Hallo, ich habe mir den Trojaner TR/Inject.ZS eingefangen.

Er wird beim Herauffahren des Systems von Antivir erkannt und dann von mir gelöscht.
Nachdem der Rechner herunter gefahren und später erneut gestartet wird, ist der Trojana wieder da.

Wer kann mir so helfen, dass auch ein nicht so ganz mit dem PC-Inhalt Vertrauter damit klar kommt?

Logfile ist beigefügt

Mein System:
Win XP SP2
Antivir
Zonealarm
Ad-Adware

msm

Hallo und Herzlich Willkommen im Board,
in welchen Pfad wurde der Trojaner gefunden ?

1. In deinen HiJackThis-Log sehe ich nur gute Einträge. Bitte mach zur Sicherheit noch mal ein neues HiJackThis-Log und achte dabei auf folgendes:
-HiJackThis sollte in einen eigenen Ordner liegen [c:/->Mit Rechtsklick einen neuen Ordner erstellen->Ordner HijackThis nennen]
-Die Anwendung HijackThis in diesen Ordner verlegen.
-Die Anwendung HijackThis in ABC.com umbennen und starten.
-Frisches HiJackThis-Log posten.

Hallo --

der Pfad lautet
C:\Dokumente und Einstellungen\All Users\Startmenue\Programme\Autostart\svchost.exe

neuer Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:41:37, on 24.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE401.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\j2re1.4.2_15\bin\jusched.exe
C:\Programme\Steganos Security Suite 5\spm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Eigene Dateien\PC-Anweisungen\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = freenet.de - DSL Internet E-Mail Nachrichten Chat Shopping und alle aktuellen Themen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\j2re1.4.2_15\bin\jusched.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [SSS5SPM] "C:\Programme\Steganos Security Suite 5\spm.exe" /booting
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [SSS5SPM] "C:\Programme\Steganos Security Suite 5\spm.exe" /booting (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_15\bin\npjpi142_15.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_15\bin\npjpi142_15.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE401.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5539 bytes

Hmm ok also eine System Datei ist infiziert.


Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung



Anleitung SmitfraudFix:

Lade dir dieses Tool
-Starte es dann und lass das System durchsuchen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

ComboFix

-Lade dir das Tool hier herunter
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

(Systemwiederherstellung kann nun wieder aktiviert werden.)

Wo kann ich das Tool herunterladen? Link?

M.

So, hier ist nun der Logfile von Smitfraudfix:

SmitFraudFix v2.308

Scan done at 16:29:37,63, 24.03.2008
Run from C:\Eigene Dateien\PC-Anweisungen\Smitfraudfix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: AVM FRITZ!Box SL #2 - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{67BAEE8E-3DE6-487C-8FD6-30FE4156C0E8}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{67BAEE8E-3DE6-487C-8FD6-30FE4156C0E8}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{67BAEE8E-3DE6-487C-8FD6-30FE4156C0E8}: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Hallo, es geht immer noch um " meinen " Trojaner TR/Inject.zs
Hat niemand eine Lösung ?

M.

Zitat:

Zitat von msm.2000

Hallo, es geht immer noch um " meinen " Trojaner TR/Inject.zs
Hat niemand eine Lösung ?

Zu einer besseren Lösung deines Problems solltest du auch mal die Anagbe machen wo der von dir genannte Trojaner gefunden wird.

CCleaner

Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.

Gehe auf den Button links oben "Cleaner", setze Häkchen unter Reiter "Windows"
(alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").

Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".



ComboFix

-Lade dir das Tool hier herunter -> KLICK

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Anleitung Combofix

Hallo - hier zunächst der Pfad, wo der Trojaner lt. Antivir auftaucht:

C:\Dokumente Einstellungen\AllUsers\Startmenue\Programme\AutoStart\svchost.exe


und hier der Lpofile von combofix:

ComboFix 08-03-26.1 - Manfred 2008-03-27 19:15:59.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.95 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Manfred\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-27 bis 2008-03-27 ))))))))))))))))))))))))))))))
.

2008-03-27 18:50 . 2008-03-27 18:50 <DIR> d-------- C:\Programme\CCleaner
2008-03-26 17:23 . 2008-03-26 17:23 <DIR> d-------- C:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\EPSON
2008-03-24 15:57 . 2008-03-24 15:57 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-03-24 15:56 . 2007-03-04 18:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-24 15:56 . 2007-03-04 18:41 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-03-24 15:56 . 2007-03-04 18:41 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-24 15:56 . 2007-03-04 18:41 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-24 15:56 . 2007-03-04 18:41 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-24 15:56 . 2007-03-04 18:41 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-24 15:56 . 2007-03-04 18:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-24 14:29 . 2008-03-24 14:06 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-03-24 14:05 . 2008-03-24 14:32 <DIR> d-------- C:\Dokumente und Einstellungen\Manfred\.housecall6.6
2008-03-24 10:12 . 2008-03-24 10:12 <DIR> d-------- C:\Programme\Trend Micro
2008-03-24 08:05 . 2008-03-24 08:30 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-03-23 17:51 . 2008-03-23 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen�
2008-03-23 17:42 . 2004-08-04 00:57 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-03-23 17:40 . 2008-03-23 17:40 <DIR> d-------- C:\WINDOWS\provisioning
2008-03-23 17:33 . 2008-03-23 17:33 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-03-23 17:26 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002392_.tmp
2008-03-23 17:25 . 2005-02-25 04:34 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-03-23 17:22 . 2008-03-23 17:41 <DIR> d-------- C:\WINDOWS\EHome
2008-03-23 17:18 . 2008-03-23 17:18 0 --a------ C:\WINDOWS\WATCH.INI
2008-03-23 15:56 . 2004-08-03 23:15 145,792 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2008-03-23 15:56 . 2004-08-03 23:08 60,288 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-03-22 10:05 . 2008-03-22 10:05 <DIR> d-------- C:\WUTemp
2008-03-22 10:05 . 2004-08-04 00:57 192,000 --a------ C:\WINDOWS\system32\iuengine.dll
2008-03-16 18:19 . 2008-03-16 18:19 <DIR> d-------- C:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\IEPro
2008-03-16 18:18 . 2008-03-16 18:19 <DIR> d-------- C:\Programme\IEPro
2008-03-08 13:02 . 2008-03-08 13:02 47,872 --a------ C:\WINDOWS\system32\drivers\kbd.sys
2008-02-28 17:26 . 2008-02-28 17:26 <DIR> d-------- C:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\T-Online
2008-02-28 17:26 . 2008-02-28 17:26 12,204 --a------ C:\WINDOWS\system32\NULL
2008-02-28 17:16 . 2008-02-28 17:20 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2008-02-28 17:11 . 2008-02-28 23:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Marmiko Shared
2008-02-28 17:11 . 2008-02-28 17:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
2008-02-28 17:10 . 2008-02-28 17:10 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-02-28 17:10 . 2008-02-29 00:22 <DIR> d-------- C:\Programme\T-Online
2008-02-28 17:09 . 2008-02-28 17:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2008-02-27 17:16 . 2008-02-27 17:18 <DIR> d-------- C:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\FRITZ!
2008-02-27 17:06 . 2008-02-27 17:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVM
2008-02-27 17:06 . 2008-02-27 17:24 <DIR> d-------- C:\Programme\FRITZ!DSL
2008-02-27 17:06 . 2003-03-19 08:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-02-27 17:06 . 2002-01-05 05:48 974,848 --a------ C:\WINDOWS\system32\mfc70.dll
2008-02-27 17:06 . 2004-04-28 09:03 374,272 --a------ C:\WINDOWS\system32\drivers\NETFWDSL.SYS
2008-02-27 17:06 . 2002-01-05 04:37 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2008-02-27 17:06 . 2003-04-15 17:54 31,232 --a------ C:\WINDOWS\system32\i2errDeu.dll
2008-02-27 17:06 . 2004-04-28 08:58 27,648 --a------ C:\WINDOWS\system32\drivers\Aadev.sys
2008-02-27 17:06 . 2004-04-28 09:03 11,264 --a------ C:\WINDOWS\system32\drivers\netdsl.sys
2008-02-27 17:06 . 2004-04-30 13:03 3,069 --a------ C:\WINDOWS\system32\NETDSL.INF
2008-02-27 17:06 . 2004-04-30 13:03 1,778 --a------ C:\WINDOWS\system32\Netfwdsl.inf

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-25 18:18 50,848 ----a-w C:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-23 18:13 --------- d-----w C:\Programme\OfficeManager
2008-03-22 14:49 86,528 ----a-w C:\WINDOWS\system32\VACFix.exe
2008-03-17 19:05 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-16 07:30 2,056,192 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-03-15 16:16 82,432 ----a-w C:\WINDOWS\system32\IEDFix.exe
2008-02-29 07:56 --------- d-----w C:\Programme\iPhoto Plus 4
2008-02-28 22:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-02-27 18:46 17,291,958 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2008_02_27_17_10_45_full.dmp.zip
2007-11-20 17:15 2,641,046 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2007-03-17 10:55 89,521 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_03_17_11_54_09_small.dmp.zip
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SSS5SPM"="C:\Programme\Steganos Security Suite 5\spm.exe" [2003-03-18 16:34 147456]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:58 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-04-07 18:29 1106297]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-04-07 18:37 1827640]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-04-07 18:30 126976]
"Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 22:38 968696]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 14:38 249896]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_15\bin\jusched.exe" [2007-05-22 17:39 32881]
"Cmaudio"="cmicnfg.cpl" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"SSS5"="C:\Programme\Steganos Security Suite 5\steganos5.exe" [2003-03-18 16:34 913408]
"SSS5SAFE"="C:\Programme\Steganos Security Suite 5\safe.exe" [2003-03-18 16:34 180224]
"SSS5SPM"="C:\Programme\Steganos Security Suite 5\spm.exe" [2003-03-18 16:34 147456]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"updateMgr"=C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TimeSync"=C:\Eigene Dateien\Programme zum Installieren\TimeSync\TimeSync.exe /t
"NvCplDaemon"=RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
"nwiz"=nwiz.exe /install
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\IEPro\\MiniDM.exe"=
"%windir%\\system32\\sessmgr.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2007-09-25 20:40]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-25 20:40]
R1 kbd;kbd;C:\WINDOWS\system32\drivers\kbd.sys [2008-03-08 13:02]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2004-04-28 09:03]
R2 aadev;AVM ADSL Adapter Device;C:\WINDOWS\system32\DRIVERS\aadev.sys [2004-04-28 08:58]
R2 SLEE_401_DRIVER;Steganos Live Encryption Engine (Version 401) [Driver];C:\WINDOWS\System32\drivers\SLEE401.sys [2002-02-22 18:22]
R2 SLEE_401_SERVICE;Steganos Live Encryption Engine (Version 401) [Service];C:\WINDOWS\System32\SLEE401.exe [2002-02-22 18:24]
R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2004-11-24 02:00]
R3 Maestro;ESS Maestro2E-Audiotreiber (WDM);C:\WINDOWS\system32\drivers\essm2e.sys [2004-08-03 22:32]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2004-04-28 09:03]
S2 KBPLMJMO;KBPLMJMO;C:\WINDOWS\System32\kbplmjmo.kfo []
S3 SFC4;SFC4;C:\WINDOWS\system32\drivers\SFC4.sys [1998-09-16 09:07]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv

.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 16:57:08 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-27 19:19:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\KBPLMJMO]
"ImagePath"="\??\C:\WINDOWS\System32\kbplmjmo.kfo"
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-27 19:23:18 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-27 18:23:14
12 Verzeichnis(se), 6,307,258,368 Bytes frei
15 Verzeichnis(se), 6,217,723,904 Bytes frei
.
2008-03-24 16:09:53 --- E O F ---

-------------------------------------------------

Hoffentlich helfen diese Angaben.

Gruß - Manfred

Wen es noch interessiert:

Ich habe mit " Spybot " den Rechner scannen lassen, den Trojaner bzw. die infizierten Datein gefunden und entfernen lassen.

Nach mehrmaligen Rechnerneustart und Prüfung durch Antivir ist der Trojaner verschwunden.

Für allen guten Ratschläge:

Manni

Es ist noch nicht vorbei, das Combofix zeigt immer noch Einträge die auf Malware hindeuten und mit großer Sicherheit nicht durch Spybot oder Antivir gelöscht wurden:



OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Zitat:

C:\WINDOWS\system32\drivers\kbd.sys

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!



Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

[/CENTER]