Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Bitte auf Trojaner überprüfen

Bitte auf Trojaner überprüfen


Log-Analyse und Auswertung: Bitte auf Trojaner überprüfen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 11.12.2007, 13:32   #1
GBD1986
 
Bitte auf Trojaner überprüfen - Beitrag

Bitte auf Trojaner überprüfen


Kann jemand sich bitte diese Logfile mal ansehen

Seit kurzem ist die CPU-Auslastung auch im Ruhebetrieb auf 100%!!

Habe Leider keine ahnung woran das liegen könnte und würde gerne mal eure Meinung dazu hören.

Danke schonmal im Vorraus

Logfile of HijackThis v1.99.1
Scan saved at 13:24:10, on 11.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\G**r\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: (no name) - {90222687-F593-4738-B738-FBEE9C7B26DF} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\Defender.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{9865FCE0-2E00-4906-85BB-57A0540D9730}: NameServer = 192.168.2.1
O20 - AppInit_DLLs: confssdp.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: T-Online Dialerschutz Dienst (DFSVC) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Alt 11.12.2007, 14:59   #2
Chris4You
 
Bitte auf Trojaner überprüfen - Standard

Bitte auf Trojaner überprüfen


Hi,

bitte online prüfen lassen:

confssdp.dll (Zu finden wahrscheinlich unter c:\windows oder c:\windows\system32).

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
VirusTotal - Free Online Virus and Malware Scan

Zitat:
c:\windows\system32\confssdp.dll
oder
c:\windows\confssdp.dll
Poste das komplette Ergebnis!

Dann bitte noch Combofix und Silentrunner (siehe beides Signatur)
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Silentrunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris

Ps.: Stelle Dein Antivir wie folgt ein, mache einen Fullscan und poste das Ergebnis! (Achtung, bin die nächsten zwei Tage unterwegs, bitte ein anderer ggf. Übernehmen!)
Stelle Avira wie folgt ein: Antivir und die Heuristik, die aggressive Variante - Virus Hilfe
Führe einen Systemscan durch und poste das Ergebnis!
(Achtung, die Heuristik hat ein hohes false/positiv-Potential, daher alles nur in Quarantäne verschieben, nicht LÖSCHEN lassen!)
__________________

__________________
Alt 11.12.2007, 16:28   #3
GBD1986
 
Bitte auf Trojaner überprüfen - Standard

Bitte auf Trojaner überprüfen


Danke erstmal für die Antwort

Hier sind die beiden Logs

"Silent Runners.vbs", revision 54, http://w*w.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"T-Online Dialerschutz-Software" = ""C:\Programme\T-Online\Dialerschutz-Software\Defender.exe"" ["T-Systems Enterprise Services GmbH"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" [file not found]
"MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\OpenOffice.org1.1.3\program\shlxthdl.dll" ["Sun Microsystems, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{6B19FEC2-A45B-11CF-9045-00A0C9039735}" = "Registered ActiveX Controls"
-> {HKLM...CLSID} = "Registered ActiveX Controls"
\InProcServer32\(Default) = "C:\Programme\Microsoft Visual Studio\Common\MSDev98\Bin\IDE\DEVXPGL.DLL" [MS]
"{D545EBD1-BD92-11CF-8772-00A0C9039735}" = "Developer Studio Components"
-> {HKLM...CLSID} = "Developer Studio Components"
\InProcServer32\(Default) = "C:\Programme\Microsoft Visual Studio\Common\MSDev98\Bin\IDE\DEVXPGL.DLL" [MS]
"{03DAACC5-10BA-4E3E-9D54-2A569F6B4B87}" = "Sony Ericsson Datei-Manager"
-> {HKLM...CLSID} = "Sony Ericsson Datei-Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll" ["Popwire AB"]
"{738D66C6-0149-4D40-84E4-A7BB2D0CE949}" = "Sony Ericsson Datei-Manager"
-> {HKLM...CLSID} = "Sony Ericsson Datei-Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll" ["Popwire AB"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Aedebug\
<<!>> "Debugger" = ""C:\Programme\Microsoft Visual Studio\Common\MSDev98\Bin\msdev.exe" -p %ld -e %ld" [MS]
"Auto" = "0"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = " confssdp.dll" [file not found]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\G*r\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Scheduled Tasks:
------------------------

"1-Click Maintenance" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" [file not found]
"Norton Internet Security Online - Systemprüfung ausführen - Granmaster" -> launches: "C:\Programme\Norton Internet Security\Norton AntiVirus\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" [file not found]
"RegClean Scheduled Scan" -> launches: "C:\Programme\RegClean\RegClean.exe scheduled" ["2Squared LLC"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{0E921E80-267A-42AA-AEE4-60B9A1222A44}\
"ButtonText" = "Klicke hier um das Projekt xp-AntiSpy zu unterstützen"
"MenuText" = "Unterstützung für xp-AntiSpy"
"Exec" = "C:\Programme\xp-AntiSpy\sponsoring\sponsor.html" [null data]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]
AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
T-Online Dialerschutz Dienst, DFSVC, "C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe" ["T-Systems Enterprise Services GmbH"]
T-Online WLAN Adapter Steuerungsdienst, MZCCntrl, "C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe" ["Deutsche Telekom AG, Marmiko IT-Solutions GmbH"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


---------- (launch time: 2007-12-11 15:21:44)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 61 seconds, including 8 seconds for message boxes)
__________________
Alt 11.12.2007, 16:29   #4
GBD1986
 
Bitte auf Trojaner überprüfen - Standard

Bitte auf Trojaner überprüfen


ComboFix 07-12-09.1 - G*r 2007-12-11 15:16:08.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.630 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\G*r\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

I:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-11 bis 2007-12-11 ))))))))))))))))))))))))))))))
.

2007-12-31 19:35 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-12-31 15:06 . 1998-11-17 11:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2007-12-31 15:04 . 2004-08-03 23:10 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys
2007-12-31 15:04 . 2004-08-03 23:10 10,880 --a--c--- C:\WINDOWS\system32\dllcache\ndisip.sys
2007-12-30 16:33 . 2007-12-30 16:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\3DO Shared
2007-12-30 16:33 . 2007-07-18 10:07 <DIR> d-------- C:\Programme\3DO
2007-12-30 04:39 . 2007-12-30 04:39 <DIR> d-------- C:\Programme\Google
2007-12-30 04:21 . 2007-12-30 04:21 <DIR> d-------- C:\Dokumente und Einstellungen\G*r\Anwendungsdaten\Talkback
2007-12-30 03:59 . 2007-12-30 03:59 <DIR> d-------- C:\Programme\DT
2007-12-30 03:59 . 2007-12-30 03:59 17,801 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2007-12-30 03:35 . 2007-12-30 03:35 <DIR> d-------- C:\Programme\directx
2007-12-29 15:30 . 2007-12-29 15:30 <DIR> d-------- C:\Dokumente und Einstellungen\G*r\Anwendungsdaten\MSN6
2007-12-29 15:30 . 2007-12-29 15:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2007-12-26 16:21 . 2007-12-26 16:21 <DIR> d-------- C:\Programme\Avanquest update
2007-12-26 16:20 . 2007-12-26 16:20 <DIR> d-------- C:\Programme\Motorola Phone Tools
2007-12-26 16:20 . 2007-12-26 16:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
2007-12-26 16:20 . 2004-08-03 23:08 25,600 --a------ C:\WINDOWS\system32\drivers\usbser.sys
2007-12-26 16:20 . 2004-08-03 23:08 25,600 --a--c--- C:\WINDOWS\system32\dllcache\usbser.sys
2007-12-26 16:20 . 2003-12-26 09:22 24,192 -ra------ C:\WINDOWS\system32\drivers\OLD23.tmp
2007-12-26 16:20 . 2007-12-26 16:20 24,192 --a------ C:\Dokumente und Einstellungen\G*r\usbsermptxp.sys
2007-12-26 16:20 . 2007-12-26 16:20 22,768 --a------ C:\WINDOWS\system32\drivers\usbsermpt.sys
2007-12-26 16:20 . 2007-12-26 16:20 22,768 --a------ C:\Dokumente und Einstellungen\G*r\usbsermpt.sys
2007-12-25 10:44 . 2007-12-04 20:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-25 10:44 . 2007-12-25 10:44 <DIR> d-------- C:\Dokumente und Einstellungen\G*r\Anwendungsdaten\TuneUp Software
2007-12-25 10:44 . 2007-12-25 10:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2007-12-25 10:42 . 2007-12-25 10:42 <DIR> d-------- C:\Programme\AusLogics BoostSpeed
2007-12-25 10:39 . 2007-12-25 10:39 <DIR> d-------- C:\Programme\xp-AntiSpy
2007-12-25 10:38 . 2007-12-04 19:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-11 12:28 . 2007-12-11 12:28 <DIR> d-------- C:\Programme\Avira
2007-12-11 12:28 . 2007-12-11 12:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-11 04:53 . 2007-12-11 12:28 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-11 04:53 . 2007-12-11 12:28 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-07 06:23 . 2007-12-07 06:23 <DIR> d-------- C:\Programme\AB-Tools.com
2007-12-06 18:24 . 2007-12-06 18:24 92,477 --a------ C:\WINDOWS\system32\fpwprich.exe
2007-12-06 18:24 . 2007-12-06 22:26 4 --a------ C:\WINDOWS\system32\fpwprich.dat
2007-12-05 18:12 . 2003-02-28 18:26 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2007-12-05 18:11 . 2003-02-28 18:26 172,304 --a------ C:\WINDOWS\system32\jview.exe
2007-12-05 18:11 . 2003-02-28 18:26 171,792 --a------ C:\WINDOWS\system32\wjview.exe
2007-12-05 18:10 . 2003-02-28 18:26 49,424 --a------ C:\WINDOWS\system32\clspack.exe
2007-12-04 22:15 . 2007-12-04 22:15 <DIR> d-------- C:\Programme\MSXML 4.0
2007-12-04 20:29 . 1995-12-14 10:57 283,648 --a------ C:\WINDOWS\unin0407.exe
2007-12-04 20:29 . 1996-12-10 16:34 132,429 --a------ C:\WINDOWS\unstall.exe
2007-12-04 20:29 . 2007-12-04 20:29 100,475 --a------ C:\WINDOWS\UninstallFirefox.exe
2007-12-04 20:29 . 2003-02-28 18:26 46,352 --a------ C:\WINDOWS\setdebug.exe
2007-12-04 20:29 . 2003-02-28 16:35 6,550 --a------ C:\WINDOWS\jautoexp.dat
2007-12-04 20:29 . 2007-11-01 22:16 3,217 --a------ C:\WINDOWS\mozver.dat
2007-12-04 20:29 . 2007-12-04 20:29 288 --a------ C:\WINDOWS\ODBC.INI
2007-12-04 20:29 . 2007-12-04 20:29 268 --a------ C:\WINDOWS\SALORWAR.INI
2007-12-04 20:29 . 2007-12-04 20:29 126 --a------ C:\WINDOWS\mdm.ini
2007-12-04 20:29 . 2007-12-04 20:29 0 --a------ C:\WINDOWS\nsreg.dat
2007-12-04 20:28 . 2007-12-04 20:28 <DIR> d-------- C:\Programme\Lavasoft
2007-12-04 20:28 . 1998-06-02 12:05 103,424 --a------ C:\WINDOWS\extrac32.exe
2007-12-04 20:28 . 1998-06-02 12:44 44,544 --a------ C:\WINDOWS\clspack.exe
2007-12-04 20:28 . 2007-12-04 20:28 1,592 --a------ C:\WINDOWS\CDCOPY.INI
2007-12-04 20:28 . 2007-12-04 20:28 25 --a------ C:\WINDOWS\cdplayer.ini
2007-12-04 20:27 . 2007-12-04 20:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-12-04 20:26 . 2007-12-04 20:30 <DIR> d-------- C:\Dokumente und Einstellungen\G*r\Anwendungsdaten\RegClean
2007-12-04 18:57 . 2007-12-04 20:26 <DIR> d-------- C:\Programme\RegClean
2007-12-03 18:42 . 2006-08-21 10:14 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys
2007-12-03 18:42 . 2006-08-21 10:14 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2007-12-03 18:42 . 2006-08-21 13:26 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2007-12-03 18:33 . 2004-08-03 23:57 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-12-03 06:18 . 2007-07-09 14:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-12-03 06:07 . 2006-08-16 10:37 225,664 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys
2007-12-03 06:07 . 2006-08-16 12:58 100,352 -----c--- C:\WINDOWS\system32\dllcache\6to4svc.dll
2007-12-03 06:04 . 2006-05-19 14:09 112,128 -----c--- C:\WINDOWS\system32\dllcache\dhcpcsvc.dll
2007-12-03 06:04 . 2006-05-19 14:09 95,744 -----c--- C:\WINDOWS\system32\dllcache\iphlpapi.dll
2007-12-03 05:54 . 2007-12-03 19:02 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-11-22 19:11 . 2007-12-06 18:17 <DIR> d-------- C:\Programme\MobMapUpdater
2007-11-18 16:12 . 2007-11-18 16:12 1 --a------ C:\WINDOWS\system32\SI.bin
2007-11-12 20:15 . 2007-11-12 20:15 <DIR> d-------- C:\Dokumente und Einstellungen\G*r\Anwendungsdaten\teamspeak2
2007-11-12 20:12 . 2007-11-12 20:15 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2007-11-12 20:12 . 2007-11-12 20:12 34,064 --a------ C:\WINDOWS\system32\lhacm.acm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-06 15:58 --------- d-----w C:\Programme\Windows Media 8 Encoder Utility Dialog
2008-01-06 14:45 --------- d-----w C:\Programme\Crimsonland
2008-01-06 14:42 --------- d-----w C:\Programme\ReflexiveArcade
2008-01-06 13:30 --------- d-----w C:\Programme\3ivx
2008-01-05 16:55 --------- d-----w C:\Programme\Web Publish
2008-01-05 14:05 --------- d-----w C:\Programme\Real
2008-01-05 14:05 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2008-01-05 14:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-01-04 16:35 --------- d-----w C:\Programme\CRS-MegaDev
2007-12-30 02:59 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-11 12:33 --------- d-----w C:\Programme\ICQToolbar
2007-12-11 11:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-12-11 11:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2007-12-11 07:47 --------- d-----w C:\Programme\DAEMON Tools
2007-12-05 17:14 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2007-12-05 17:14 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2007-12-05 17:12 155,995 ----a-w C:\WINDOWS\java\Packages\A13JHZ57.ZIP
2007-12-03 05:14 --------- d-----w C:\Programme\OpenOffice.org1.1.3
2007-11-19 04:47 --------- d-----w C:\Programme\Winamp
2007-11-17 16:03 --------- d-----w C:\Programme\PokerStars.NET
2007-11-17 15:44 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-11-10 08:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-11-09 15:00 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-01 21:16 --------- d-----w C:\Programme\DivX
2007-10-31 05:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SiComponents
2007-10-29 17:57 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2007-10-29 17:57 --------- d-----w C:\Programme\DVDVideoSoft
2007-10-28 21:26 --------- d-----w C:\Programme\Java
2007-10-28 21:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-10-25 16:39 --------- d-----w C:\Dokumente und Einstellungen\G*r\Anwendungsdaten\ICQ Toolbar
2007-10-25 16:07 --------- d-----w C:\Programme\T-Online
2007-10-25 16:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Marmiko Shared
2007-10-24 16:38 --------- d-----w C:\Programme\ICQ6
2007-10-24 16:38 --------- d-----w C:\Dokumente und Einstellungen\G*r\Anwendungsdaten\ICQ
2007-10-24 16:31 --------- d-----w C:\Dokumente und Einstellungen\G*r\Anwendungsdaten\InstallShield
2007-10-24 16:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
2007-10-23 16:09 --------- d-----w C:\Dokumente und Einstellungen\G*r\Anwendungsdaten\T-Online
2007-10-23 16:00 --------- d-----w C:\Programme\Gemeinsame Dateien\SWF Studio
2007-10-15 17:19 --------- d-----w C:\Programme\LULA
2007-10-15 17:18 --------- d-----w C:\Programme\CDV
2007-10-14 10:59 --------- d-----w C:\Programme\PATRIZIER II Gold
2007-09-17 00:10 356,352 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2007-09-17 00:10 356,352 ----a-w C:\WINDOWS\system32\nvudisp.exe
2007-09-16 23:07 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-09-16 23:07 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-09-16 23:07 8,491,008 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-09-16 23:07 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-09-16 23:07 6,746,112 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-09-16 23:07 6,344,704 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-09-16 23:07 5,783,040 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-09-16 23:07 5,509,120 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-09-16 23:07 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-09-16 23:07 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-09-16 23:07 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-09-16 23:07 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-09-16 23:07 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-09-16 23:07 364,544 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-09-16 23:07 36,864 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-09-16 23:07 36,864 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-09-16 23:07 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-09-16 23:07 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-09-16 23:07 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-09-16 23:07 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-09-16 23:07 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-09-16 23:07 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-09-16 23:07 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-09-16 23:07 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-09-16 23:07 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-09-16 23:07 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-09-16 23:07 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-09-16 23:07 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-09-16 23:07 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-09-16 23:07 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-09-16 23:07 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-09-16 23:07 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-09-16 23:07 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-09-16 23:07 3,629,056 ----a-w C:\WINDOWS\system32\nvvitvsr.dll
2007-09-16 23:07 3,551,232 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-09-16 23:07 3,334,144 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-09-16 23:07 3,166,208 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-09-16 23:07 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll
2007-09-16 23:07 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll
2007-09-16 23:07 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll
2007-09-16 23:07 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll
2007-09-16 23:07 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll
2007-09-16 23:07 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll
2007-09-16 23:07 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll
2007-09-16 23:07 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll
2007-09-16 23:07 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-09-16 23:07 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll
2007-09-16 23:07 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll
2007-09-16 23:07 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll
2007-09-16 23:07 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll
2007-09-16 23:07 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll
2007-09-16 23:07 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll
2007-09-16 23:07 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll
2007-09-16 23:07 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll
2007-09-16 23:07 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll
2007-09-16 23:07 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll
2007-09-16 23:07 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-09-24 14:00]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="RunDll32 cmicnfg.cpl" []
"NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-11 08:51]
"T-Online Dialerschutz-Software"="C:\Programme\T-Online\Dialerschutz-Software\Defender.exe" [2007-08-31 10:48]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-01-05 15:05]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" []
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-03 23:58]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-11 12:33]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2005-04-25 12:45]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= confssdp.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^G*r^Startmenü^Programme^Autostart^Teamspeak 2 RC2.lnk]
path=C:\Dokumente und Einstellungen\G*r\Startmenü\Programme\Autostart\Teamspeak 2 RC2.lnk
backup=C:\WINDOWS\pss\Teamspeak 2 RC2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BoostSpeed]
C:\Programme\AusLogics BoostSpeed\boostspeed.exe /Q

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
C:\Programme\DAEMON Tools\daemon.exe -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegClean]
2007-10-18 17:03 8770792 --a------ C:\Programme\RegClean\RegClean.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe /startoptions

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2007-08-31 16:46 1460560 --a------ C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TuneUp MemOptimizer]
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe autostart

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2003-12-13 01:50 33792 --a------ C:\Programme\Winamp\winampa.exe

R0 xmasbus;xmasbus;C:\WINDOWS\system32\DRIVERS\xmasbus.sys
R0 xmasscsi;xmasscsi;C:\WINDOWS\system32\Drivers\xmasscsi.sys
R2 DFSVC;T-Online Dialerschutz Dienst;C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
R3 DFSYS;T-Online Dialerschutz Hooking Treiber;\??\C:\Programme\T-Online\Dialerschutz-Software\DFSYS.SYS
R3 SipIMNDI;T-Online Dialerschutz VoIP Service;C:\WINDOWS\system32\DRIVERS\SipIMNDI.sys
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS
S3 s116bus;Sony Ericsson Device 116 driver (WDM);C:\WINDOWS\system32\DRIVERS\s116bus.sys
S3 s116mdfl;Sony Ericsson Device 116 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s116mdfl.sys
S3 s116mdm;Sony Ericsson Device 116 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s116mdm.sys
S3 s116mgmt;Sony Ericsson Device 116 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s116mgmt.sys
S3 s116nd5;Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (NDIS);C:\WINDOWS\system32\DRIVERS\s116nd5.sys
S3 s116obex;Sony Ericsson Device 116 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s116obex.sys
S3 s116unic;Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (WDM);C:\WINDOWS\system32\DRIVERS\s116unic.sys

*Newly Created Service* - ANTIVIRSCHEDULER
*Newly Created Service* - ANTIVIRSERVICE
*Newly Created Service* - AVGIO
*Newly Created Service* - AVGNTFLT
*Newly Created Service* - AVIPBB
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
"2007-12-07 16:15:03 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2007-12-10 19:04:46 C:\WINDOWS\Tasks\Norton Internet Security Online - Systemprüfung ausführen - G*r.job"
- C:\Programme\Norton Internet Security\Norton AntiVirus\Navw32.exe
"2007-12-06 17:12:57 C:\WINDOWS\Tasks\RegClean Scheduled Scan.job"
- C:\Programme\RegClean\RegClean.exe
- C:\Programme\RegClean
.
**************************************************************************

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-11 15:18:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

C:\Programme\T-Online\Dialerschutz-Software\defender.exe [568] 0x8615CDA0

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-11 15:19:46
.
--- E O F ---





Die .dll konnte ich leider nicht finden weder nach manueller oder automatischer Suche; woran kann das liegen????

Alt 14.12.2007, 14:39   #5
Chris4You
 
Bitte auf Trojaner überprüfen - Standard

Bitte auf Trojaner überprüfen


Hi,

bitte prüfen Online folgende Dateien, poste das Ergebnis mit Filename:

C:\WINDOWS\system32\drivers\usbsermpt.sys
C:\WINDOWS\IsUn0407.exe

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Eventuell ist die Datei "confssdp.dll" schon gelöscht worden, stimmen die Einstellungen zu Anzeige aller Dateiein?
Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.
oder
http://www.trojaner-board.de/59624-alle-windows-dateien-sichtbar.html

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Bitte auf Trojaner überprüfen
100%, ad-aware, adobe, antivir, appinit_dlls, avira, bho, defender.exe, desktop, einstellungen, explorer, firefox, hijack, hijackthis, internet, internet explorer, keine ahnung, logfile, mozilla, mozilla firefox, nvidia, programme, rundll, symantec, system, t-online, trojaner, urlsearchhook, windows, windows xp, wlan


« Symantec AntiVirus meldet: Adware.VirtuMonde | LogFile auswerten - Trojaner Meldung »


Ähnliche Themen: Bitte auf Trojaner überprüfen


  1. Verschlüsselungs Trojaner bitte OTL-log überprüfen
    Log-Analyse und Auswertung - 14.05.2012 (15)
  2. Log Überprüfen bitte ! Ich mein ich hab Viren auf meinem Rechner ! Bitte
    Log-Analyse und Auswertung - 13.10.2009 (6)
  3. Bitte Log überprüfen auf Viren/Trojaner
    Log-Analyse und Auswertung - 22.08.2009 (4)
  4. Bitte Log-File überprüfen / Trojaner verdacht
    Log-Analyse und Auswertung - 21.04.2009 (15)
  5. Trojaner, bitte HJT überprüfen
    Mülltonne - 12.11.2008 (0)
  6. Bitte Log-file überprüfen / Trojaner-Befall
    Log-Analyse und Auswertung - 01.09.2008 (8)
  7. Logfile bitte überprüfen/Trojaner-Problem
    Log-Analyse und Auswertung - 09.02.2008 (4)
  8. Bitte überprüfen nach Trojaner
    Log-Analyse und Auswertung - 11.12.2007 (1)
  9. Trojaner - Bitte Logfile überprüfen
    Mülltonne - 09.07.2007 (2)
  10. Kann bitte jemand meine Log File überprüfen! BITTE
    Log-Analyse und Auswertung - 04.07.2007 (1)
  11. Bitte überprüfen - SEHR WICHTIG! (Trojaner?)
    Log-Analyse und Auswertung - 11.05.2007 (10)
  12. Trojaner laut AntiVir/Bitte Hijacker Logs überprüfen, danke!!!
    Log-Analyse und Auswertung - 29.04.2007 (8)
  13. Trojaner Swizzor - Bitte hijackthis log überprüfen
    Log-Analyse und Auswertung - 01.03.2007 (4)
  14. Hilfe, 100 Trojaner, bitte Logfile überprüfen
    Log-Analyse und Auswertung - 24.02.2007 (4)
  15. Bitte Bitte Bitte Bitte HiJackThis Log File überprüfen!!!
    Mülltonne - 13.01.2007 (0)
  16. Logfile überprüfen bitte!!Weiß nicht weiter!!BITTE BITTE
    Log-Analyse und Auswertung - 18.03.2006 (10)
  17. HiJackThis-Log bitte überprüfen.... Trojaner etc.
    Log-Analyse und Auswertung - 14.10.2004 (9)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Bitte auf Trojaner überprüfen - Kann jemand sich bitte diese Logfile mal ansehen Seit kurzem ist die CPU-Auslastung auch im Ruhebetrieb auf 100%!! Habe Leider keine ahnung woran das liegen könnte und würde gerne mal - Bitte auf Trojaner überprüfen...
Archiv
Du betrachtest: Bitte auf Trojaner überprüfen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55