Trojane Vundo/Metajuan eingefangen, benoetige Untersuetzung

Earthborn · 28.06.2008, 17:04

Hallo,

ich brauche Hilfe zur Entfernung des eingefangenen Trojaner. Laut Scan mit Norton Internet Security, handelt es sich um die Trojaner Vundo und Metajuan. Habe den Scan mehmals im Abgesicherten Modus (Administrator) laufen lassen, die Trojane werden zwar gefunden, sind beim "Normalen Hochfahren des Systems wieder aktiv.

Währe prima wenn mir jemannd weiter helfen könnte. Anbei das HJT-File zur Durchsicht.
Vielen Dank im Vorraus.

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Earthborn · 28.06.2008, 18:01

Sorry,habe die Links übersehen

hier noch mal das editierte HJT-Logfile.

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:40:44, on 28.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\System32\imapi.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Dr. Web Magazin für Seitenbetreiber (h**p://www.drweb.de/)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com (h**p://go.microsoft.com/fwlink/?LinkId=69157)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search (h**p://go.microsoft.com/fwlink/?LinkId=54896)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search (h**p://go.microsoft.com/fwlink/?LinkId=54896)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
O2 - BHO: (no name) - {2967F1D7-D011-4FA5-8C8A-8B2FB273BDF7} - C:\WINDOWS\system32\fccbCurR.dll
O2 - BHO: (no name) - {49FCB7C4-E820-445F-87F8-5E263FC2E02A} - C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K2W258LR\3077ahntdksr[1].dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: {e735d260-0e97-3439-b704-2fa32a2872e7} - {7e2782a2-3af2-407b-9343-79e0062d537e} - C:\WINDOWS\system32\mylehn.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {F420247E-4487-4D17-AB2E-BB2B0CA9119d} - C:\WINDOWS\system32\sukprxmf.dll
O2 - BHO: (no name) - {F53BAFE5-CE7A-4E95-95AC-A3912EFD3739} - C:\WINDOWS\system32\rqRHaXOg.dll
O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - C:\PROGRA~1\LANGEN~1\Engine\mte\StdAlone\T1IE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [98e5f2e0] rundll32.exe "C:\WINDOWS\system32\mxwnipck.dll",b
O4 - HKLM\..\Run: [BM9bd6c17c] Rundll32.exe "C:\WINDOWS\system32\hobipvnl.dll",s
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe (User 'Default user')
O4 - Startup: ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: MagicTune 3.6.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) – h**p://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) – h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159383447250
O16 - DPF: {C604ABC1-242A-46EC-BEB0-9DF8E9DBB20B} (Image Uploader 3.0 Control) – h**ps://mediencenter.t-online.de/fotomgr/res/t-online/js/thirdParty/uploader/CM4allUploader.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - AppInit_DLLs: pgfwdvgr.dll nxoypqko.dll O20 - Winlogon Notify: rqRHaXOg - C:\WINDOWS\SYSTEM32\rqRHaXOg.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 12825 bytes

**Sunny** · 28.06.2008, 18:44

Hallo Earthborn und

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

Earthborn · 28.06.2008, 20:46

Hallo Sunny,

hier ist der Inhalt der gerade erstellten ComboFix.txt

Gruss Earthborn

ComboFix 08-06-20.4 - Tom 2008-06-28 20:59:31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1064 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Tom\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM9bd6c17c.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bmocmsur.ini
C:\WINDOWS\system32\bsicrhud.ini
C:\WINDOWS\system32\cychtmdc.ini
C:\WINDOWS\system32\dxkgvoeh.ini
C:\WINDOWS\system32\echgoxuv.ini
C:\WINDOWS\system32\EfhkTvut.ini
C:\WINDOWS\system32\EfhkTvut.ini2
C:\WINDOWS\system32\fccbCurR.dll
C:\WINDOWS\system32\hkvfqkwq.ini
C:\WINDOWS\system32\kcpinwxm.ini
C:\WINDOWS\system32\lxmrhbtn.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\momlqkjs.ini
C:\WINDOWS\system32\neaawjwk.dll
C:\WINDOWS\system32\nggmblbr.ini
C:\WINDOWS\system32\pnvvmbgh.ini
C:\WINDOWS\system32\pqgywqgq.ini
C:\WINDOWS\system32\rmieafro.ini
C:\WINDOWS\system32\rqRHaXOg.dll
C:\WINDOWS\system32\RruCbccf.ini
C:\WINDOWS\system32\RruCbccf.ini2
C:\WINDOWS\system32\setup.ini
C:\WINDOWS\system32\sukprxmf.dll
C:\WINDOWS\system32\sxxfsybw.ini
C:\WINDOWS\system32\tuvTkhfE.dll
C:\WINDOWS\system32\vpkulxot.ini
C:\WINDOWS\system32\whcwtkia.ini
C:\WINDOWS\system32\yfrdomht.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-28 ))))))))))))))))))))))))))))))
.

2008-06-28 20:33 . 2008-06-28 20:33 <DIR> d-------- C:\Programme\CCleaner
2008-06-28 17:44 . 2008-06-28 17:44 103,424 --a------ C:\WINDOWS\system32\xymribse.dll
2008-06-28 17:44 . 2008-06-28 17:44 103,424 --a------ C:\WINDOWS\system32\iucqpk.dll
2008-06-28 17:41 . 2008-06-28 17:41 90,624 --a------ C:\WINDOWS\system32\ylmxicsy.dll
2008-06-28 17:41 . 2008-06-28 17:41 81,920 --a------ C:\WINDOWS\system32\thmodrfy.dll
2008-06-28 17:38 . 2008-06-28 17:38 103,424 --a------ C:\WINDOWS\system32\mylehn.dll
2008-06-28 17:38 . 2008-06-28 17:38 103,424 --a------ C:\WINDOWS\system32\mfpqnjex.dll
2008-06-28 17:37 . 2008-06-28 17:37 91,648 --a------ C:\WINDOWS\system32\hobipvnl.dll
2008-06-26 22:50 . 2008-06-26 22:50 106,496 --a------ C:\WINDOWS\system32\jvwoinhs.dll
2008-06-26 22:50 . 2008-06-26 22:50 91,648 --a------ C:\WINDOWS\system32\tcjqcgdh.dll
2008-06-26 22:50 . 2008-06-26 22:50 80,896 --a------ C:\WINDOWS\system32\vuxoghce.dll
2008-06-26 22:48 . 2008-06-26 22:48 106,496 --a------ C:\WINDOWS\system32\aputnbfa.dll
2008-06-26 22:48 . 2008-06-26 22:48 91,648 --a------ C:\WINDOWS\system32\dcxytwgi.dll
2008-06-26 22:45 . 2008-06-26 22:45 106,496 --a------ C:\WINDOWS\system32\rmyucdfk.dll
2008-06-26 22:45 . 2008-06-26 22:45 91,648 --a------ C:\WINDOWS\system32\wellnlbv.dll
2008-06-26 17:02 . 2008-06-26 17:02 106,496 --a------ C:\WINDOWS\system32\rmueudrg.dll
2008-06-26 17:02 . 2008-06-26 17:02 80,896 --------- C:\WINDOWS\system32\ntbhrmxl.dll
2008-06-26 16:59 . 2008-06-26 16:59 91,648 --a------ C:\WINDOWS\system32\dcplpcys.dll
2008-06-26 16:58 . 2008-06-26 16:58 106,496 --a------ C:\WINDOWS\system32\akdwpviu.dll
2008-06-26 16:56 . 2008-06-26 16:56 91,648 --a------ C:\WINDOWS\system32\hduihjvq.dll
2008-06-25 20:45 . 2008-06-25 20:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ipswitch
2008-06-25 20:10 . 2008-06-25 20:10 91,136 --a------ C:\WINDOWS\system32\lvboihht.dll
2008-06-25 19:44 . 2008-06-25 19:44 91,136 --a------ C:\WINDOWS\system32\pnvrgkwd.dll
2008-06-24 22:20 . 2008-06-24 22:20 99,840 --a------ C:\WINDOWS\system32\sjeylomk.dll
2008-06-24 21:35 . 2008-06-24 21:35 99,840 --a------ C:\WINDOWS\system32\andmibtk.dll
2008-06-23 20:35 . 2006-09-26 15:14 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-23 20:35 . 2006-09-26 16:00 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-06-23 20:35 . 2006-09-26 16:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-06-23 20:35 . 2008-06-28 21:08 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-23 20:35 . 2006-09-26 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-23 20:35 . 2006-09-26 16:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-06-23 20:35 . 2008-06-25 20:45 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-23 20:35 . 2008-06-23 20:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-06-23 20:23 . 2008-06-23 20:23 105,984 --a------ C:\WINDOWS\system32\nxoypqko.dll
2008-06-23 19:48 . 2008-06-23 19:48 91,136 --a------ C:\WINDOWS\system32\wnxdaltx.dll
2008-06-23 19:47 . 2008-06-23 19:48 0 --a------ C:\WINDOWS\system32\rmieafro.tmp
2008-06-23 19:38 . 2008-06-23 19:38 <DIR> d-------- C:\Programme\Trend Micro
2008-06-23 17:22 . 2008-06-23 17:22 105,984 --a------ C:\WINDOWS\system32\pgfwdvgr.dll
2008-06-23 17:17 . 2008-06-23 17:17 91,136 --a------ C:\WINDOWS\system32\mgrhqpgo.dll
2008-06-22 18:47 . 2008-06-22 18:48 99,328 --a------ C:\WINDOWS\system32\thyttjri.dll
2008-06-22 18:46 . 2008-06-22 18:46 90,624 --a------ C:\WINDOWS\system32\nrjqjmqs.dll
2008-06-21 17:45 . 2008-06-21 17:45 99,328 --a------ C:\WINDOWS\system32\mqtqnrnf.dll
2008-06-21 17:45 . 2008-06-21 17:45 90,112 --a------ C:\WINDOWS\system32\qaefabhu.dll
2008-06-21 17:43 . 2008-06-21 17:43 99,328 --a------ C:\WINDOWS\system32\kjcgfiuk.dll
2008-06-21 17:43 . 2008-06-21 17:43 90,112 --a------ C:\WINDOWS\system32\hgdhwfnl.dll
2008-06-21 17:18 . 2006-07-26 04:29 71,368 --------- C:\WINDOWS\system32\drivers\StMp3Rec.sys
2008-06-21 17:18 . 2006-07-26 04:29 360 --------- C:\WINDOWS\system32\drivers\StMp3Recnt.cat
2008-06-16 20:33 . 2008-06-16 20:33 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-16 20:33 . 2008-06-16 20:33 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-13 14:45 . 2008-06-13 14:45 579,464 --a------ C:\WINDOWS\system32\SymNeti.dll
2008-06-13 14:45 . 2008-06-13 14:45 207,240 --a------ C:\WINDOWS\system32\SymRedir.dll
2008-06-13 14:14 . 2008-06-13 14:14 31,280 --a------ C:\WINDOWS\system32\drivers\SymIM.sys
2008-06-13 14:14 . 2008-06-13 14:14 13,093 --a------ C:\WINDOWS\system32\drivers\SymRedir.cat
2008-06-13 14:14 . 2008-06-13 14:14 1,611 --a------ C:\WINDOWS\system32\drivers\SymRedir.inf
2008-06-13 14:13 . 2008-06-13 14:13 184,240 --a------ C:\WINDOWS\system32\drivers\symtdi.sys
2008-06-13 14:13 . 2008-06-13 14:13 96,432 --a------ C:\WINDOWS\system32\drivers\symfw.sys
2008-06-13 14:13 . 2008-06-13 14:13 41,008 --a------ C:\WINDOWS\system32\drivers\symndisv.sys
2008-06-13 14:13 . 2008-06-13 14:13 38,576 --a------ C:\WINDOWS\system32\drivers\symids.sys
2008-06-13 14:13 . 2008-06-13 14:13 37,424 --a------ C:\WINDOWS\system32\drivers\symndis.sys
2008-06-13 14:13 . 2008-06-13 14:13 22,320 --a------ C:\WINDOWS\system32\drivers\symredrv.sys
2008-06-13 14:13 . 2008-06-13 14:13 13,616 --a------ C:\WINDOWS\system32\drivers\symdns.sys
2008-06-11 19:13 . 2008-04-14 17:58 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 19:07 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-04 19:23 . 2000-06-13 00:00 1,046,288 --a------ C:\WINDOWS\system32\MSJet35.dll
2008-06-04 19:23 . 2000-06-13 00:00 415,504 --a------ C:\WINDOWS\system32\MsRepl35.dll
2008-06-04 19:23 . 1998-04-24 00:00 287,504 --a------ C:\WINDOWS\system32\MSXBSE35.DLL
2008-06-04 19:23 . 1998-04-24 00:00 252,176 --a------ C:\WINDOWS\system32\MSRD2x35.dll
2008-06-04 19:23 . 1998-04-24 00:00 250,128 --a------ C:\WINDOWS\system32\MSEXCL35.DLL
2008-06-04 19:23 . 1998-04-24 00:00 165,648 --a------ C:\WINDOWS\system32\MSTEXT35.DLL
2008-06-04 19:23 . 1998-04-24 00:00 123,664 --a------ C:\WINDOWS\system32\MSJInt35.dll
2008-06-04 19:23 . 1998-05-31 00:00 72,704 --a------ C:\WINDOWS\system32\ODBCTL32.dll
2008-06-04 19:23 . 1997-02-26 00:00 72,704 --a------ C:\WINDOWS\ST5UNST.EXE
2008-06-04 19:23 . 1998-04-24 00:00 24,848 --a------ C:\WINDOWS\system32\MSJtEr35.dll
2008-06-01 15:38 . 2008-06-01 15:38 <DIR> d-------- C:\WINDOWS\system32\de
2008-06-01 15:38 . 2008-06-01 15:38 <DIR> d-------- C:\WINDOWS\system32\bits
2008-06-01 15:38 . 2008-06-01 15:38 <DIR> d-------- C:\WINDOWS\l2schemas
2008-06-01 10:49 . 2008-04-14 04:22 276,992 --------- C:\WINDOWS\system32\wmphoto.dll
2008-06-01 10:47 . 2008-04-14 04:22 1,306,624 -----c--- C:\WINDOWS\system32\dllcache\msxml6.dll
2008-06-01 10:46 . 2008-04-14 04:22 136,192 --------- C:\WINDOWS\system32\aaclient.dll
2008-05-31 20:55 . 2007-06-18 14:18 23,680 --a------ C:\WINDOWS\system32\drivers\motmodem.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-28 17:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-06-28 15:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-27 19:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-26 21:13 --------- d-----w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\Canon
2008-06-23 19:36 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-22 18:32 --------- d-----w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\UseNeXT
2008-06-21 15:18 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-21 11:33 --------- d-----w C:\Programme\Microsoft ActiveSync
2008-06-18 15:23 --------- d-----w C:\Programme\Opera
2008-06-16 12:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2008-06-16 11:36 --------- d-----w C:\Programme\UseNeXT
2008-06-16 10:30 --------- d-----w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\FRITZ!
2008-06-01 17:28 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-06-01 17:28 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-06-01 17:28 10,671 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-06-01 17:28 --------- d-----w C:\Programme\Symantec
2008-05-31 18:57 --------- d-----w C:\Programme\Motorola Phone Tools
2008-05-31 18:37 --------- d-----w C:\Programme\Avanquest update
2008-05-31 14:04 92,132 ----a-w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\mdb.bin
2008-05-25 11:02 658,432 ------w C:\WINDOWS\fpuninst.exe
2008-05-23 06:10 --------- d-----w C:\Programme\Hardcopy
2008-05-08 14:02 203,136 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-03 17:08 --------- d-----w C:\Programme\Tweak-XP Pro 4
2008-05-01 19:10 --------- d-----w C:\Programme\Norton Internet Security
2008-05-01 18:39 --------- d-----w C:\Programme\Windows Sidebar
2008-05-01 08:10 --------- d-----w C:\Programme\Microsoft.NET
2008-04-14 02:23 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 02:23 288,768 ----a-w C:\WINDOWS\winhlp32.exe
2008-03-22 19:25 251,216 ----a-w C:\Dokumente und Einstellungen\Tom\IView.exe
2008-03-22 19:24 357,768 ----a-w C:\Dokumente und Einstellungen\Tom\SymXPep2.dll
2007-12-24 16:51 92,064 ----a-w C:\Dokumente und Einstellungen\Tom\mqdmmdm.sys
2007-12-24 16:51 9,232 ----a-w C:\Dokumente und Einstellungen\Tom\mqdmmdfl.sys
2007-12-24 16:51 79,328 ----a-w C:\Dokumente und Einstellungen\Tom\mqdmserd.sys
2007-12-24 16:51 66,656 ----a-w C:\Dokumente und Einstellungen\Tom\mqdmbus.sys
2007-12-24 16:51 6,208 ----a-w C:\Dokumente und Einstellungen\Tom\mqdmcmnt.sys
2007-12-24 16:51 5,936 ----a-w C:\Dokumente und Einstellungen\Tom\mqdmwhnt.sys
2007-12-24 16:51 4,048 ----a-w C:\Dokumente und Einstellungen\Tom\mqdmcr.sys
2007-12-24 16:51 25,600 ----a-w C:\Dokumente und Einstellungen\Tom\usbsermptxp.sys
2007-12-24 16:51 22,768 ----a-w C:\Dokumente und Einstellungen\Tom\usbsermpt.sys
2006-10-02 12:07 94,080 ----a-w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\ezplay.sys
2006-10-02 12:07 81,920 ----a-w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\ezpinst.exe
2006-10-02 12:07 47,360 ----a-w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\pcouffin.sys
2004-09-28 01:00 26,240 ----a-w C:\WINDOWS\inf\RAMDSK.SYS
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]
2007-08-25 05:51 316784 --a------ C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
2008-05-01 20:49 116088 --a------ C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f67eb0fa-0671-468d-8e84-33fbc26403ea}]
2008-06-28 17:44 103424 --a------ C:\WINDOWS\system32\iucqpk.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-03-06 18:34 67128]
"H/PC Connection Agent"="C:\PROGRA~1\MICROS~3\wcescomm.exe" [2005-11-15 20:14 1204224]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-17 19:42 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl,CMICtrlWnd" []
"Logitech Hardware Abstraction Layer"="C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE" [2006-07-19 12:03 94208]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 13:03 94208 C:\WINDOWS\KHALMNPR.Exe]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57 282624]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-09 20:48 185784]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 20:54 623992]
"VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 15:21 94208]
"pdfSaver3"="" []
"Adobe_ID0EYTHM"="C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 16:40 1884160]
"Adobe Photo Downloader"="C:\Programme\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe" [2007-12-04 03:07 61440]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-02-14 11:01 51048]
"osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2007-08-25 06:53 714608]
"98e5f2e0"="C:\WINDOWS\system32\thmodrfy.dll" [2008-06-28 17:41 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll 2005-01-31 15:13 49152 C:\PROGRA~1\GEMEIN~1\Stardock\MCPStub.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=pgfwdvgr.dll nxoypqko.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 iteraid;ITERAID_Service_Install;C:\WINDOWS\system32\DRIVERS\iteraid.sys [2005-03-17 16:00]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46]
R1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];C:\WINDOWS\system32\drivers\SLEE13.sys [2005-10-04 17:42]
R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon []
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2007-04-30 14:15]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-21 20:56]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2007-08-31 11:49]
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-03-06 21:32]
S3 motccgp;Motorola USB Composite Device Driver;C:\WINDOWS\system32\DRIVERS\motccgp.sys [2007-11-02 14:36]
S3 motccgpfl;MotCcgpFlService;C:\WINDOWS\system32\DRIVERS\motccgpfl.sys [2007-01-23 20:03]
S3 USB28xxBGA;Cinergy Hybrid T USB XS;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2006-02-06 19:49]
S3 USB28xxOEM;Cinergy T USB XS Custom Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2006-02-06 19:49]

*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2008-06-23 18:00:12 C:\WINDOWS\Tasks\Norton Internet Security Online - Systemprüfung ausführen - Tom.job"

**Sunny** · 28.06.2008, 21:10

Da steckt eine ganze Menge im System, daher folgendes:

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

http://www.trojaner-board.de/54936-trojane-vundo-metajuan-eingefangen-benoetige-untersuetzung.html#post350146

Collect::
C:\WINDOWS\system32\xymribse.dll
C:\WINDOWS\system32\iucqpk.dll
C:\WINDOWS\system32\ylmxicsy.dll
C:\WINDOWS\system32\thmodrfy.dll
C:\WINDOWS\system32\mylehn.dll
C:\WINDOWS\system32\mfpqnjex.dll
C:\WINDOWS\system32\hobipvnl.dll
C:\WINDOWS\system32\jvwoinhs.dll
C:\WINDOWS\system32\tcjqcgdh.dll
C:\WINDOWS\system32\vuxoghce.dll
C:\WINDOWS\system32\aputnbfa.dll
C:\WINDOWS\system32\dcxytwgi.dll
C:\WINDOWS\system32\rmyucdfk.dll
C:\WINDOWS\system32\wellnlbv.dll
C:\WINDOWS\system32\rmueudrg.dll
C:\WINDOWS\system32\ntbhrmxl.dll
C:\WINDOWS\system32\dcplpcys.dll
C:\WINDOWS\system32\akdwpviu.dll
C:\WINDOWS\system32\hduihjvq.dll
C:\WINDOWS\system32\lvboihht.dll
C:\WINDOWS\system32\pnvrgkwd.dll
C:\WINDOWS\system32\sjeylomk.dll
C:\WINDOWS\system32\andmibtk.dll
C:\WINDOWS\system32\nxoypqko.dll
C:\WINDOWS\system32\wnxdaltx.dll
C:\WINDOWS\system32\rmieafro.tmp
C:\WINDOWS\system32\pgfwdvgr.dll
C:\WINDOWS\system32\mgrhqpgo.dll
C:\WINDOWS\system32\thyttjri.dll
C:\WINDOWS\system32\nrjqjmqs.dll
C:\WINDOWS\system32\mqtqnrnf.dll
C:\WINDOWS\system32\qaefabhu.dll
C:\WINDOWS\system32\kjcgfiuk.dll
C:\WINDOWS\system32\hgdhwfnl.dll



Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f67eb0fa-0671-468d-8e84-33fbc26403ea}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"98e5f2e0"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Earthborn · 29.06.2008, 17:56

Hallo Sunny,

das Scripten mit Combofix haut bei mir irgendwie nicht hin.
Die Datei cfscript.txt habe ich erstellt und auf dem Desktop gespeichert.
Sobald ich die Datei mit der rechten Maustaste auf die combofix.exe ziehe, bekomme ich nur die Auswahl "Öffnen mit" bzw, "Abbrechen".
Ansonsten tut sich gar nichts mehr, wie soll ich weiter vorgehen?

Gruss Earthborn

**Sunny** · 29.06.2008, 18:07

mhhh, versuche mal die Datei mit der Linken Maustaste auf Combofix zu ziehen..

Earthborn · 29.06.2008, 18:27

Wenn ich die Datei mit der linken Maustaste rüber ziehe bekomme ich folgende Meldung (siehe Screenshot) bzw. Combofix wird dann gestartet.

Gruss Earthborn

Earthborn · 30.06.2008, 18:02

Hallo Sunny,

hast du eine Idee wie ich weiter vorgehen soll. Bitte um eine kurze Info.

Gruß Earthborn

29.06.2008, 18:07	#7
Sunny Administrator > Competence Manager	Trojane Vundo/Metajuan eingefangen, benoetige Untersuetzung mhhh, versuche mal die Datei mit der Linken Maustaste auf Combofix zu ziehen.. __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

Trojane Vundo/Metajuan eingefangen, benoetige Untersuetzung

Log-Analyse und Auswertung: Trojane Vundo/Metajuan eingefangen, benoetige Untersuetzung