.bin
22.05.2007 21:06 16.913 TradChin.bin
22.05.2007 21:06 24.173 Dutch.bin
22.05.2007 21:06 21.343 Danish.bin
22.05.2007 21:06 19.048 Korean.bin
22.05.2007 21:06 22.809 Japanese.bin
27 Datei(en) 694.036 Bytes
0 Verzeichnis(se), 13.373.284.352 Bytes frei

hahnhuhn · 22.05.2007, 20:23

hier gehts weiter:

Logfile of HijackThis v1.99.1
Scan saved at 21:13:30, on 22.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Programme\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\msntb.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\msntb.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Norton Internet Security\cfgwiz.exe /GUID {F073BDC9-0D67-4ff0-879E-27241C843828} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\de-de\msntabres.dll.mui/229?179e8bc44eb34a0686cdf87aca9c5169
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\de-de\msntabres.dll.mui/230?179e8bc44eb34a0686cdf87aca9c5169
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168022202111
O17 - HKLM\System\CCS\Services\Tcpip\..\{891A1D38-33D5-4249-A566-8E452BDA6C87}: NameServer = 62.220.18.8 62.72.64.241
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
-------------------------------------------------------------------------
puh, ich hoffe ich habe alles richtig gemacht und ihr könnt mir helfen

**Sunny** · 22.05.2007, 20:39

Ich konnte nichts auffälluges entdecken, leere mal den Qurantäne-Ordner deines Anti-Viren-Scanners, deaktiviere die Systemwiederherstellung und starte das System neu.

Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles überprüfen ob noch etwas gefunden wird.
(Systemwiederherstellung kann dann wieder aktiviert werden.)

Gruß
Sunny

hahnhuhn · 23.05.2007, 20:23

Hallo Sunny,

vielen Dank für deine bisherige Hilfe. Kann mich jetzt erst wieder melden.
Habe gestern Abend noch zuerst nur die cfdemo.scr auf der Quarantäne gelöscht. Das hat allerdings nix gebracht. Habe dann aus c:\windows die Datei gelöscht. Die Systemwiederherstellung deaktiviert, den PC im abgesicherten Modus hochgefahren, Antivir drüber laufen lassen. Antivir hat keinen Fund mehr gemeldet.
Bin jetzt aber etwas skeptisch, da ich im c:\windows auch eine Datei cfdemo.exe gefunden habe. Mit dieser Datei habe ich noch nix gemacht.
Ich habe noch mal HijackThis laufen lassen und stelle das Ergebnis hier noch mal rein. Wäre prima wenn da noch mal ein wachsames Auge drauf geworfen werden kann.
Kann ich sonst noch - oder muß ich ggf. sonst noch etwas tun? (Registry-Einträge durchforsten?)

Logfile of HijackThis v1.99.1
Scan saved at 19:31:10, on 23.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Dokumente und Einstellungen\Admin\Desktop\This.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Programme\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\msntb.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\msntb.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Norton Internet Security\cfgwiz.exe /GUID {F073BDC9-0D67-4ff0-879E-27241C843828} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\de-de\msntabres.dll.mui/229?179e8bc44eb34a0686cdf87aca9c5169
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\de-de\msntabres.dll.mui/230?179e8bc44eb34a0686cdf87aca9c5169
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168022202111
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Was ich gerne noch mal gewußt hätte, was macht der Trojaner eigentlich?

Gruß hahnhuhn

**Sunny** · 23.05.2007, 20:28

Das einzige was ich über die besagte Datei herausbekommen habe, ist das sie zu irgendeinem (Programm?) Screensaver gehört! Dieser Screensaver übertarnt aber nur einen Trojaner.

Lass die Datei einfach mal Online checken:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

c:\windows\cfdemo.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Sollte es sich bewahrheiten, dann werden wir sie entfernen bzw. löschen!

Dein Hijacklog ist im übrigen aber sauber.

Gruß
Sunny

hahnhuhn · 23.05.2007, 20:44

bin etwas verwirrt.
Habe den Scan durchgeführt.

Meldung bzw. Anzeige am Bildschirm:
es mayor

kann das sein?

**Sunny** · 23.05.2007, 20:46

Du musst etwas warten, ich denke du bist in der Warteschleife!
Ansonsten einfach den gesamten Bildschirm abkopieren und hier einfügen, dann sehe ich auch was du siehst.

hahnhuhn · 23.05.2007, 21:07

Die Datei cfdemo.exe ist fast 21 MB groß.
Wie bekomme ich den Screenshot hier herein?
Über die "PrtSc"-Taste wird zwar in die Zwischenablage kopiert, aber ich kann das in dies Thema nicht kopieren.

**Sunny** · 23.05.2007, 21:10

Nicht per Screenshot, sondern geh auf die Auswertungsseite von Virustotal, dürcke die Tasten Strg+A , dann Strg+C , gehe nun hier in deinen Beitrag im Board, und drücke Strg+V... Oder halt mit der Maus kopieren!!!

Aber 21MB, das ist keine Größe für einen Trojaner oder einen anderen Schädling, die sind viel viel kleiner!

Sunny

hahnhuhn · 23.05.2007, 21:24

sorry, es tut mir sehr leid, aber ich fürchte wir reden an einander vorbei.
Ich finde keine Auswertungsseite.
Ich bekomme auch nach dem 2. Scan der Datei so zu sagen einen leeren Bildschirm mit der einzigen Anzeige:
"es mayor" !
Im Adressfeld steht: http://www.virustotal.com/vt/en/recepcionf
und danach tut sich nichts mehr.

Die Eigenschaften der Datei sagen, daß es sich um den Macromedia Flash Player 6.0 r21 handeln soll.

23.05.2007, 20:46	#9
Sunny Administrator > Competence Manager	HILFE ein Trojaner TR/Spy.Delf.JQ.110 Du musst etwas warten, ich denke du bist in der Warteschleife! Ansonsten einfach den gesamten Bildschirm abkopieren und hier einfügen, dann sehe ich auch was du siehst. __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

HILFE ein Trojaner TR/Spy.Delf.JQ.110

Plagegeister aller Art und deren Bekämpfung: HILFE ein Trojaner TR/Spy.Delf.JQ.110