mehrere Trojaner und Viren? Hijacklog hilfe

hirn · 29.03.2008, 17:46

hallo ich habe den verdacht das auf meinem medion windows xp laptop trojaner drauf sind. ich habe hier die logfile vom HijackThis gemacht um mir rat von euch zu holen wie ich weiter vorgehen soll. ich hoffe ihr könnt mir helfen.

Logfile of HijackThis v1.99.1
Scan saved at 17:09:41, on 29.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\QuickTime\qttask.exe
C:\windows\system32\jkwnw64r.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\system32\kcntlkwd.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.1.25.0\GoogleUpdate.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\YouTube\Uploader\youtubeuploader.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\*****\Eigene Dateien\*****\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://alice.aol.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu2561\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu2561\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {08D044C0-6DBD-4A14-9EEC-372F27B4C0F5} - C:\WINDOWS\system32\oppml.dll
O2 - BHO: targettedbanner.biz browser enhancer - {16B435F6-B6CE-4F24-A568-944B27ED919C} - C:\WINDOWS\system32\atgban.dll
O2 - BHO: (no name) - {36A7F20F-1ABD-4F96-B334-EA25A6BF8A72} - C:\Programme\microsoft frontpage\xubij89104.dll
O2 - BHO: (no name) - {3FECA576-7AD2-4E11-A6AD-6B59D4FB5DB9} - C:\WINDOWS\system32\urqnoll.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu2561\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [mmtask] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ALDI_NORD_FotoSuite_Download] "C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [{DF-F4-40-02-DW}] C:\windows\system32\jkwnw64r.exe DWram
O4 - HKLM\..\Run: [PostSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\atgban.dll" DllStart
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\kcntlkwd.exe DWram
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.1.25.0\GoogleUpdate.exe" /lang en
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\kcntlkwd.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jkwnw64r.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: YouTube Uploader.lnk = C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\YouTube\Uploader\youtubeuploader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099254598359
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: urqnoll - C:\WINDOWS\SYSTEM32\urqnoll.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

**Sunny** · 29.03.2008, 17:51

Hallo HIRN

Bitte beschreibe dein Problem genauer so wie es dir unter anderem auch in den Nutzungsbedingungen vorgegeben wurde:

Zitat:

Zitat von NUB#5

5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören Dein Betriebssystem, wortgetreue Wiedergaben von Fehlermeldungen,
und Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

hirn · 29.03.2008, 18:16

ich bekomme keine fehlermeldungen und kenne den pfad des schädlings nicht.

ich weiß nicht wie es zustande gekommen ist aber ich vermute durch surfen im internet. ich habe donnerstag probleme bekommen weil der Medion laptop ( Windows XP ) plötzlich einfach aufgehört hat den desktop mit inhalt anzuzeigen. zu sehen war nur noch das bild und die maus. die maus konnte ich bewegen aber nichts passierte. da dachte ich "ok einfach hengen geblieben" . nach einem neustart ging windows wieder und ich lies erstmal antivir installieren und durchlaufen, beim scannen sind folgende probleme aufgetreten wie : taskleiste konnte ich nichts anwählen maus verwandelte sich in sanduhr... wenn ich das antivir hin und her bewegte entstanden haufen duplikate davon... außerdem wurde alles total langsam bis nichts mehr funktionierte und ich wieder neustartete, dann ging aber gar nichts mehr. es war nur noch die bewegbare maus und das hintergrundbild zusehen. ich konnte auch nichts machen. taskmanager ging nicht auf. nach mehrmaligem neustart blieb es so. ich bin dann in abgesicherten modus rein und hab von dort aus etrust virus programm laufen lassen. er hat mir nach 6 stunden gründlichem suchen 5 trojaner gefunden und bestätigt das die weg sind. aber danach war der desktop ist im abgesicherten modus verschwunden es war wieder nur die maus zu sehen und der schwarze abgesicherte modus bildschirm. ich versuchte wieder ins abgesicherten modus zu kommen und schaffte es auch obwohl der desktop zwischendurch verschwand. dann habe ich eine systemwiederherstellung zur last known good configuration gemacht.
seit dem starte ich in normal windows normal aber ich bekomme alle 5 minuten vom internet explorer die anfrage "verbinden" oder "offline arbeiten", hier habe ich auch das hijackthislog erstellt. da sind definitiv schädliche programme drauf die sich verbinden wollen und ich bin ziemlicher anfänger und weiß nicht wie ich auf das HijackThis log reagieren soll. was ich und vorallem wie löschen soll

**Sunny** · 29.03.2008, 18:49

Das nenne ich eine (fast) perfekte Problembeschreibung.

Mach nun bitte folgendes, da wir den Dateipfad nicht kennen:

CCleaner

Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.

Gehe auf den Button links oben "Cleaner"

Setze Häkchen unter Reiter "Windows"

(alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").

Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

ComboFix

Lade dir das Tool hier herunter -> KLICK

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Anleitung Combofix

hirn · 30.03.2008, 16:44

beim anti malware hab ich 33 infizierte objekte gefunden und löschen lassen. es kam eine meldung das 4 davon erst nach einem neustart gelöscht werden könnten . hab neustart gemacht und hier ist der log davon. das weitere tool zum entfernen der nicht entfernbaren "file assasin"- tool hab ich nicht benutzt. übrigens ich konnte Anti-Malware nicht updaten (fing einfach nicht an zu updaten)

Malwarebytes' Anti-Malware 1.09
Datenbank Version: 507

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 105976
Scan Dauer: 1 hour(s), 25 minute(s), 47 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 15

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
c:\programme\microsoft frontpage\xubij89104.dll (Adware.TTC) -> Unloaded module successfully.
C:\WINDOWS\system32\oppml.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\urqnoll.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{36a7f20f-1abd-4f96-b334-ea25a6bf8a72} (Adware.TTC) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36a7f20f-1abd-4f96-b334-ea25a6bf8a72} (Adware.TTC) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cb57dd94-72a1-4962-b436-354f11d403c0} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{cb57dd94-72a1-4962-b436-354f11d403c0} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Deewoo Network Manager (Adware.Radio) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{3feca576-7ad2-4e11-a6ad-6b59d4fb5db9} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3feca576-7ad2-4e11-a6ad-6b59d4fb5db9} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\urqnoll (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{3feca576-7ad2-4e11-a6ad-6b59d4fb5db9} (Trojan.Vundo) -> Delete on reboot.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\oppml.dll -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\NI.UGA6P_0001_N122M2802 (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\programme\microsoft frontpage\xubij89104.dll (Adware.TTC) -> Delete on reboot.
C:\WINDOWS\system32\oppml.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\lmppo.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lmppo.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\winvsnet.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ext\begmgr11.exe (Adware.ZenoSearch) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xir\pax89104.exe (Adware.TTC) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\NI.UGA6P_0001_N122M2802\settings.ini (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pac.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rwwnw64d.exe (Adware.Zenosearch) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msnav32.ax (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zxdnt3d.cfg (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winpfz37.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\khfedba.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\urqnoll.dll (Trojan.Vundo) -> Delete on reboot.

jetzt mach ich mich an combofix (ccleaner hab ich schon durchlaufen lassen)

hirn · 30.03.2008, 17:20

combofix hab ich durchlaufen lassen, hier der bericht :
nachdem neustart , wo combofix noch aktiv ist, wurde ich von windows gefragt wie kcntlkwd.exe geöffnet werden soll (programm aus liste auswählen oder im internet nach passenden suchen) hab ich abbrechen geklickt...

ComboFix 08-03-29.1 - ***** 2008-03-30 18:02:55.1 - NTFSx86
Microsoft Windows XP Home Edition ***** [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\*****\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\Temp\gbRve12
C:\Temp\gbRve12\csLioes.log
C:\WINDOWS\BMa3dec731.xml
C:\WINDOWS\system32\atgban.dll
C:\WINDOWS\system32\ext
C:\WINDOWS\system32\kcntlkwd.exe
C:\WINDOWS\system32\zxdnt3d.cfg
D:\Autorun.inf
E:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-30 ))))))))))))))))))))))))))))))
.

2008-03-30 18:07 . 2008-03-30 18:07 32 --a------ C:\WINDOWS\system32\msnav32.ax
2008-03-30 17:00 . 2008-03-30 17:00 49,197 --------- C:\WINDOWS\system32\rwwnw64d.exe
2008-03-29 22:28 . 2008-03-29 22:28 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes
2008-03-29 22:27 . 2008-03-29 22:27 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-29 22:27 . 2008-03-29 22:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-29 21:53 . 2008-03-29 21:53 <DIR> d-------- C:\Programme\CCleaner
2008-03-29 17:04 . 2008-03-29 17:04 0 --a------ C:\WINDOWS\bssboot.dat
2008-03-28 16:18 . 2008-03-28 23:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-28 16:18 . 2008-03-28 23:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\UserData
2008-03-28 16:18 . 2008-03-28 23:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-28 16:18 . 2008-03-28 23:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-28 16:18 . 2008-03-28 23:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-03-28 16:18 . 2004-11-03 07:05 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2008-03-28 16:18 . 2008-03-28 23:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2008-03-28 16:18 . 2008-03-28 23:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-27 20:45 . 2008-03-27 20:45 <DIR> d-------- C:\Programme\Avira
2008-03-27 20:45 . 2008-03-27 20:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-26 21:46 . 2008-03-26 21:46 49,180 --a------ C:\WINDOWS\system32\jkwnw64r.exe
2008-03-26 18:06 . 2008-03-26 18:06 39,883 --a------ C:\WINDOWS\system32\targetedbanner-uninst.exe
2008-03-26 18:05 . 2008-03-30 16:57 <DIR> d-------- C:\WINDOWS\system32\xir
2008-03-26 18:05 . 2008-03-30 00:09 <DIR> d-------- C:\WINDOWS\system32\pex3
2008-03-26 18:05 . 2008-03-30 00:09 <DIR> d-------- C:\WINDOWS\system32\imd4
2008-03-26 18:05 . 2008-03-26 18:05 <DIR> d-------- C:\WINDOWS\system32\DL
2008-03-26 18:05 . 2008-03-26 18:05 <DIR> d-------- C:\WINDOWS\system32\aqVreo01
2008-03-15 14:43 . 2008-03-15 14:43 32,768 --a------ C:\WINDOWS\system32\aqVreo01\aqVreo011065.exe
2008-02-14 17:40 . 2008-02-14 17:40 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\AVS4YOU
2008-02-14 17:40 . 2008-02-14 17:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-02-14 17:39 . 2008-02-14 17:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2008-02-14 17:38 . 2008-02-14 17:39 <DIR> d-------- C:\Programme\AVS4YOU
2008-02-14 17:38 . 2007-02-27 20:36 1,700,352 --a------ C:\WINDOWS\system32\GdiPlus.dll
2008-02-14 17:38 . 2007-02-27 20:36 524,288 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-02-14 17:38 . 2007-02-27 20:36 261,632 --a------ C:\WINDOWS\system32\mcdvd_32.dll
2008-02-14 17:38 . 2007-02-27 20:36 156,910 --a------ C:\WINDOWS\WMSysPr8.prx
2008-02-14 17:38 . 2007-02-27 20:36 139,264 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-02-14 17:38 . 2007-02-27 20:36 82,944 --a------ C:\WINDOWS\system32\vct3216.acm
2008-02-14 17:38 . 2007-02-27 20:36 81,920 --a------ C:\WINDOWS\system32\AC3ACM.acm
2008-02-14 17:38 . 2007-02-27 20:36 53,248 --a------ C:\WINDOWS\system32\xvid.ax
2008-02-14 17:38 . 2007-02-27 20:36 38,912 --a------ C:\WINDOWS\system32\alf2cd.acm
2008-02-14 17:38 . 2007-02-27 20:36 13,239 --a------ C:\WINDOWS\system32\Scg726.acm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-30 15:01 --------- d-----w C:\Programme\microsoft frontpage
2008-03-29 14:58 --------- d-----w C:\Programme\Acoustic Labs Multitrack Plus Demo 1.2
2008-03-29 03:22 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Skype
2008-03-27 17:12 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\ICQ Toolbar
2008-03-25 20:13 47,414 ----a-w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\wklnhst.dat
2008-03-03 16:50 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-02-24 18:44 108,528 ----a-w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-05-27 17:42 22,780,277 ------w C:\Programme\foto_manager_nord_d.exe
2004-11-05 08:47 8 --sh--r C:\WINDOWS\system32\18F1AB3FF0.sys
2006-10-07 11:10 56 --sh--r C:\WINDOWS\system32\4DE68B508E.sys
2006-10-07 11:10 5,642 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2004-09-24 18:22 1916928]
"OM_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe" [2006-05-16 17:51 57344]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-28 20:29 68856]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56 204288]
"Google Update"="C:\Dokumente und Einstellungen\LeonidRubi\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.1.25.0\GoogleUpdate.exe" [2008-03-16 21:38 51184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1\realmon.exe" [2003-03-21 23:33 487696]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-20 14:00 88363 C:\WINDOWS\AGRSMMSG.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-09-15 12:18 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-09-15 12:18 507904]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-06 22:10 344064]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"SoundMan"="SOUNDMAN.EXE" [2004-04-28 18:19 66048 C:\WINDOWS\SOUNDMAN.EXE]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2004-11-08 15:25 81920]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 03:10 409600]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-11-03 06:59 180269]
"OM_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2006-05-16 17:50 40960]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32 53248]
"mmtask"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe" [2006-01-17 14:26 53248]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-11-27 19:47 155648]
"ALDI_NORD_FotoSuite_Download"="C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" [2006-06-09 09:56 417792]
"{DF-F4-40-02-DW}"="C:\windows\system32\rwwnw64d.exe" [2008-03-30 17:00 49197]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%ProgramFiles%\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"%ProgramFiles%\\AOL 9.0\\AOL.exe"=
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 23:29]
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 15:10]
S3 AVMUNET;AVM FRITZ! Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2004-03-11 01:00]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 23:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 23:41]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 16:18]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 22:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 22:46]
S3 PL-40R;CASIO USB MIDI;C:\WINDOWS\system32\Drivers\pl40rwdm.sys [2002-08-16 08:21]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-30 18:07:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\YouTube\Uploader\youtubeuploader.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-30 18:09:45 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-30 16:09:42
13 Verzeichnis(se), 9,290,649,600 Bytes frei
16 Verzeichnis(se), 9,253,888,000 Bytes frei
.
2008-03-12 21:07:49 --- E O F ---

**Sunny** · 30.03.2008, 17:35

OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Zitat:

C:\WINDOWS\system32\rwwnw64d.exe
C:\WINDOWS\system32\jkwnw64r.exe

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

hirn · 30.03.2008, 21:42

C:\WINDOWS\system32\rwwnw64d.exe moved successfully.
C:\WINDOWS\system32\jkwnw64r.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03302008_224143

hirn · 31.03.2008, 08:24

ich hab mir übrigens zwischendurch nachdem combofix den spybot installiert und ihn aktiviert. kaspersky sagt folgendes :

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 31. März 2008 09:19:47
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 30/03/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 604725
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
F:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 81040
Viren gefunden: 2
Infizierte Objekte gefunden: 3
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:26:58

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies\030625\0237\0192\values Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*****\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\YouTube\Uploader\uploads.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\WER0c7f.dir00\IEXPLORE.EXE.HDMP.0.AVB Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\WER0fd3.dir00\IEXPLORE.EXE.HDMP.0.AVB Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008033120080401\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*****\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*****\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\CA\eTrust Antivirus\DB\rtmaster.dbf Das Objekt ist gesperrt übersprungen
C:\Programme\CA\eTrust Antivirus\DB\rtmaster.ntx Das Objekt ist gesperrt übersprungen
C:\Programme\FRITZ!DSL\access\access.lock Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{B89A9645-F650-437E-A3EB-21D9FE6F34C1}\RP437\A0067036.exe Infizierte Objekte: Trojan-Downloader.Win32.Homles.at übersprungen
C:\System Volume Information\_restore{B89A9645-F650-437E-A3EB-21D9FE6F34C1}\RP438\A0078216.exe Infizierte Objekte: Trojan-Downloader.Win32.Homles.at übersprungen
C:\System Volume Information\_restore{B89A9645-F650-437E-A3EB-21D9FE6F34C1}\RP440\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\aqVreo01\aqVreo011065.exe Infizierte Objekte: Trojan-Downloader.Win32.VB.dkg übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

mehrere Trojaner und Viren? Hijacklog hilfe

Log-Analyse und Auswertung: mehrere Trojaner und Viren? Hijacklog hilfe