Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Hilfe! Ominöser Trojaner plagt mich

Hilfe! Ominöser Trojaner plagt mich


Log-Analyse und Auswertung: Hilfe! Ominöser Trojaner plagt mich

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 30.03.2008, 11:57   #1
heyHH
 
Hilfe! Ominöser Trojaner plagt mich - Standard

Hilfe! Ominöser Trojaner plagt mich


Hallo, liebes Forum!

Nachdem ich schon einiges probiert habe (wie man an den ganzen Programmen im Logfile sieht...) und damit nicht erfolgreich war, bräuchte ich nun doch vielleicht mal eure Hilfe...

Folgende sichtbare Dinge macht mein Trojaner, der angeblich laut BitDefender Trojan.Peed.JCT heißt (AVG AntiSpyware hatte allerdings zunächst Trojan.Bambo.Hosts.A identifiziert): Er 'disabled' den Task-Manager und versucht ständig über c:\windows\system32\wind32.exe einen ominösen Server zu kontaktieren, was meine Firewall aber erfolgreich verhindert.

Über einen infizierten Pseudo-Bidschirmschoner und ein RTF-Dokument, die ich mir mehr oder weniger unfreiwillig auf den Rechner geladen habe, habe ich das Ding bekommen. War so blöd, es zu starten... Aber Avira ist auch nicht angesprungen. Die infizierte RAR-Datei konnte ich erfolgreich mit "Steganos Shredder" löschen. Der Trojaner ist aber natürlich noch da...

Es folgen Hijackthis-, Bitdenfender- und AVG-Logfiles.

Schon im Voraus vielen Dank für eure Hilfe!
----

Hier das Hijackthis-Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:27:57, on 30.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\PGPserv.exe
C:\WINDOWS\system32\SLEE401.exe
C:\WINDOWS\System32\SLEE81.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LXSUPMON.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\wind32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Realtek\Rtl8180\RtlWake.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 58.77.58.166:8080
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: del.icio.us Toolbar Helper - {7AA07AE6-01EF-44EC-93CA-9D7CD41CCDB6} - C:\Programme\del.icio.us\Internet Explorer Buttons\dlcsIE.dll
O2 - BHO: metaspinner media GmbH - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\PROGRA~1\BUYERT~1\BUYERT~1\IEBUTT~2.DLL
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\system32\IETie.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\PROGRA~1\BUYERT~1\BUYERT~1\IEBUTT~3.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: del.icio.us - {981FE6A8-260C-4930-960F-C3BC82746CB0} - C:\Programme\del.icio.us\Internet Explorer Buttons\dlcsIE.dll
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [GhostSurf Reminder] "C:\Programme\GhostSurf\Privacy Control Center.exe" reminder
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\wind32.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SAFELE7] "C:\Programme\Steganos Safe LE 7\safele7.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SAFELE7] "C:\Programme\Steganos Safe LE 7\safele7.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SAFELE7] "C:\Programme\Steganos Safe LE 7\safele7.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SAFELE7] "C:\Programme\Steganos Safe LE 7\safele7.exe" -firstboot (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: RtlWake.lnk = ?
O8 - Extra context menu item: eBay Powersuche - h**p://w*w.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv
O8 - Extra context menu item: eBay Produktsuche - C:\Programme\Buyertools\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Startseite - h**p://w*w.webtip.ch/cgi-bin/msiebutton/tracker.pl?heim
O8 - Extra context menu item: Mein eBay - h**p://w*w.webtip.ch/cgi-bin/msiebutton/tracker.pl?mein
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Buyertools\Buyertools Reminder\ReminderIE.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h**p://w*w.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - h**ps://w*w.wiso-sparbuch.de/wiso/aspx/wisoappl/Download/wficat.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by105fd.bay105.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**ps://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104965974640
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - h**p://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - h**p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - h**ps://img.web.de/v/mail/activex/fa_os_mms/upload_1141.cab
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupSP1 Control) - h**ps://ssl.guj.de/dana-cached/setup/JuniperSetupSP1.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://w*w.creative.com/su/ocx/15014/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF217752-D254-4CDD-A175-99675EBB926E}: NameServer = 213.191.74.19 62.109.123.197
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE401.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE81.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 10851 bytes



Und dann noch Ergebnis eines BitDefender-Scans:

BitDefender Online Scanner

Scan report generated at: Sun, Mar 30, 2008 - 04:46:10

Scan path: C:\;D:\;E:\;

Statistics

Time
01:30:58

Files
156931

Folders
5184

Boot Sectors
2

Archives
1265

Packed Files
10656




Results

Identified Viruses
1

Infected Files
1

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
0




Engines Info

Virus Definitions
1055304

Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Scan plugins
16

Archive plugins
41

Unpack plugins
7

E-mail plugins
6

System plugins
5




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\WINDOWS\system32\wind32.exe
Infected with: Trojan.Peed.JCT

C:\WINDOWS\system32\wind32.exe
Disinfection failed

C:\WINDOWS\system32\wind32.exe
Delete failed


---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 00:50:50 30.03.2008

+ Scan-Ergebnis:



C:\Dokumente und Einstellungen\NetworkService\Cookies\tester@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\NetworkService\Cookies\tester@ie.search.msn[2].txt -> TrackingCookie.Msn : Gesäubert.
C:\Dokumente und Einstellungen\Tester\Cookies\tester@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Gesäubert.
C:\WINDOWS\system32\drivers\etc\HOSTS.bak -> Trojan.Bambo.Hosts.A : Mit Backup gesäubert (unter Quarantäne gestellt).


::Berichtende

Anmekrung: Ich habe danach HOSTS.bak einfach gelöscht und einen neune Scan gemacht, dann hat AVG nichts mehr gefunden - dafür aber BitDefender (siehe oben).

Alt 30.03.2008, 13:12   #2
undoreal
/// AVZ-Toolkit Guru
 
Hilfe! Ominöser Trojaner plagt mich - Standard

Hilfe! Ominöser Trojaner plagt mich


Halli hallo du Hamburger..


1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten..

4) Lasse Silentrunners laufen und poste das logFile

5) Folge dieser Anleitung.

6) Run Combofix. Poste den erscheinenden Text.

7) Überprüfe dein System mit SASW.

8) Durchsuche mit dem Kaspersky Online Scanner dein System.

9) Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

10) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Kürze im log bitte die 032 und 033 redirected Einträge. (Diese wurden von Spybot erstellt.)

11) Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.

__________________

__________________
Alt 01.04.2008, 01:05   #3
heyHH
 
Hilfe! Ominöser Trojaner plagt mich - Standard

Hilfe! Ominöser Trojaner plagt mich


Hallo undoreal!

Danke für deine Anleitung. Habe meine Hausaufgaben gemacht und hoffe, dass ich den Kasten jetzt wieder sauber habe!

Zumindest registriert meine Firewall keine seltsamen Ausgangswünsche mehr und auch der TaskManager funktioniert wieder.

Nur eins ist mir nicht gelungen: Den abschließenden eScan mit find.bat auszuwerten, da ich versehentlich das Programm auf Deutsch installiert habe
- und es nicht hinbekommen habe, im Nachhinein die Sprache zu ändern!

Vielleicht genügen ja auch die anderen Logs (ist leider auch so schon ziemlich viel, daher verteilt auf vier Posts):







///////////////////////Blacklight - kein Befund

03/31/08 01:09:23 [Info]: BlackLight Engine 1.0.67 initialized
03/31/08 01:09:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/31/08 01:09:23 [Note]: 7019 4
03/31/08 01:09:23 [Note]: 7005 0
03/31/08 01:09:29 [Note]: 7006 0
03/31/08 01:09:29 [Note]: 7011 220
03/31/08 01:09:30 [Note]: 7026 0
03/31/08 01:09:30 [Note]: 7026 0
03/31/08 01:09:42 [Note]: FSRAW library version 1.7.1024
03/31/08 10:19:03 [Note]: 7007 0








///////////////////////Silent Runners

"Silent Runners.vbs", revision 56, h*tp://w*w.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LXSUPMON" = "C:\WINDOWS\system32\LXSUPMON.EXE RUN" ["Lexmark International Inc."]
"PPMemCheck" = "C:\PROGRA~1\PESTPA~1\PPMemCheck.exe" [file not found]
"PestPatrol Control Center" = "C:\PROGRA~1\PESTPA~1\PPControl.exe" [file not found]
"CookiePatrol" = "C:\PROGRA~1\PESTPA~1\CookiePatrol.exe" [file not found]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"GhostSurf Reminder" = ""C:\Programme\GhostSurf\Privacy Control Center.exe" reminder" [file not found]
"SmcService" = "C:\PROGRA~1\Sygate\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"System" = "C:\WINDOWS\system32\wind32.exe" [null data]
"TrojanScanner" = "C:\Programme\Trojan Remover\Trjscan.exe" ["Simply Super Software"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{7AA07AE6-01EF-44EC-93CA-9D7CD41CCDB6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "del.icio.us Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\del.icio.us\Internet Explorer Buttons\dlcsIE.dll" ["del.icio.us, a Yahoo! Company"]
{7C7A8947-5935-4430-AC0E-E7D04697414E}\(Default) = (no title provided)
-> {HKLM...CLSID} = "metaspinner media GmbH"
\InProcServer32\(Default) = "C:\PROGRA~1\BUYERT~1\BUYERT~1\IEBUTT~2.DLL" [null data]
{9527D42F-D666-11D3-B8DD-00600838CD5F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "IEWatchObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\IETie.dll" ["Tenebril Incorporated"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Inc."]
{CD9B7762-DFBC-42B1-BB30-02A78287B456}\(Default) = (no title provided)
-> {HKLM...CLSID} = "metaspinner media GmbH"
\InProcServer32\(Default) = "C:\PROGRA~1\BUYERT~1\BUYERT~1\IEBUTT~3.DLL" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{00000000-5736-4205-0100-aa3674b748c9}" = "Steganos Safe LE 7"
-> {HKLM...CLSID} = "Steganos Safe LE 7"
\InProcServer32\(Default) = "c:\programme\steganos safe le 7\safele7se.dll" [null data]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Unbind"
-> {HKLM...CLSID} = "Microsoft Office Binder Unbind"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\1031\UNBIND.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{969223C0-26AA-11D0-90EE-444553540000}" = "Shell Extension"
-> {HKLM...CLSID} = "PGP Shell Extension"
\InProcServer32\(Default) = "pgpmn.dll" ["PGP Corporation"]
"{F8B14440-3785-11D1-B363-5C6F08C10000}" = "PGPdisk Shell Extension"
-> {HKLM...CLSID} = "PGPdisk Shell Extension"
\InProcServer32\(Default) = "PGPdiskSE.dll" [file not found]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{F367BD78-D2B5-459A-B775-9C14E06FCC3D}" = "Miranda Contact"
-> {HKLM...CLSID} = "Send to Miranda contact"
\InProcServer32\(Default) = "C:\Programme\Miranda IM\Plugins\ShellFileSend.dll" [file not found]
"{A68865DD-EE3C-4442-9BE9-1BAB2576E3FA}" = "NOMAD Explorer"
-> {HKLM...CLSID} = "NOMAD Explorer"
\InProcServer32\(Default) = "C:\Programme\Creative\NOMAD Explorer\CTJBNS.DLL" ["Creative Technology Ltd"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension"
-> {HKLM...CLSID} = "Trojan Remover Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" ["Simply Super Software"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["GRISOFT s.r.o."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
Steganos Safe LE 7\(Default) = "{00000000-5736-4205-0100-aa3674b748c9}"
-> {HKLM...CLSID} = "Steganos Safe LE 7"
\InProcServer32\(Default) = "c:\programme\steganos safe le 7\safele7se.dll" [null data]
Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"
-> {HKLM...CLSID} = "Trojan Remover Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" ["Simply Super Software"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
Steganos Safe LE 7\(Default) = "{00000000-5736-4205-0100-aa3674b748c9}"
-> {HKLM...CLSID} = "Steganos Safe LE 7"
\InProcServer32\(Default) = "c:\programme\steganos safe le 7\safele7se.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"
-> {HKLM...CLSID} = "Trojan Remover Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" ["Simply Super Software"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{Prevent access to registry editing tools}

"DisableTaskMgr" = (REG_DWORD) dword:0x00000001
{Remove Task Manager}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "***" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"RAMASST" -> shortcut to: "C:\WINDOWS\system32\RAMASST.exe" ["Matsushita Electric Industrial Co., Ltd."]
"RtlWake" -> shortcut to: "C:\Programme\Realtek\Rtl8180\FRtlWake.exe" [null data]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\Bonjour\mdnsNSP.dll" ["Apple Inc."]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Inc."]
"{981FE6A8-260C-4930-960F-C3BC82746CB0}"
-> {HKLM...CLSID} = "del.icio.us"
\InProcServer32\(Default) = "C:\Programme\del.icio.us\Internet Explorer Buttons\dlcsIE.dll" ["del.icio.us, a Yahoo! Company"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Inc."]
"{981FE6A8-260C-4930-960F-C3BC82746CB0}" = (no title provided)
-> {HKLM...CLSID} = "del.icio.us"
\InProcServer32\(Default) = "C:\Programme\del.icio.us\Internet Explorer Buttons\dlcsIE.dll" ["del.icio.us, a Yahoo! Company"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{27914077-B4D6-4A0E-9763-76B6E9DD9A81}\
"ButtonText" = "Buyertools Reminder"
"Exec" = "C:\Programme\Buyertools\Buyertools Reminder\ReminderIE.exe" [null data]

{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["GRISOFT s.r.o."]
Bonjour-Dienst, Bonjour Service, "C:\Programme\Bonjour\mDNSResponder.exe" ["Apple Inc."]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\system32\CTsvcCDA.EXE" ["Creative Technology Ltd"]
DVD-RAM_Service, DVD-RAM_Service, "C:\WINDOWS\system32\DVDRAMSV.exe" ["Matsushita Electric Industrial Co., Ltd."]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
PGPserv, PGPserv, "C:\WINDOWS\system32\PGPserv.exe" ["PGP Corporation"]
Steganos Live Encryption Engine (Version 401) [Service], SLEE_401_SERVICE, "C:\WINDOWS\system32\SLEE401.exe" [null data]
Steganos Live Encryption Engine 8.1 [Service], SLEE_81_SERVICE, "C:\WINDOWS\System32\SLEE81.exe" [null data]
Sygate Personal Firewall, SmcService, "C:\Programme\Sygate\SPF\smc.exe" ["Sygate Technologies, Inc."]
Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}
WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\System32\MsPMSPSv.exe" [MS]


Keyboard Driver Filters:
------------------------

HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
"UpperFilters" = <<!>> "PGPsdkDriver" [file not found]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]


---------- (launch time: 2008-03-31 10:23:15)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 196 seconds.
---------- (total run time: 307 seconds)
__________________
Geändert von heyHH (01.04.2008 um 01:15 Uhr)

Alt 01.04.2008, 01:08   #4
heyHH
 
Hilfe! Ominöser Trojaner plagt mich - Standard

Hilfe! Ominöser Trojaner plagt mich


///////////////////////smitFraudFix

SmitFraudFix v2.309

Scan done at 10:42:56,76, 31.03.2008
Run from C:\Dokumente und Einstellungen\***\Eigene Dateien\Download\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost


»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End









///////////////////////ComboFix

ComboFix 08-03-30.3 - *** 2008-03-31 11:02:15.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.54 [GMT 2:00]ausgeführt von:: C:\Dokumente und Einstellungen\***\Eigene Dateien\Download\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\dllgh8jkd1q8.exe
C:\WINDOWS\system32\wind32.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-31 ))))))))))))))))))))))))))))))
.

2008-03-31 10:29 . 2008-03-31 10:43 3,214 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-30 12:27 . 2008-03-30 12:27 <DIR> d-------- C:\Programme\Trend Micro
2008-03-30 11:51 . 2008-03-30 11:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-30 11:49 . 2008-03-30 11:50 <DIR> d-------- C:\Programme\Trojan Remover
2008-03-30 11:49 . 2008-03-30 11:49 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Simply Super Software
2008-03-30 11:49 . 2008-03-30 11:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Simply Super Software
2008-03-30 11:49 . 2006-05-25 14:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2008-03-30 11:49 . 2003-02-02 19:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2008-03-30 11:49 . 2005-08-26 00:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2008-03-30 11:49 . 2002-03-06 00:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2008-03-30 11:49 . 2006-06-19 12:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2008-03-30 03:12 . 2008-03-30 04:46 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-03-30 00:18 . 2008-03-30 00:18 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Grisoft
2008-03-30 00:18 . 2008-03-30 00:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-03-30 00:18 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-03-30 00:05 . 2008-03-30 00:05 <DIR> d-------- C:\Programme\CCleaner
2008-03-29 23:57 . 2008-03-29 23:59 <DIR> d-------- C:\Programme\XPcleanv5
2008-03-23 02:27 . 2008-03-29 02:48 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer
2008-03-23 02:27 . 2008-03-31 10:54 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-23 02:27 . 2008-03-23 02:27 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-23 02:26 . 2008-03-23 02:26 <DIR> d-------- C:\Programme\iPod
2008-03-23 02:25 . 2008-03-23 02:26 <DIR> d-------- C:\Programme\iTunes
2008-03-23 02:24 . 2008-03-23 02:24 <DIR> d-------- C:\Programme\Bonjour
2008-03-23 02:23 . 2008-03-23 02:24 <DIR> d-------- C:\Programme\QuickTime
2008-03-23 02:23 . 2008-03-23 02:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-03-23 02:21 . 2008-03-23 02:21 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-03-23 02:21 . 2008-03-23 02:21 <DIR> d-------- C:\Programme\Apple Software Update
2008-03-23 02:20 . 2008-03-23 02:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2008-03-23 02:20 . 2008-03-23 02:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-02-26 12:37 . 2008-02-26 12:37 <DIR> d--h----- C:\WINDOWS\PIF
2008-02-13 01:06 . 2008-02-13 01:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-02-01 00:13 . 2008-02-01 00:13 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-02-01 00:13 . 2008-02-01 00:13 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-27 14:36 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Juniper Networks
2008-03-09 12:10 --------- d-----w C:\Programme\Steganos Safe LE 7
2008-03-03 21:58 --------- d-----w C:\Programme\Trillian
2008-01-09 13:01 53,248 ----a-w C:\WINDOWS\bdoscandel.exe
2007-12-07 02:04 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LXSUPMON"="C:\WINDOWS\system32\LXSUPMON.exe" [2002-01-28 14:48 885760]
"PPMemCheck"="C:\PROGRA~1\PESTPA~1\PPMemCheck.exe" [ ]
"PestPatrol Control Center"="C:\PROGRA~1\PESTPA~1\PPControl.exe" [ ]
"CookiePatrol"="C:\PROGRA~1\PESTPA~1\CookiePatrol.exe" [ ]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-11-02 10:03 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-11-02 09:59 126976]
"GhostSurf Reminder"="C:\Programme\GhostSurf\Privacy Control Center.exe" [ ]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 17:35 2372760]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-19 10:46 249896]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SAFELE7"="C:\Programme\Steganos Safe LE 7\safele7.exe" [2004-10-04 06:39 249856]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]
RAMASST.lnk - C:\WINDOWS\system32\RAMASST.exe [2005-07-23 22:29:35 155648]
RtlWake.lnk - C:\Programme\Realtek\Rtl8180\FRtlWake.exe [2005-02-01 15:17:20 28672]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\WINDOWS\\system32\\LEXPPS.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-08 19:17]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-08 19:17]
R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2006-05-20 01:43]
R2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2007-03-16 02:21]
R2 PGPdisk;PGPdisk;C:\WINDOWS\system32\drivers\PGPdisk.sys [2004-06-09 04:54]
R2 PGPsdkDriver;PGPsdkDriver;C:\WINDOWS\system32\Drivers\PGPsdk.sys [2004-06-09 04:56]
R2 SLEE_401_DRIVER;Steganos Live Encryption Engine (Version 401) [Driver];C:\WINDOWS\system32\drivers\SLEE401.sys [2002-02-22 19:22]
R2 SLEE_401_SERVICE;Steganos Live Encryption Engine (Version 401) [Service];C:\WINDOWS\system32\SLEE401.exe [2002-02-22 19:24]
R2 SLEE_81_DRIVER;Steganos Live Encryption Engine 8.1 [Driver];C:\WINDOWS\System32\drivers\SLEE81.sys [2004-07-19 19:32]
R3 FA312;NETGEAR FA330/FA312/FA311-Fast Ethernet-Adaptertreiber;C:\WINDOWS\system32\DRIVERS\FA312nd5.sys [2001-08-17 13:12]
S3 rtl8180;Realtek RTL8180 Wireless LAN (Mini-)PCI NIC NT Driver;C:\WINDOWS\system32\DRIVERS\RTL8180.SYS [2003-04-16 08:04]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-25 07:19:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h*tp://w*w.gmer.net
Rootkit scan 2008-03-31 11:09:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-31 11:12:35
ComboFix-quarantined-files.txt 2008-03-31 09:12:07
11 Verzeichnis(se), 4,040,388,608 Bytes frei
13 Verzeichnis(se), 4,028,792,832 Bytes frei
.
2008-03-12 17:05:00 --- E O F ---










///////////////////////ComboFix-quarantined-files.txt

2008-03-26 09:05 41984 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\wind32.exe.vir
2008-03-31 00:57 0 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\dllgh8jkd1q8.exe.vir
2008-03-31 11:08 39 --a------ C:\Qoobox\Quarantine\catchme.log

Alt 01.04.2008, 01:10   #5
heyHH
 
Hilfe! Ominöser Trojaner plagt mich - Standard

Hilfe! Ominöser Trojaner plagt mich


///////////////////////SASW


SUPERAntiSpyware Scan Log
ht*p://w*w.superantispyware.com

Generated 03/31/2008 at 01:47 PM

Application Version : 4.0.1154

Core Rules Database Version : 3427
Trace Rules Database Version: 1419

Scan type : Complete Scan
Total Scan Time : 02:11:49

Memory items scanned : 427
Memory threats detected : 0
Registry items scanned : 4685
Registry threats detected : 0
File items scanned : 56082
File threats detected : 10

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\***@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@mediaplex[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tradedoubler[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@as1.falkag[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adserver.trojaner-info[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@serving-sys[1].txt







///////////////////////Kaspersky


-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 31. März 2008 20:24:47
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 31/03/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 674426
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 56322
Viren gefunden: 1
Infizierte Objekte gefunden: 5
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 06:00:07

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\AppLogs\SUPERANTISPYWARE-3-31-2008( 11-29-44 ).LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix\Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\***\Eigene Dateien\Download\SmitfraudFix\Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\***\Eigene Dateien\Download\SmitfraudFix.exe/data.rar/SmitfraudFix/Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\***\Eigene Dateien\Download\SmitfraudFix.exe/data.rar Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\***\Eigene Dateien\Download\SmitfraudFix.exe RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Sygate\SPF\debug.log Das Objekt ist gesperrt übersprungen
C:\Programme\Sygate\SPF\rawlog.log Das Objekt ist gesperrt übersprungen
C:\Programme\Sygate\SPF\seclog.log Das Objekt ist gesperrt übersprungen
C:\Programme\Sygate\SPF\syslog.log Das Objekt ist gesperrt übersprungen
C:\Programme\Sygate\SPF\tralog.log Das Objekt ist gesperrt übersprungen
C:\QooBox\Quarantine\C\WINDOWS\system32\wind32.exe.vir Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{A5DBBC3A-096B-42ED-B2E2-D327F92B1FDA}\RP2\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{5BC4BB98-6EF9-4B8F-8CC5-59C696AB760F}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_768.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.











///////////////////////Neues HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:44:49, on 31.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\PGPserv.exe
C:\WINDOWS\system32\SLEE401.exe
C:\WINDOWS\System32\SLEE81.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Realtek\Rtl8180\RtlWake.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 58.77.58.166:8080
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: del.icio.us Toolbar Helper - {7AA07AE6-01EF-44EC-93CA-9D7CD41CCDB6} - C:\Programme\del.icio.us\Internet Explorer Buttons\dlcsIE.dll
O2 - BHO: metaspinner media GmbH - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\PROGRA~1\BUYERT~1\BUYERT~1\IEBUTT~2.DLL
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\system32\IETie.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\PROGRA~1\BUYERT~1\BUYERT~1\IEBUTT~3.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: del.icio.us - {981FE6A8-260C-4930-960F-C3BC82746CB0} - C:\Programme\del.icio.us\Internet Explorer Buttons\dlcsIE.dll
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SAFELE7] "C:\Programme\Steganos Safe LE 7\safele7.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SAFELE7] "C:\Programme\Steganos Safe LE 7\safele7.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SAFELE7] "C:\Programme\Steganos Safe LE 7\safele7.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SAFELE7] "C:\Programme\Steganos Safe LE 7\safele7.exe" -firstboot (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: RtlWake.lnk = ?
O8 - Extra context menu item: eBay Powersuche - h*tp://w*w.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv
O8 - Extra context menu item: eBay Produktsuche - C:\Programme\Buyertools\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Startseite - h*tp://w*w.webtip.ch/cgi-bin/msiebutton/tracker.pl?heim
O8 - Extra context menu item: Mein eBay - h*tp://w*w.webtip.ch/cgi-bin/msiebutton/tracker.pl?mein
O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Buyertools\Buyertools Reminder\ReminderIE.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} - h*tp://w*w.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h*tp://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - h*tps://w*w.wiso-sparbuch.de/wiso/aspx/wisoappl/Download/wficat.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - h*tp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - h*tp://by105fd.bay105.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - h*tps://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h*tp://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*tp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104965974640
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - h*tp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} - h*tp://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h*tp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - h*tp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} - h*tps://img.web.de/v/mail/activex/fa_os_mms/upload_1141.cab
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} - h*tps://ssl.guj.de/dana-cached/setup/JuniperSetupSP1.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - h*tp://w*w.creative.com/su/ocx/15014/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF217752-D254-4CDD-A175-99675EBB926E}: NameServer = 213.191.74.19 62.109.123.197
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE401.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE81.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 9914 bytes


Alt 01.04.2008, 01:12   #6
heyHH
 
Hilfe! Ominöser Trojaner plagt mich - Standard

Hilfe! Ominöser Trojaner plagt mich


(Bitte mit dem Lesen unten beim ältesten Post anfangen...)

///////////////////////iClean


iclean log 31.03.2008 20:47:45

Windows XP SP2, Kernel functions unavailable

Processes
---------
456 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
524 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
548 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
592 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
604 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
752 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
828 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
868 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
900 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
976 - C:\Programme\Sygate\SPF\smc.exe - Sygate Agent Firewall (Signed)
1012 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1044 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1188 - C:\WINDOWS\system32\LEXBCES.EXE - LexBce Service
1240 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
1248 - C:\WINDOWS\system32\LEXPPS.EXE - C:\WINDOWS\system32\LEXPPS.EXE
1400 - C:\Programme\AntiVir PersonalEdition Classic\sched.exe - Antivirus Scheduler
1484 - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe - Antivirus On-Access Service
1532 - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe - Apple Mobile Device Service
1608 - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe - AVG Anti-Spyware guard (Signed)
1624 - C:\WINDOWS\Explorer.EXE - Windows Explorer
1660 - C:\Programme\Bonjour\mDNSResponder.exe - Bonjour Service
1680 - C:\WINDOWS\system32\CTsvcCDA.EXE - Creative Service for CDROM Access
1728 - C:\WINDOWS\system32\DVDRAMSV.exe - DVD-RAM Utility Helper Service
1792 - C:\WINDOWS\system32\PGPserv.exe - PGP Software Development Kit Service
1856 - C:\WINDOWS\system32\SLEE401.exe - C:\WINDOWS\system32\SLEE401.exe
1884 - C:\WINDOWS\System32\SLEE81.exe - C:\WINDOWS\System32\SLEE81.exe
1896 - C:\WINDOWS\System32\snmp.exe - SNMP-Dienst
1932 - C:\WINDOWS\System32\MsPMSPSv.exe - WMDM PMSP Service
2304 - C:\WINDOWS\system32\LXSUPMON.EXE - Supplies Monitor
2340 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
2572 - C:\WINDOWS\system32\igfxtray.exe - igfxTray Module
2588 - C:\WINDOWS\system32\hkcmd.exe - hkcmd Module
2676 - C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe - Antivirus System Tray Tool
2696 - C:\Programme\iTunes\iTunesHelper.exe - iTunesHelper Module (Signed)
2708 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
2812 - C:\WINDOWS\system32\RAMASST.exe - CD Burning of Windows XP disabling tool for DVD MULTI Drive
2924 - C:\Programme\iPod\bin\iPodService.exe - iPodService Module (Signed)
2936 - C:\Programme\Realtek\Rtl8180\RtlWake.exe - RtlWake MFC Application
1604 - C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe - SUPERAntiSpyware (Signed)
856 - C:\Programme\Internet Explorer\iexplore.exe - Internet Explorer
1772 - C:\WINDOWS\system32\NOTEPAD.EXE - Editor
1376 - C:\Dokumente und Einstellungen\Tester\Eigene Dateien\Download\iclean.exe - Interactive Cleaner

Services
--------
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\antivir personaledition classic\sched.exe=AntiVirScheduler
c:\programme\antivir personaledition classic\avguard.exe=AntiVirService
c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe=Apple Mobile Device
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\grisoft\avg anti-spyware 7.5\guard.exe=AVG Anti-Spyware Guard
c:\programme\bonjour\mdnsresponder.exe=Bonjour Service
c:\windows\system32\ctsvccda.exe=Creative Service for CDROM Access
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
c:\windows\system32\dvdramsv.exe=DVD-RAM_Service
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
c:\programme\ipod\bin\ipodservice.exe=iPod Service
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
c:\windows\system32\lexbces.exe=LexBceS
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
c:\windows\system32\pgpserv.exe=PGPserv
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
c:\windows\system32\slee401.exe=SLEE_401_SERVICE
c:\windows\system32\slee81.exe=SLEE_81_SERVICE
c:\programme\sygate\spf\smc.exe=SmcService
C:\WINDOWS\system32\snmp.exe=SNMP
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
c:\windows\system32\mspmspsv.exe=WMDM PMSP Service
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WudfSvc
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: ctfmon.exe=c:\windows\system32\ctfmon.exe
000=HKCU\Run: SUPERAntiSpyware=c:\programme\superantispyware\superantispyware.exe
000=HKLM\Run: avgnt="c:\programme\antivir personaledition classic\avgnt.exe" /min
000=HKLM\Run: HotKeysCmds=c:\windows\system32\hkcmd.exe
000=HKLM\Run: IgfxTray=c:\windows\system32\igfxtray.exe
000=HKLM\Run: iTunesHelper="c:\programme\itunes\ituneshelper.exe"
000=HKLM\Run: LXSUPMON=c:\windows\system32\lxsupmon.exe run
000=HKLM\Run: QuickTime Task="c:\programme\quicktime\qttask.exe" -atboottime
000=HKLM\Run: SmcService=c:\progra~1\sygate\spf\smc.exe
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\Bonjour\mDNSResponder.exe=c:\programme\bonjour\mdnsresponder.exe
001=Firewall bypass: C:\Programme\Internet Explorer\iexplore.exe=c:\programme\internet explorer\iexplore.exe
001=Firewall bypass: C:\Programme\iTunes\iTunes.exe=c:\programme\itunes\itunes.exe
001=Firewall bypass: C:\Programme\Trillian\trillian.exe=c:\programme\trillian\trillian.exe
001=Firewall bypass: C:\Programme\Yahoo!\Messenger\YPager.exe=c:\programme\yahoo!\messenger\ypager.exe
001=Firewall bypass: C:\Programme\Yahoo!\Messenger\YServer.exe=c:\programme\yahoo!\messenger\yserver.exe
001=Firewall bypass: C:\WINDOWS\system32\dpvsetup.exe=c:\windows\system32\dpvsetup.exe
001=Firewall bypass: C:\WINDOWS\system32\LEXPPS.EXE=c:\windows\system32\lexpps.exe
001=Firewall bypass: C:\WINDOWS\system32\rundll32.exe=c:\windows\system32\rundll32.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
020=SSODL: WPDShServiceObj=c:\windows\system32\wpdshserviceobj.dll
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=(null) ()
030=BHO: {7AA07AE6-01EF-44EC-93CA-9D7CD41CCDB6}=c:\programme\del.icio.us\internet explorer buttons\dlcsie.dll (del.icio.us Toolbar Helper)
030=BHO: {7C7A8947-5935-4430-AC0E-E7D04697414E}=c:\progra~1\buyert~1\buyert~1\iebutt~2.dll (metaspinner media GmbH)
030=BHO: {9527D42F-D666-11D3-B8DD-00600838CD5F}=c:\windows\system32\ietie.dll (IEWatchObj Class)
030=BHO: {AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar3.dll (Google Toolbar Helper)
030=BHO: {CD9B7762-DFBC-42B1-BB30-02A78287B456}=c:\progra~1\buyert~1\buyert~1\iebutt~3.dll (metaspinner media GmbH)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}=c:\programme\google\googletoolbar3.dll
031=Toolbar: {981FE6A8-260C-4930-960F-C3BC82746CB0}=c:\programme\del.icio.us\internet explorer buttons\dlcsie.dll
031=Toolbar: {EF99BD32-C1FB-11D2-892F-0090271D4F88}=(null)
031=Toolbar: ITBar7Layout=(null)
031=Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F}=c:\programme\google\googletoolbar3.dll
031=Toolbar: {981FE6A8-260C-4930-960F-C3BC82746CB0}=c:\programme\del.icio.us\internet explorer buttons\dlcsie.dll

Startup Folders
---------------
Common: adobe reader - schnellstart.lnk -> C:\PROGRA~1\Adobe\ACROBA~2.0\Reader\READER~1.EXE
Common: desktop.ini
Common: microsoft office.lnk -> C:\PROGRA~1\MICROS~2\Office\OSA9.EXE
Common: ramasst.lnk -> C:\WINDOWS\system32\RAMASST.exe
Common: rtlwake.lnk -> C:\PROGRA~1\Realtek\Rtl8180\FRtlWake.exe
Personal: desktop.ini

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
# For example:
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost







///////////////////////Avira AntiVir

Während ich Kaspersky durchlaufen ließ, schlug Avira zwischenzeitlich an:

In der Datei 'C:\QooBox\Quarantine\C\WINDOWS\system32\wind32.exe.vir'
wurde ein Virus oder unerwünschtes Programm 'Worm/Zhelatin.WK' [WORM/Zhelatin.WK] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Soll/Kann ich die Datei nun löschen?

Alt 01.04.2008, 16:32   #7
undoreal
/// AVZ-Toolkit Guru
 
Hilfe! Ominöser Trojaner plagt mich - Standard

Hilfe! Ominöser Trojaner plagt mich


Also aus meiner Warte sieht das System sauber aus.
Da du auch keine Probleme mehr hast bist du entlassen..
Die Quarantäne Objekte kannst du löschen.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Antwort

Themen zu Hilfe! Ominöser Trojaner plagt mich
adobe, antispyware, antivir, antivirus, antivirus scan, avg, avira, bho, bonjour, control center, defender, drivers, ebay, einstellungen, hijack, hkus\s-1-5-18, internet, internet explorer, logfile, object, quara, rar-datei, realtek, server, shockwave, software, symantec, system, trojaner, unfreiwillig, vielen dank, windows, windows xp, windows\system32\drivers


« Auswertungshilfe benötigt | bitte beim auswerten helfen »


Ähnliche Themen: Hilfe! Ominöser Trojaner plagt mich


  1. Win 7 Sp1 64Bit. Ein Trojaner plagt mich.
    Log-Analyse und Auswertung - 09.08.2015 (9)
  2. Qvo6 plagt mich in meinen Browsern! Was tun?
    Plagegeister aller Art und deren Bekämpfung - 10.11.2013 (25)
  3. Ominöser Email-Anhang geöffnet
    Log-Analyse und Auswertung - 26.08.2013 (9)
  4. Trojaner nach ominöser E-Mail von vertrauter Quelle?
    Log-Analyse und Auswertung - 14.09.2012 (25)
  5. Bundes Trojaner hat mich! brauche Hilfe! Ukash
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (2)
  6. Problem mit dem ICQ Virus plagt mich auch
    Plagegeister aller Art und deren Bekämpfung - 15.04.2010 (4)
  7. TR/Patched.Gen [trojan] plagt mich seit gestern
    Plagegeister aller Art und deren Bekämpfung - 09.12.2009 (1)
  8. Trojaner spamt mich zu.. (hilfe!)
    Log-Analyse und Auswertung - 13.08.2009 (2)
  9. ICQ Kontakt mit ominöser HP,
    Log-Analyse und Auswertung - 01.06.2009 (1)
  10. TR/Rootkit.Gen plagt mich
    Plagegeister aller Art und deren Bekämpfung - 10.02.2009 (10)
  11. Trojanische Pferd TR/Crypt.XPACK.Gen plagt mich auch!
    Plagegeister aller Art und deren Bekämpfung - 09.12.2008 (1)
  12. Trojaner macht mich irre - BITTE UM HILFE!
    Mülltonne - 28.03.2008 (1)
  13. Ominöser Prozess! Bitte um Auswertung des Log-Files!
    Log-Analyse und Auswertung - 02.12.2007 (5)
  14. Bitte um Hilfe small.GA.7 plagt mich
    Log-Analyse und Auswertung - 09.01.2006 (8)
  15. Trojaner TR/Dldr.Dyfuca.DB plagt mich
    Plagegeister aller Art und deren Bekämpfung - 24.04.2005 (6)
  16. Hilfe! Ein Trojaner quält mich...
    Plagegeister aller Art und deren Bekämpfung - 23.11.2004 (2)
  17. Hilfe...trojaner belästigen mich
    Plagegeister aller Art und deren Bekämpfung - 27.10.2004 (15)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Hilfe! Ominöser Trojaner plagt mich - Hallo, liebes Forum! Nachdem ich schon einiges probiert habe (wie man an den ganzen Programmen im Logfile sieht...) und damit nicht erfolgreich war, bräuchte ich nun doch vielleicht mal eure - Hilfe! Ominöser Trojaner plagt mich...
Archiv
Du betrachtest: Hilfe! Ominöser Trojaner plagt mich auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131