Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte mal Logfile prüfen, ist der Trojaner noch da ?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 13.07.2008, 14:50   #1
drx
 
Bitte mal Logfile prüfen, ist der Trojaner noch da ? - Standard

Bitte mal Logfile prüfen, ist der Trojaner noch da ?



Hallo,
meine sygate-firewall bringt seit heute die Meldung das der WindowsExplorer eine Verbindung zu "acidisa.com. herstellen möchte.

beim ersten Scan mit Spybot wurde ein Virtumonde-Trojaner ( C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\removalfile.bat ) gefunden und gelöscht. Adaware und Spybot haben nach einem Neustart keinen Befall mehr gefunden. Trotzdem taucht immer wieder obige Meldung auf wo der explorer die verbindung herstellen will. Kann es sein das der Trojaner immer noch auf meinem System ist obwohl beide Spywareprogramme nichts finden können ?

Ich habe eben ein Protokoll mit Hijack erstellt und poste es hier mit der Bitte das jemand mal überprüft ob mein System sauber ist.

Ich habe windows-XP-professional Servicepack 3.
Antivir, Sygate Firewall und den Spybot-SD Resident mit Systemstart aktiv.

hier also mein logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:26:15, on 13.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {62D6DDA7-8FE9-47F1-B8E9-D1D0D3D9FF3A} - C:\WINDOWS\system32\ddcAroLD.dll
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8656036E-C8AD-4725-88EC-7889913C9F22}: NameServer = 62.109.123.7 213.191.92.86
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ddcAroLD - C:\WINDOWS\SYSTEM32\ddcAroLD.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5887 bytes

vielen dank im voraus

@GC Sunny: Hoffe ich habe diesmal alles richtig gemacht. Falls nicht bitte um genauere Erklärung...

Alt 13.07.2008, 15:12   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte mal Logfile prüfen, ist der Trojaner noch da ? - Icon32

Bitte mal Logfile prüfen, ist der Trojaner noch da ?



Hallo,

updatemäßig fehlt da noch mindestens der IE7! (Auch wenn man ihn nicht unbedingt nutzen sollte, sollte er aktuell sein.)

C:\WINDOWS\system32\ddcAroLD.dll

Diese Datei mal bitte bei virustotal.com auswerten lassen und alle Ergebnisse posten. Danach brauchen wir mehr Infos in Form von Logfiles, folge mal daher dem DSS-Link in meiner Signatur und poste die Logfiles (bitte mit Codetags umschlossen).
__________________

__________________

Alt 13.07.2008, 15:21   #3
drx
 
Bitte mal Logfile prüfen, ist der Trojaner noch da ? - Standard

Bitte mal Logfile prüfen, ist der Trojaner noch da ?



Danke erstmal für die Antwort

hier erstmal das resultat von virus total. ich verstehe es zwar nicht warum wurde aber mehrmals so angezeigt:


File has already been analysed:
MD5:
First received:
Date:
Results:
Permalink:

habe ich was falsch gemacht? (Durchsuchen, Datei auswählen, Send File klicken)

DSS folgt gleich
__________________

Alt 13.07.2008, 15:26   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte mal Logfile prüfen, ist der Trojaner noch da ? - Icon32

Bitte mal Logfile prüfen, ist der Trojaner noch da ?



Nein, das bedeuetet nur, daß diese Datei (mit der gleichen Prüfsumme) schonmal zu Virustotal zum scannen hochgeladen wurde. Da müsste es einen Link geben, um die Datei trotzdem nchmal scannen zu lassen. Mach das mal und poste dann die Resultate.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.07.2008, 15:44   #5
drx
 
Bitte mal Logfile prüfen, ist der Trojaner noch da ? - Standard

Bitte mal Logfile prüfen, ist der Trojaner noch da ?



hier die logfiles DSS: leider sind sie zu lange da musste ich splitten :

MAIN I:

Code:
ATTFilter
 Deckard's System Scanner v20071014.68
Run by Administrator on 2008-07-13 16:22:33
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

-- Last 5 Restore Point(s) --
82: 2008-07-13 14:22:36 UTC - RP82 - Deckard's System Scanner Restore Point
81: 2008-07-13 10:31:50 UTC - RP81 - GameJack 6 wird entfernt
80: 2008-07-13 10:21:56 UTC - RP80 - Universal SCSI Controller wird installiert
79: 2008-07-13 10:19:25 UTC - RP79 - GameJack 6 wird installiert
78: 2008-07-13 10:19:03 UTC - RP78 - Microsoft Visual C++ 2005 Redistributable wird installiert

-- First Restore Point -- 
1: 2008-06-27 21:23:52 UTC - RP1 - Systemprüfpunkt

Backed up registry hives.
Performed disk cleanup.

-- HijackThis (run as Administrator.exe) ---------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:22:56, on 13.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Administrator.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {62D6DDA7-8FE9-47F1-B8E9-D1D0D3D9FF3A} - C:\WINDOWS\system32\ddcAroLD.dll
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8656036E-C8AD-4725-88EC-7889913C9F22}: NameServer = 62.109.123.7 213.191.92.86
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ddcAroLD - C:\WINDOWS\SYSTEM32\ddcAroLD.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5913 bytes

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 Teefer (Teefer for NT) - c:\windows\system32\drivers\teefer.sys <Not Verified; Sygate Technologies, Inc.; Sygate Teefer Driver>
R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
R1 wpsdrvnt - c:\windows\system32\drivers\wpsdrvnt.sys <Not Verified; Sygate Technologies, Inc.; wpsdrvnt>
R2 wg3n (SyGate for NT, wg3n) - c:\windows\system32\drivers\wg3n.sys <Not Verified; Sygate Technologies, Inc.; Sygate WGXN>
R3 ElbyDelay - c:\windows\system32\drivers\elbydelay.sys <Not Verified; Elaborate Bytes AG; CDRTools>
R3 uscbs109 - c:\windows\system32\drivers\uscbs109.sys
R3 uscsc109 - c:\windows\system32\drivers\uscsc109.sys

S3 jbridgep - c:\dokume~1\admini~1\lokale~1\temp\jbridgep.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Files created between 2008-06-13 and 2008-07-13 -----------------------------

2008-07-13 14:27:45         0 d-------- C:\Programme\Trend Micro
2008-07-13 12:31:54         0 d-------- C:\WINDOWS\system32\appmgmt
2008-07-13 12:26:28     32256 --a------ C:\WINDOWS\system32\wvUlLbAS.dll
2008-07-13 12:26:28     32256 --a------ C:\WINDOWS\system32\ddcAroLD.dll
2008-07-12 14:46:53         0 d-------- C:\Programme\Winamp
2008-07-12 12:05:57     11914 --a------ C:\WINDOWS\system32\drivers\wg3n.sys <Not Verified; Sygate Technologies, Inc.; Sygate WGXN>
2008-07-12 12:05:56     18518 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys <Not Verified; Sygate Technologies, Inc.; wpsdrvnt>
2008-07-12 12:05:56     55891 --a------ C:\WINDOWS\system32\drivers\Teefer.sys <Not Verified; Sygate Technologies, Inc.; Sygate Teefer Driver>
2008-07-12 12:05:50         0 d-------- C:\Programme\Sygate
2008-07-07 10:46:43        56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-07-07 10:42:34         0 d-------- C:\Programme\Skype
2008-07-07 10:42:34         0 d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-07-07 00:58:22         0 d-------- C:\Programme\SlySoft
2008-07-03 23:06:12         0 d-------- C:\Programme\Gemeinsame Dateien\Adobe AIR
2008-07-03 23:00:27         0 d-------- C:\WINDOWS\SxsCaPendDel
2008-07-03 22:54:23         0 d-------- C:\Programme\NOS
2008-07-03 11:07:31         0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-07-01 23:39:47         0 d-------- C:\Programme\Mp3tag
2008-06-30 16:35:18         0 d-------- C:\CloneDVDTemp
2008-06-30 15:12:11         0 d-------- C:\Programme\Elaborate Bytes
2008-06-29 22:27:26         0 d-------- C:\Programme\Google
2008-06-28 17:05:20         0 d-------- C:\Programme\Lavasoft
2008-06-28 16:40:55         0 d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-06-28 16:40:39         0 d-------- C:\Program Files
2008-06-28 16:40:37         0 d-------- C:\Programme\Gemeinsame Dateien\Real
2008-06-28 16:26:00         0 d-------- C:\Programme\Visions
2008-06-28 13:26:49     43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-06-28 13:11:24    139264 --a------ C:\WINDOWS\system32\eax.dll <Not Verified; Creative Technology Ltd; EAX Unified>
2008-06-28 13:03:29         0 d-------- C:\Programme\Mafia
2008-06-28 13:03:16    233472 -ra------ C:\WINDOWS\system32\MafiaSetup.exe <Not Verified; ; MafiaInstallShield Application>
2008-06-28 12:23:20         0 d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-06-28 12:22:09         0 d-------- C:\Programme\Gemeinsame Dateien\LightScribe
2008-06-28 12:17:54    106496 --a------ C:\WINDOWS\system32\TwnLib20.dll <Not Verified; Pegasus Software; TWNLIB20>
2008-06-28 12:17:49    471040 -----n--- C:\WINDOWS\system32\ImagXRA7.dll <Not Verified; Pegasus Imaging Corp.; ImagXpress7>
2008-06-28 12:17:49    262144 -----n--- C:\WINDOWS\system32\ImagXR7.dll <Not Verified; Pegasus Imaging Corp.; ImagXpress7>
2008-06-28 12:17:49   1568768 -----n--- C:\WINDOWS\system32\ImagX7.dll <Not Verified; Pegasus Imaging Corp.; ImagXpress7>
2008-06-28 12:17:48    155648 --a------ C:\WINDOWS\system32\NeroCheck.exe <Not Verified; Ahead Software Gmbh; Ahead Software Gmbh NeroCheck>
2008-06-28 12:17:44         0 d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-06-28 12:17:43         0 d-------- C:\Programme\Ahead
2008-06-28 03:59:28         0 d-------- C:\WINDOWS\Prefetch
2008-06-28 03:53:58         0 d-------- C:\WINDOWS\system32\de-de
2008-06-28 03:53:56         0 d-------- C:\WINDOWS\system32\de
2008-06-28 03:53:56         0 d-------- C:\WINDOWS\l2schemas
2008-06-28 03:53:55         0 d-------- C:\WINDOWS\system32\bits
2008-06-28 03:50:39         0 d-------- C:\WINDOWS\ServicePackFiles
2008-06-28 03:48:41         0 d-------- C:\WINDOWS\network diagnostic
2008-06-28 03:31:36         0 d--h----- C:\WINDOWS\$hf_mig$
2008-06-28 02:22:38         0 d-------- C:\Programme\GUILD WARS
2008-06-28 01:26:48     21840 --a-----t C:\WINDOWS\system32\SIntfNT.dll
2008-06-28 01:26:48     17212 --a-----t C:\WINDOWS\system32\SIntf32.dll
2008-06-28 01:26:48     12067 --a-----t C:\WINDOWS\system32\SIntf16.dll
2008-06-28 01:21:26     33288 --a------ C:\WINDOWS\DIIUnin.dat
2008-06-28 01:21:24      2829 --a------ C:\WINDOWS\DIIUnin.pif
2008-06-28 01:21:24    102400 --a------ C:\WINDOWS\DIIUnin.exe <Not Verified; Blizzard Entertainment; DIABLO II-Deinstallationsprogramm>
2008-06-28 01:15:13         0 d-------- C:\Programme\Diablo II
2008-06-28 01:06:05         0 d-------- C:\WINDOWS\nview
2008-06-28 01:05:36         0 d-------- C:\NVIDIA
2008-06-28 00:59:48         0 d-------- C:\WINDOWS\OemDir
2008-06-28 00:59:39         0 d-------- C:\WINDOWS
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\WinSxS
2008-06-28 00:59:39         0 dr------- C:\WINDOWS\Web
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\twain_32
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\wins
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\wbem
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\usmt
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\spool
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\ShellExt
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\Setup
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\ras
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\oobe
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\npp
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\mui
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\inetsrv
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\IME
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\icsxml
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\ias
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\export
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\drivers
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\drivers\etc
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\drivers\disdn
2008-06-28 00:59:39         0 dr-hs--c- C:\WINDOWS\system32\dllcache
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\dhcp
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\config
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\3com_dmi
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\3076
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\2052
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\1054
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\1042
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\1041
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\1037
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\1033
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\1031
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\1028
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\1025
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\security
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Resources
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\repair
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Provisioning
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\PeerNet
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\pchealth
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\mui
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\msapps
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\msagent
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Media
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\java
2008-06-28 00:59:39         0 d--h----- C:\WINDOWS\inf
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\ime
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Help
2008-06-28 00:59:39         0 dr--s---- C:\WINDOWS\Fonts
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\ehome
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Driver Cache
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Debug
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Cursors
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Connection Wizard
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Config
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\AppPatch
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\addins
2008-06-28 00:41:35         0 d-------- C:\Programme\VIA
2008-06-28 00:40:49    306688 --a------ C:\WINDOWS\IsUninst.exe <Not Verified; InstallShield Software Corporation; InstallShield® unInstaller>
2008-06-28 00:40:19      5824 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
2008-06-28 00:13:10         0 d-------- C:\Programme\TuneUp Utilities 2008
2008-06-28 00:12:45         0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-28 00:10:06         0 d-------- C:\Programme\Avira
2008-06-28 00:09:17         0 d-------- C:\Programme\Yahoo!
2008-06-28 00:09:12         0 d-------- C:\Programme\CCleaner
2008-06-28 00:07:09      1536 --a------ C:\WINDOWS\system32\TrueSoft.dat
2008-06-28 00:07:07       456 --a------ C:\WINDOWS\system32\pthsp.dat
2008-06-28 00:06:04         0 d--hs---- C:\WINDOWS\Installer
2008-06-28 00:06:04         0 d-------- C:\Programme\Gemeinsame Dateien\ODBC
2008-06-28 00:06:02         0 dr------- C:\Programme
2008-06-28 00:06:02         0 d-------- C:\Programme\Gemeinsame Dateien
2008-06-28 00:06:02         0 d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2008-06-28 00:05:36         0 d-------- C:\WINDOWS\system32\CatRoot2
2008-06-28 00:05:36         0 d-------- C:\WINDOWS\system32\CatRoot
2008-06-28 00:05:16         0 d-------- C:\Dokumente und Einstellungen
2008-06-28 00:05:15         0 d--hs---- C:\System Volume Information
2008-06-28 00:02:46         0 d-------- C:\WINDOWS\system32\ReinstallBackups
2008-06-28 00:01:44         0 d-------- C:\Programme\VideoLAN
2008-06-28 00:00:19      4212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-06-28 00:00:16     11264 --a------ C:\WINDOWS\system32\SpOrder.dll <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(TM) Operating System>
2008-06-27 23:59:31         0 d-------- C:\WINDOWS\Internet Logs
2008-06-27 23:49:10         0 --a------ C:\WINDOWS\nsreg.dat
2008-06-27 23:37:07     41984 -----n--- C:\WINDOWS\Ctregrun.exe <Not Verified; Creative Technology Ltd; Creative On-line Registration System>
2008-06-27 23:36:38     25088 -----n--- C:\WINDOWS\system32\CTSVCCTL.EXE <Not Verified; Creative Technology Ltd; Creative Service Control>
2008-06-27 23:36:38     44032 -----n--- C:\WINDOWS\system32\CTSVCCDA.EXE <Not Verified; Creative Technology Ltd; Creative Service for CDROM Access>
2008-06-27 23:35:35    233472 --a------ C:\WINDOWS\system32\wrap_oal.dll <Not Verified; Creative Labs; Creative Labs OpenAL32>
2008-06-27 23:34:47         0 d-------- C:\WINDOWS\system32\Data
2008-06-27 23:34:47     24576 --a------ C:\WINDOWS\CTXFIGER.DLL <Not Verified; ; CTxfiRes Dynamic Link Library>
2008-06-27 23:34:47     11264 --a------ C:\WINDOWS\CTDCRGER.DLL <Not Verified; Creative Technology Ltd; Creative Audio Product>
2008-06-27 23:33:14     77824 -----n--- C:\WINDOWS\system32\ctdvda32.dll <Not Verified; Creative Technology Ltd; Creative DVD-Audio Product>
2008-06-27 23:32:18         0 d-------- C:\WINDOWS\RegisteredPackages
2008-06-27 23:32:13         0 d-------- C:\Programme\Creative
2008-06-27 23:31:07         0 d--h----- C:\Programme\InstallShield Installation Information
2008-06-27 23:31:05         0 d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-06-27 23:23:28         0 d-------- C:\WINDOWS\SoftwareDistribution
2008-06-27 23:22:16         0 d---s---- C:\WINDOWS\system32\Microsoft
2008-06-27 23:13:53         0 d-------- C:\WINDOWS\system32\xircom
2008-06-27 23:13:53         0 d-------- C:\Programme\microsoft frontpage
2008-06-27 23:13:31         0 -rahs---- C:\MSDOS.SYS
2008-06-27 23:13:31         0 -rahs---- C:\IO.SYS
2008-06-27 23:13:31         0 --a------ C:\CONFIG.SYS
2008-06-27 23:13:31         0 --a------ C:\AUTOEXEC.BAT
2008-06-27 23:12:40         0 dr------- C:\WINDOWS\Offline Web Pages
2008-06-27 23:12:40         0 d---s---- C:\WINDOWS\Downloaded Program Files
2008-06-27 23:12:34         0 d--h----- C:\Programme\WindowsUpdate
2008-06-27 23:12:33         0 d-------- C:\Programme\Online-Dienste
2008-06-27 23:12:23         0 d-------- C:\WINDOWS\system32\DirectX
2008-06-27 23:12:01         0 d-------- C:\Programme\Gemeinsame Dateien\Dienste
2008-06-27 23:11:59         0 d---s---- C:\WINDOWS\Tasks
2008-06-27 23:11:59         0 d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2008-06-27 23:11:56         0 d-------- C:\WINDOWS\system32\Macromed
2008-06-27 23:11:56         0 d-------- C:\WINDOWS\srchasst
2008-06-27 23:11:51         0 d-------- C:\Programme\Movie Maker
2008-06-27 23:11:45         0 d-------- C:\WINDOWS\system32\Restore
2008-06-27 23:11:13     21740 --a------ C:\WINDOWS\system32\emptyregdb.dat
2008-06-27 23:11:10         0 d-------- C:\WINDOWS\Registration
2008-06-27 23:11:09         0 d-------- C:\Programme\Online Services
2008-06-27 23:11:06         0 d-------- C:\Programme\Messenger
2008-06-27 23:11:03         0 d-------- C:\Programme\MSN Gaming Zone
2008-06-27 23:10:38         0 d-------- C:\Programme\Windows NT
2008-06-27 23:10:37     44544 --a------ C:\WINDOWS\system32\tscupgrd.exe <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®>
2008-06-27 23:10:36         0 d-------- C:\WINDOWS\system32\MsDtc
2008-06-27 23:10:35         0 d-------- C:\WINDOWS\system32\Com


-- Find3M Report ---------------------------------------------------------------

2008-07-13 16:20:37         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-07-13 13:12:08         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM
2008-07-13 12:20:48         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Engelmann Media
2008-07-12 14:51:32         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp
2008-07-10 11:58:59         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Smart Recorder
2008-07-08 20:18:08         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss
2008-07-03 23:07:50         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
2008-07-03 23:07:49         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe
2008-07-01 23:40:10         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mp3tag
2008-06-29 22:29:04         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Google
2008-06-29 13:02:03         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia
2008-06-28 16:43:11         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Real
2008-06-28 04:01:47    316594 --a------ C:\WINDOWS\system32\perfh007.dat
2008-06-28 04:01:47     48156 --a------ C:\WINDOWS\system32\perfc007.dat
2008-06-28 02:22:24         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WinRAR
2008-06-28 00:37:54         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Creative
2008-06-28 00:13:23         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-06-28 00:05:47        62 --ahs---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\desktop.ini
2008-06-28 00:02:03         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2008-06-27 23:49:09         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla
2008-06-27 23:23:44         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Identities

-- Registry Dump ---------------------------------------------------------------
         


Alt 13.07.2008, 15:45   #6
drx
 
Bitte mal Logfile prüfen, ist der Trojaner noch da ? - Standard

Bitte mal Logfile prüfen, ist der Trojaner noch da ?



MAIN II:

Code:
ATTFilter
 
*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
11.06.2008 22:33	75128	--a------	C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{62D6DDA7-8FE9-47F1-B8E9-D1D0D3D9FF3A}]
13.07.2008 12:26	32256	--a------	C:\WINDOWS\system32\ddcAroLD.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RCSystem"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [16.06.2005 18:25]
"AudioDrvEmulator"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [16.06.2005 18:25]
"VolPanel"="C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" [11.07.2005 11:34]
"CTHelper"="CTHELPER.EXE" [08.08.2005 08:10 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [08.08.2005 08:10 C:\WINDOWS\system32\CTXFIHLP.EXE]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12.02.2008 10:06]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [17.03.2006 09:31]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [17.03.2006 09:31]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [24.02.2004 16:35]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [01.04.2008 20:49]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 07:52]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [28.01.2008 11:43]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [30.05.2008 15:54]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{62D6DDA7-8FE9-47F1-B8E9-D1D0D3D9FF3A}"= C:\WINDOWS\system32\ddcAroLD.dll [13.07.2008 12:26 32256]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcAroLD] 
ddcAroLD.dll 13.07.2008 12:26 32256 C:\WINDOWS\system32\ddcAroLD.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy] 
C:\WINDOWS\System32\dimsntfy.dll 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Creative Detector"=C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CTDVDDET"="C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
"UpdReg"=C:\WINDOWS\UpdReg.EXE
"nwiz"=nwiz.exe /install
"Adobe Photo Downloader"="C:\Programme\Adobe\Adobe Photoshop Lightroom\apdproxy.exe"
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs	eaphost
dot3svc	dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
napagent
hkmsvc

-- Hosts -----------------------------------------------------------------------

127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
127.0.0.1	032439.com

8756 more entries in hosts file.

-- End of Deckard's System Scanner: finished at 2008-07-13 16:25:43 ------------
         

Alt 13.07.2008, 15:47   #7
drx
 
Bitte mal Logfile prüfen, ist der Trojaner noch da ? - Standard

Bitte mal Logfile prüfen, ist der Trojaner noch da ?



EXTRA:

Code:
ATTFilter
 Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 3.0
Architecture: X86; Language: German

CPU 0: AMD Athlon(TM) XP 2700+
Percentage of Memory in Use: 38%
Physical Memory (total/avail): 1023.52 MiB / 627.31 MiB
Pagefile Memory (total/avail): 2462.91 MiB / 2105.56 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1906.72 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 232.88 GiB total, 213.4 GiB free. 
D: is Fixed (NTFS) - 74.52 GiB total, 65.59 GiB free. 
E: is CDROM (UDF)
F: is CDROM (No Media)
G: is Removable (No Media)
H: is Removable (No Media)
I: is Removable (FAT)

\\.\PHYSICALDRIVE0 - MAXTOR 4K080H4 - 74.53 GiB - 1 partition
  \PARTITION0 (bootable) - Installierbares Dateisystem - 74.52 GiB - D:

\\.\PHYSICALDRIVE1 - SAMSUNG SP2504C SCSI Disk Device - 232.88 GiB - 1 partition
  \PARTITION0 - Installierbares Dateisystem - 232.88 GiB - C:

\\.\PHYSICALDRIVE2 - eUSB Compact Flash USB Device

\\.\PHYSICALDRIVE3 - eUSB SD-MS-SM USB Device

\\.\PHYSICALDRIVE4 - USB 2.0 (HS) Flash Disk USB Device - 1945.37 MiB - 1 partition
  \PARTITION0 - 16-Bit FAT - 1946.84 MiB - I:



-- Security Center -------------------------------------------------------------

AUOptions is disabled.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=WELTHERRSCHAFT
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Administrator
LOGONSERVER=\\WELTHERRSCHAFT
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0801
ProgramFiles=C:\Programme
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
TMP=C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
USERDOMAIN=WELTHERRSCHAFT
USERNAME=Administrator
USERPROFILE=C:\Dokumente und Einstellungen\Administrator
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

Administrator (admin)


-- Add/Remove Programs ---------------------------------------------------------

 --> "C:\Programme\Creative\Sound Blaster X-Fi\Program\SETUP.EXE" /S /U /W /L:GER
 --> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
 --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{06E3E953-0570-4DFF-A7B5-46114C390228}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{06E3E953-0570-4DFF-A7B5-46114C390228}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0B095086-7205-4D48-90DF-DCD16613C6D4}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0B095086-7205-4D48-90DF-DCD16613C6D4}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0E5AA361-4B16-4282-B639-9E5B2B6A2EC8}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0E5AA361-4B16-4282-B639-9E5B2B6A2EC8}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{103BCDA0-E063-46AC-8028-64E78722ABA7}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{103BCDA0-E063-46AC-8028-64E78722ABA7}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{17E96A7F-AFE3-4171-87B1-583E376319E8}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{17E96A7F-AFE3-4171-87B1-583E376319E8}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1EF644C7-1A0D-4B94-9AF5-AD04702094A4}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1EF644C7-1A0D-4B94-9AF5-AD04702094A4}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{25E6EB3A-F696-41AB-96B6-D76ECE6446BF}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{25E6EB3A-F696-41AB-96B6-D76ECE6446BF}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2616B36E-38CE-4357-8AB5-8B3EE9B1C117}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2616B36E-38CE-4357-8AB5-8B3EE9B1C117}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{32903944-19A2-418C-901D-4BBAF4C55ABA}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{32903944-19A2-418C-901D-4BBAF4C55ABA}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{44267176-A318-447F-A62A-0A5FD608C34F}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{44267176-A318-447F-A62A-0A5FD608C34F}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4D8AA0B4-E890-4BF7-A9D1-8E63027E76D3}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4D8AA0B4-E890-4BF7-A9D1-8E63027E76D3}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{569A9538-86EC-44C3-8EE4-C68B165F2A75}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{569A9538-86EC-44C3-8EE4-C68B165F2A75}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6349CEE9-19F2-49D9-AC9D-B0350E3CBDB1}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6349CEE9-19F2-49D9-AC9D-B0350E3CBDB1}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6BF90A01-FA3F-42B9-A071-7D744409967E}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6BF90A01-FA3F-42B9-A071-7D744409967E}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{73919E2B-725C-4FAA-8473-45E063A3575F}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{73919E2B-725C-4FAA-8473-45E063A3575F}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7AFFF09F-386B-4F7A-B3E0-EC24C13893AA}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7AFFF09F-386B-4F7A-B3E0-EC24C13893AA}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{836612F0-1571-4C65-A4B7-58A39AA578EE}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{836612F0-1571-4C65-A4B7-58A39AA578EE}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8A3F2ADE-DEF2-4A50-866A-6B9357B5590F}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8A3F2ADE-DEF2-4A50-866A-6B9357B5590F}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8B026740-A400-48FF-8F6B-B37C4F61C937}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8B026740-A400-48FF-8F6B-B37C4F61C937}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A82F10CB-18B5-4EAC-AEF2-FA49CD565626}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B20EB9BE-3795-47BA-BDD6-889593E8FD55}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B20EB9BE-3795-47BA-BDD6-889593E8FD55}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B49BCFF0-64CC-4E0E-AD9D-91BFBD344BAE}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B49BCFF0-64CC-4E0E-AD9D-91BFBD344BAE}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B5AF6143-E738-4768-A5E6-C07C68A464A4}\setup.exe" -l0x9 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B5AF6143-E738-4768-A5E6-C07C68A464A4}\setup.exe" -l0x9  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B8DA9EB2-DBEF-4F0A-B90A-45B77D9E65B2}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B8DA9EB2-DBEF-4F0A-B90A-45B77D9E65B2}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BD6928A2-9F8F-4AA7-9A3A-FD4A271712EE}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BD6928A2-9F8F-4AA7-9A3A-FD4A271712EE}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C229589D-CC1A-43FF-9507-CDED3AB85325}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C229589D-CC1A-43FF-9507-CDED3AB85325}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CB99E420-8071-48F9-9567-4A53BE7569C4}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CB99E420-8071-48F9-9567-4A53BE7569C4}\setup.exe" -l0x7  /remove
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D8A544F4-AC5F-4B67-9C74-F3E976798797}\setup.exe" -l0x7 
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D8A544F4-AC5F-4B67-9C74-F3E976798797}\setup.exe" -l0x7  /remove
 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Acrobat.com --> C:\Programme\Gemeinsame Dateien\Adobe AIR\Versions\1.0\Adobe AIR Application Installer.exe -uninstall com.adobe.mauby 4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
Acrobat.com --> MsiExec.exe /I{77DCDCE3-2DED-62F3-8154-05E745472D07}
Ad-Aware --> MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe AIR --> C:\Programme\Gemeinsame Dateien\Adobe AIR\Versions\1.0\Adobe AIR Updater.exe -arp:uninstall
Adobe AIR --> MsiExec.exe /I{00203668-8170-44A0-BE44-B632FA4D780F}
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Photoshop Lightroom --> MsiExec.exe /I{CBCDEDF3-A2E5-4402-8E9E-E2C23DBE1DA8}
Adobe Reader 9 --> MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A90000000001}
AnyDVD --> "C:\Programme\SlySoft\AnyDVD\AnyDVD-uninst.exe" /D="C:\Programme\SlySoft\AnyDVD"
Avira AntiVir Personal – Free Antivirus --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"
CloneDVD2OEM --> "C:\Programme\Elaborate Bytes\CloneDVD2OEM\CloneDVD2OEM-uninst.exe" /D="C:\Programme\Elaborate Bytes\CloneDVD2OEM"
Creative MediaSource --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2E0C1913-886B-4C5C-8DAF-D1E649CE5FCC}\SETUP.EXE" -l0x7  /remove
Diablo II --> C:\WINDOWS\DIIUnin.exe C:\WINDOWS\DIIUnin.dat
EAX Unified --> C:\WINDOWS\IsUninst.exe -f"C:\Programme\Creative\EAX Unified\Uninst.isu"
Google Earth --> MsiExec.exe /I{97C0EA4A-1A0B-4C53-ACEB-49984DA79C90}
GUILD WARS --> "C:\Programme\GUILD WARS\Gw.exe" -uninstall
GuildWars Visions v1.08 --> "C:\Programme\Visions\unins000.exe"
HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Mafia --> c:\program files\Mafia\MafiaSetup.exe
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Mozilla Firefox (3.0) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mp3tag v2.41 --> C:\Programme\Mp3tag\Mp3tagUninstall.EXE
Nero Suite --> C:\Programme\Gemeinsame Dateien\Nero\Uninstall\setupx.exe /uninstall ExtraUninstallID=""
NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI
RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Sicherheitsupdate für Windows XP (KB950759) --> "C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760) --> "C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762) --> "C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376) --> "C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698) --> "C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Skype™ 3.8 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Sound Blaster X-Fi --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{18F11181-EA1A-42AE-AF89-4867C7F7A6FA}\SETUP.EXE" -l0x7  /remove
Spelling Dictionaries Support For Adobe Reader 9 --> MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe"
Sygate Personal Firewall --> MsiExec.exe /X{F860F390-78F4-4B45-8C1A-0489618E315B}
TuneUp Utilities 2008 --> MsiExec.exe /I{5888428E-699C-4E71-BF71-94EE06B497DA}
Universal SCSI Controller --> MsiExec.exe /I{35A501AD-C538-4286-9A45-AAF5514A482D}
VIA Integrated Setup Wizard --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{9497EBAA-87AD-41E6-8ED6-E1E52995A76C} 
VideoLAN VLC media player 0.8.6h --> C:\Programme\VideoLAN\VLC\uninstall.exe
Winamp --> "C:\Programme\Winamp\UninstWA.exe"
Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR --> C:\Programme\WinRAR\uninstall.exe


-- Application Event Log -------------------------------------------------------

Event Record #/Type583 / Error
Event Submitted/Written: 07/13/2008 00:17:27 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung game.exe, Version 1.0.0.0, fehlgeschlagenes Modul ls3df.dll, Version 0.0.0.0, Fehleradresse 0x0005ac2e.
Das medienspezifische Ereignis für [game.exe!ws!] wird verarbeitet.

Event Record #/Type573 / Warning
Event Submitted/Written: 07/13/2008 11:57:11 AM
Event ID/Source: 1524 / Userenv
Event Description:
Die Klassenregistrierungsdatei kann nicht entladen werden, da sie weiterhin von anderen Anwendungen bzw. Diensten verwendet wird. Die Datei wird entladen, wenn sie nicht mehr verwendet wird.

Event Record #/Type572 / Error
Event Submitted/Written: 07/13/2008 11:33:21 AM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung game.exe, Version 1.0.0.0, fehlgeschlagenes Modul ls3df.dll, Version 0.0.0.0, Fehleradresse 0x0005ac2e.
Das medienspezifische Ereignis für [game.exe!ws!] wird verarbeitet.

Event Record #/Type526 / Error
Event Submitted/Written: 07/11/2008 09:59:53 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung game.exe, Version 1.0.0.0, fehlgeschlagenes Modul ls3df.dll, Version 0.0.0.0, Fehleradresse 0x0005ac2e.
Das medienspezifische Ereignis für [game.exe!ws!] wird verarbeitet.

Event Record #/Type501 / Error
Event Submitted/Written: 07/10/2008 01:24:09 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung game.exe, Version 1.0.0.0, fehlgeschlagenes Modul ls3df.dll, Version 0.0.0.0, Fehleradresse 0x0005ac2e.
Das medienspezifische Ereignis für [game.exe!ws!] wird verarbeitet.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type2278 / Warning
Event Submitted/Written: 07/13/2008 03:21:30 PM
Event ID/Source: 1007 / Dhcp
Event Description:
Die IP-Adresse für die Netzwerkkarte mit der Netzwerkadresse 00112FCD69EE
wurde automatisch durch diesen Computer konfiguriert. Die verwendete IP-Adresse ist 169.254.18.110.

Event Record #/Type2257 / Warning
Event Submitted/Written: 07/13/2008 02:19:11 PM
Event ID/Source: 1007 / Dhcp
Event Description:
Die IP-Adresse für die Netzwerkkarte mit der Netzwerkadresse 00112FCD69EE
wurde automatisch durch diesen Computer konfiguriert. Die verwendete IP-Adresse ist 169.254.18.110.

Event Record #/Type2236 / Warning
Event Submitted/Written: 07/13/2008 01:49:45 PM
Event ID/Source: 1007 / Dhcp
Event Description:
Die IP-Adresse für die Netzwerkkarte mit der Netzwerkadresse 00112FCD69EE
wurde automatisch durch diesen Computer konfiguriert. Die verwendete IP-Adresse ist 169.254.18.110.

Event Record #/Type2215 / Warning
Event Submitted/Written: 07/13/2008 01:12:05 PM
Event ID/Source: 1007 / Dhcp
Event Description:
Die IP-Adresse für die Netzwerkkarte mit der Netzwerkadresse 00112FCD69EE
wurde automatisch durch diesen Computer konfiguriert. Die verwendete IP-Adresse ist 169.254.18.110.

Event Record #/Type2189 / Warning
Event Submitted/Written: 07/13/2008 00:36:17 PM
Event ID/Source: 1007 / Dhcp
Event Description:
Die IP-Adresse für die Netzwerkkarte mit der Netzwerkadresse 00112FCD69EE
wurde automatisch durch diesen Computer konfiguriert. Die verwendete IP-Adresse ist 169.254.18.110.



-- End of Deckard's System Scanner: finished at 2008-07-13 16:25:43 ------------
         

Alt 13.07.2008, 15:48   #8
drx
 
Bitte mal Logfile prüfen, ist der Trojaner noch da ? - Standard

Bitte mal Logfile prüfen, ist der Trojaner noch da ?



und hier das Ergebnis von Virustotal:

Code:
ATTFilter
 Datei ddcAroLD.dll empfangen 2008.07.13 13:44:13 (CET)
Status: Beendet
Ergebnis: 10/30 (33.33%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	- 	- 	-
AntiVir 	- 	- 	-
Authentium 	- 	- 	-
Avast 	- 	- 	-
AVG 	- 	- 	Generic10.BCER
BitDefender 	- 	- 	-
CAT-QuickHeal 	- 	- 	-
ClamAV 	- 	- 	-
DrWeb 	- 	- 	-
eTrust-Vet 	- 	- 	-
Ewido 	- 	- 	-
F-Prot 	- 	- 	W32/Virtumonde.P.gen!Eldorado
F-Secure 	- 	- 	-
Fortinet 	- 	- 	-
GData 	- 	- 	Trojan.Win32.Monder.gen
Ikarus 	- 	- 	Trojan.Win32.Monder
McAfee 	- 	- 	-
Microsoft 	- 	- 	Trojan:Win32/Vundo.gen!P
NOD32v2 	- 	- 	-
Norman 	- 	- 	-
Panda 	- 	- 	Suspicious file
Prevx1 	- 	- 	Malicious Software
Rising 	- 	- 	-
Sophos 	- 	- 	Troj/Virtum-Gen
Sunbelt 	- 	- 	-
Symantec 	- 	- 	-
TheHacker 	- 	- 	-
TrendMicro 	- 	- 	PAK_Generic.001
VirusBuster 	- 	- 	-
Webwasher-Gateway 	- 	- 	Win32.UPXpacked.gen!88 (suspicious)
weitere Informationen
MD5: 5e38e61e9db6e60047d2981cb887e08d
SHA1: 5f0ee11c8938f4849e2e24f81dc44824ab34fc45
SHA256: f964e55643d28f5e4a35a5878a141fe60019aea12a81a4167a563724095b7cd2
SHA512: 82ce79fce5b4cc9423a1018657bbbf90446484f87f4ce2284cc438ddd3c84486ebcda5397e263d3fcb5fc54d0f4c5a8fe0a427b216a2fb5fb912d4b59ea6d2fc
         
uff

Alt 13.07.2008, 16:11   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte mal Logfile prüfen, ist der Trojaner noch da ? - Cool

Bitte mal Logfile prüfen, ist der Trojaner noch da ?



Von der Sygate solltest Du Dich verabschieden, die wird schon seit einigen Jahren nicht mehr supportet - Windows-Firewall reicht dicke. Noch besser wäre das Verwenden eines Routers (Hardware-Firewall) wenn nicht schon vorhanden.

Einige Sachen müssen gelöscht werden, geh dazu wie folgt vor:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Code:
ATTFilter
files to delete:
C:\WINDOWS\system32\ddcAroLD.dll
C:\WINDOWS\system32\wvUlLbAS.dll

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{62D6DDA7-8FE9-47F1-B8E9-D1D0D3D9FF3A}
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\ddcAroLD

drivers to delete:
jbridgep
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Führ danach mal bitte Malwarebytes aus.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.07.2008, 16:34   #10
drx
 
Bitte mal Logfile prüfen, ist der Trojaner noch da ? - Standard

Bitte mal Logfile prüfen, ist der Trojaner noch da ?



Hab alles so gemacht wie beschrieben. Nach der Ausführung von Avenger und Neustart :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\ddcAroLD.dll" deleted successfully.
File "C:\WINDOWS\system32\wvUlLbAS.dll" deleted successfully.
Driver "jbridgep" deleted successfully.
Registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{62D6DDA7-8FE9-47F1-B8E9-D1D0D3D9FF3A}" deleted successfully.
Registry key "HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\ddcAroLD" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

dannach malwarebyte, konnte 2 infizierte Dateien finden und löschen:

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 944
Windows 5.1.2600 Service Pack 3

17:20:38 13.07.2008
mbam-log-7-13-2008 (17-20-33).txt

Scan Art: Schnell Scan
Objekte gescannt: 37342
Scan Dauer: 2 minute(s), 23 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{62d6dda7-8fe9-47f1-b8e9-d1d0d3d9ff3a} (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{62d6dda7-8fe9-47f1-b8e9-d1d0d3d9ff3a} (Trojan.Vundo) -> No action taken.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

dann neustart und nochmal malwarebyte:


Datenbank Version: 944
Windows 5.1.2600 Service Pack 3

17:29:22 13.07.2008
mbam-log-7-13-2008 (17-29-22).txt

Scan Art: Schnell Scan
Objekte gescannt: 37312
Scan Dauer: 3 minute(s), 2 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

ist mein system jetzt wieder ok ?
vielen Dank im voraus !

Alt 13.07.2008, 16:41   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte mal Logfile prüfen, ist der Trojaner noch da ? - Blinzeln

Bitte mal Logfile prüfen, ist der Trojaner noch da ?



Das sieht gut aus!
Mach nochmal nen Durchlauf mit DSS, Du brauchst nur das main.log zu posten.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.07.2008, 16:45   #12
drx
 
Bitte mal Logfile prüfen, ist der Trojaner noch da ? - Standard

Bitte mal Logfile prüfen, ist der Trojaner noch da ?



MAIN I:

Code:
ATTFilter
Deckard's System Scanner v20071014.68
Run by Administrator on 2008-07-13 17:42:16
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as Administrator.exe) ---------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:42:21, on 13.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\ADMINI~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8656036E-C8AD-4725-88EC-7889913C9F22}: NameServer = 62.109.123.7 213.191.92.86
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5785 bytes

-- Files created between 2008-06-13 and 2008-07-13 -----------------------------

2008-07-13 17:16:58         0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-13 16:34:29         0 d-------- C:\Programme\VirusTotalUploader
2008-07-13 14:27:45         0 d-------- C:\Programme\Trend Micro
2008-07-13 12:31:54         0 d-------- C:\WINDOWS\system32\appmgmt
2008-07-12 14:46:53         0 d-------- C:\Programme\Winamp
2008-07-12 12:05:57     11914 --a------ C:\WINDOWS\system32\drivers\wg3n.sys <Not Verified; Sygate Technologies, Inc.; Sygate WGXN>
2008-07-12 12:05:56     18518 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys <Not Verified; Sygate Technologies, Inc.; wpsdrvnt>
2008-07-12 12:05:56     55891 --a------ C:\WINDOWS\system32\drivers\Teefer.sys <Not Verified; Sygate Technologies, Inc.; Sygate Teefer Driver>
2008-07-12 12:05:50         0 d-------- C:\Programme\Sygate
2008-07-07 10:46:43        56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-07-07 10:42:34         0 d-------- C:\Programme\Skype
2008-07-07 10:42:34         0 d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-07-07 00:58:22         0 d-------- C:\Programme\SlySoft
2008-07-03 23:06:12         0 d-------- C:\Programme\Gemeinsame Dateien\Adobe AIR
2008-07-03 23:00:27         0 d-------- C:\WINDOWS\SxsCaPendDel
2008-07-03 22:54:23         0 d-------- C:\Programme\NOS
2008-07-03 11:07:31         0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-07-01 23:39:47         0 d-------- C:\Programme\Mp3tag
2008-06-30 16:35:18         0 d-------- C:\CloneDVDTemp
2008-06-30 15:12:11         0 d-------- C:\Programme\Elaborate Bytes
2008-06-29 22:27:26         0 d-------- C:\Programme\Google
2008-06-28 17:05:20         0 d-------- C:\Programme\Lavasoft
2008-06-28 16:40:55         0 d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-06-28 16:40:39         0 d-------- C:\Program Files
2008-06-28 16:40:37         0 d-------- C:\Programme\Gemeinsame Dateien\Real
2008-06-28 16:26:00         0 d-------- C:\Programme\Visions
2008-06-28 13:26:49     43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-06-28 13:11:24    139264 --a------ C:\WINDOWS\system32\eax.dll <Not Verified; Creative Technology Ltd; EAX Unified>
2008-06-28 13:03:29         0 d-------- C:\Programme\Mafia
2008-06-28 13:03:16    233472 -ra------ C:\WINDOWS\system32\MafiaSetup.exe <Not Verified; ; MafiaInstallShield Application>
2008-06-28 12:23:20         0 d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-06-28 12:22:09         0 d-------- C:\Programme\Gemeinsame Dateien\LightScribe
2008-06-28 12:17:54    106496 --a------ C:\WINDOWS\system32\TwnLib20.dll <Not Verified; Pegasus Software; TWNLIB20>
2008-06-28 12:17:49    471040 -----n--- C:\WINDOWS\system32\ImagXRA7.dll <Not Verified; Pegasus Imaging Corp.; ImagXpress7>
2008-06-28 12:17:49    262144 -----n--- C:\WINDOWS\system32\ImagXR7.dll <Not Verified; Pegasus Imaging Corp.; ImagXpress7>
2008-06-28 12:17:49   1568768 -----n--- C:\WINDOWS\system32\ImagX7.dll <Not Verified; Pegasus Imaging Corp.; ImagXpress7>
2008-06-28 12:17:48    155648 --a------ C:\WINDOWS\system32\NeroCheck.exe <Not Verified; Ahead Software Gmbh; Ahead Software Gmbh NeroCheck>
2008-06-28 12:17:44         0 d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-06-28 12:17:43         0 d-------- C:\Programme\Ahead
2008-06-28 03:59:28         0 d-------- C:\WINDOWS\Prefetch
2008-06-28 03:53:58         0 d-------- C:\WINDOWS\system32\de-de
2008-06-28 03:53:56         0 d-------- C:\WINDOWS\system32\de
2008-06-28 03:53:56         0 d-------- C:\WINDOWS\l2schemas
2008-06-28 03:53:55         0 d-------- C:\WINDOWS\system32\bits
2008-06-28 03:50:39         0 d-------- C:\WINDOWS\ServicePackFiles
2008-06-28 03:48:41         0 d-------- C:\WINDOWS\network diagnostic
2008-06-28 03:31:36         0 d--h----- C:\WINDOWS\$hf_mig$
2008-06-28 02:22:38         0 d-------- C:\Programme\GUILD WARS
2008-06-28 01:26:48     21840 --a-----t C:\WINDOWS\system32\SIntfNT.dll
2008-06-28 01:26:48     17212 --a-----t C:\WINDOWS\system32\SIntf32.dll
2008-06-28 01:26:48     12067 --a-----t C:\WINDOWS\system32\SIntf16.dll
2008-06-28 01:21:26     33288 --a------ C:\WINDOWS\DIIUnin.dat
2008-06-28 01:21:24      2829 --a------ C:\WINDOWS\DIIUnin.pif
2008-06-28 01:21:24    102400 --a------ C:\WINDOWS\DIIUnin.exe <Not Verified; Blizzard Entertainment; DIABLO II-Deinstallationsprogramm>
2008-06-28 01:15:13         0 d-------- C:\Programme\Diablo II
2008-06-28 01:06:05         0 d-------- C:\WINDOWS\nview
2008-06-28 01:05:36         0 d-------- C:\NVIDIA
2008-06-28 00:59:48         0 d-------- C:\WINDOWS\OemDir
2008-06-28 00:59:39         0 d-------- C:\WINDOWS
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\WinSxS
2008-06-28 00:59:39         0 dr------- C:\WINDOWS\Web
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\twain_32
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\wins
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\wbem
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\usmt
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\spool
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\ShellExt
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\Setup
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\ras
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\oobe
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\npp
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\mui
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\inetsrv
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\IME
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\icsxml
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\ias
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\export
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\drivers
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\drivers\etc
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\drivers\disdn
2008-06-28 00:59:39         0 dr-hs--c- C:\WINDOWS\system32\dllcache
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\dhcp
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\config
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\3com_dmi
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\3076
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\2052
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\1054
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\1042
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\1041
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\1037
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\1033
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\1031
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\1028
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system32\1025
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\system
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\security
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Resources
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\repair
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Provisioning
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\PeerNet
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\pchealth
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\mui
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\msapps
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\msagent
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Media
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\java
2008-06-28 00:59:39         0 d--h----- C:\WINDOWS\inf
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\ime
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Help
2008-06-28 00:59:39         0 dr--s---- C:\WINDOWS\Fonts
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\ehome
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Driver Cache
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Debug
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Cursors
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Connection Wizard
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\Config
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\AppPatch
2008-06-28 00:59:39         0 d-------- C:\WINDOWS\addins
2008-06-28 00:41:35         0 d-------- C:\Programme\VIA
2008-06-28 00:40:49    306688 --a------ C:\WINDOWS\IsUninst.exe <Not Verified; InstallShield Software Corporation; InstallShield® unInstaller>
2008-06-28 00:40:19      5824 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
2008-06-28 00:13:10         0 d-------- C:\Programme\TuneUp Utilities 2008
2008-06-28 00:12:45         0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-28 00:10:06         0 d-------- C:\Programme\Avira
2008-06-28 00:09:17         0 d-------- C:\Programme\Yahoo!
2008-06-28 00:09:12         0 d-------- C:\Programme\CCleaner
2008-06-28 00:07:09      1536 --a------ C:\WINDOWS\system32\TrueSoft.dat
2008-06-28 00:07:07       456 --a------ C:\WINDOWS\system32\pthsp.dat
2008-06-28 00:06:04         0 d--hs---- C:\WINDOWS\Installer
2008-06-28 00:06:04         0 d-------- C:\Programme\Gemeinsame Dateien\ODBC
2008-06-28 00:06:02         0 dr------- C:\Programme
2008-06-28 00:06:02         0 d-------- C:\Programme\Gemeinsame Dateien
2008-06-28 00:06:02         0 d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2008-06-28 00:05:36         0 d-------- C:\WINDOWS\system32\CatRoot2
2008-06-28 00:05:36         0 d-------- C:\WINDOWS\system32\CatRoot
2008-06-28 00:05:16         0 d-------- C:\Dokumente und Einstellungen
2008-06-28 00:05:15         0 d--hs---- C:\System Volume Information
2008-06-28 00:02:46         0 d-------- C:\WINDOWS\system32\ReinstallBackups
2008-06-28 00:01:44         0 d-------- C:\Programme\VideoLAN
2008-06-28 00:00:19      4212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-06-28 00:00:16     11264 --a------ C:\WINDOWS\system32\SpOrder.dll <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(TM) Operating System>
2008-06-27 23:59:31         0 d-------- C:\WINDOWS\Internet Logs
2008-06-27 23:49:10         0 --a------ C:\WINDOWS\nsreg.dat
2008-06-27 23:37:07     41984 -----n--- C:\WINDOWS\Ctregrun.exe <Not Verified; Creative Technology Ltd; Creative On-line Registration System>
2008-06-27 23:36:38     25088 -----n--- C:\WINDOWS\system32\CTSVCCTL.EXE <Not Verified; Creative Technology Ltd; Creative Service Control>
2008-06-27 23:36:38     44032 -----n--- C:\WINDOWS\system32\CTSVCCDA.EXE <Not Verified; Creative Technology Ltd; Creative Service for CDROM Access>
2008-06-27 23:35:35    233472 --a------ C:\WINDOWS\system32\wrap_oal.dll <Not Verified; Creative Labs; Creative Labs OpenAL32>
2008-06-27 23:34:47         0 d-------- C:\WINDOWS\system32\Data
2008-06-27 23:34:47     24576 --a------ C:\WINDOWS\CTXFIGER.DLL <Not Verified; ; CTxfiRes Dynamic Link Library>
2008-06-27 23:34:47     11264 --a------ C:\WINDOWS\CTDCRGER.DLL <Not Verified; Creative Technology Ltd; Creative Audio Product>
2008-06-27 23:33:14     77824 -----n--- C:\WINDOWS\system32\ctdvda32.dll <Not Verified; Creative Technology Ltd; Creative DVD-Audio Product>
2008-06-27 23:32:18         0 d-------- C:\WINDOWS\RegisteredPackages
2008-06-27 23:32:13         0 d-------- C:\Programme\Creative
2008-06-27 23:31:07         0 d--h----- C:\Programme\InstallShield Installation Information
2008-06-27 23:31:05         0 d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-06-27 23:23:28         0 d-------- C:\WINDOWS\SoftwareDistribution
2008-06-27 23:22:16         0 d---s---- C:\WINDOWS\system32\Microsoft
2008-06-27 23:13:53         0 d-------- C:\WINDOWS\system32\xircom
2008-06-27 23:13:53         0 d-------- C:\Programme\microsoft frontpage
2008-06-27 23:13:31         0 -rahs---- C:\MSDOS.SYS
2008-06-27 23:13:31         0 -rahs---- C:\IO.SYS
2008-06-27 23:13:31         0 --a------ C:\CONFIG.SYS
2008-06-27 23:13:31         0 --a------ C:\AUTOEXEC.BAT
2008-06-27 23:12:40         0 dr------- C:\WINDOWS\Offline Web Pages
2008-06-27 23:12:40         0 d---s---- C:\WINDOWS\Downloaded Program Files
2008-06-27 23:12:34         0 d--h----- C:\Programme\WindowsUpdate
2008-06-27 23:12:33         0 d-------- C:\Programme\Online-Dienste
2008-06-27 23:12:23         0 d-------- C:\WINDOWS\system32\DirectX
2008-06-27 23:12:01         0 d-------- C:\Programme\Gemeinsame Dateien\Dienste
2008-06-27 23:11:59         0 d---s---- C:\WINDOWS\Tasks
2008-06-27 23:11:59         0 d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2008-06-27 23:11:56         0 d-------- C:\WINDOWS\system32\Macromed
2008-06-27 23:11:56         0 d-------- C:\WINDOWS\srchasst
2008-06-27 23:11:51         0 d-------- C:\Programme\Movie Maker
2008-06-27 23:11:45         0 d-------- C:\WINDOWS\system32\Restore
2008-06-27 23:11:13     21740 --a------ C:\WINDOWS\system32\emptyregdb.dat
2008-06-27 23:11:10         0 d-------- C:\WINDOWS\Registration
2008-06-27 23:11:09         0 d-------- C:\Programme\Online Services
2008-06-27 23:11:06         0 d-------- C:\Programme\Messenger
2008-06-27 23:11:03         0 d-------- C:\Programme\MSN Gaming Zone
2008-06-27 23:10:38         0 d-------- C:\Programme\Windows NT
2008-06-27 23:10:37     44544 --a------ C:\WINDOWS\system32\tscupgrd.exe <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®>
2008-06-27 23:10:36         0 d-------- C:\WINDOWS\system32\MsDtc
2008-06-27 23:10:35         0 d-------- C:\WINDOWS\system32\Com
         

Alt 13.07.2008, 16:47   #13
drx
 
Bitte mal Logfile prüfen, ist der Trojaner noch da ? - Standard

Bitte mal Logfile prüfen, ist der Trojaner noch da ?



MAIN II:

Code:
ATTFilter
-- Find3M Report ---------------------------------------------------------------

2008-07-13 17:41:36         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-07-13 17:17:00         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-07-13 16:00:47         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM
2008-07-13 12:20:48         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Engelmann Media
2008-07-12 14:51:32         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp
2008-07-10 11:58:59         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Smart Recorder
2008-07-08 20:18:08         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss
2008-07-03 23:07:50         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
2008-07-03 23:07:49         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe
2008-07-01 23:40:10         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mp3tag
2008-06-29 22:29:04         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Google
2008-06-29 13:02:03         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia
2008-06-28 16:43:11         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Real
2008-06-28 04:01:47    316594 --a------ C:\WINDOWS\system32\perfh007.dat
2008-06-28 04:01:47     48156 --a------ C:\WINDOWS\system32\perfc007.dat
2008-06-28 02:22:24         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WinRAR
2008-06-28 00:37:54         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Creative
2008-06-28 00:13:23         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-06-28 00:05:47        62 --ahs---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\desktop.ini
2008-06-28 00:02:03         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2008-06-27 23:49:09         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla
2008-06-27 23:23:44         0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Identities


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
11.06.2008 22:33	75128	--a------	C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RCSystem"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [16.06.2005 18:25]
"AudioDrvEmulator"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [16.06.2005 18:25]
"VolPanel"="C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" [11.07.2005 11:34]
"CTHelper"="CTHELPER.EXE" [08.08.2005 08:10 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [08.08.2005 08:10 C:\WINDOWS\system32\CTXFIHLP.EXE]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12.02.2008 10:06]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [17.03.2006 09:31]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [17.03.2006 09:31]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [24.02.2004 16:35]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [01.04.2008 20:49]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 07:52]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [28.01.2008 11:43]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [30.05.2008 15:54]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy] 
C:\WINDOWS\System32\dimsntfy.dll 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Creative Detector"=C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CTDVDDET"="C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
"UpdReg"=C:\WINDOWS\UpdReg.EXE
"nwiz"=nwiz.exe /install
"Adobe Photo Downloader"="C:\Programme\Adobe\Adobe Photoshop Lightroom\apdproxy.exe"
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs	eaphost
dot3svc	dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
napagent
hkmsvc




-- End of Deckard's System Scanner: finished at 2008-07-13 17:44:34 ------------
         

Alt 13.07.2008, 16:50   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte mal Logfile prüfen, ist der Trojaner noch da ? - Ausrufezeichen

Bitte mal Logfile prüfen, ist der Trojaner noch da ?



Ähm moment, Du solltest mit Malwarebytes eigentlich einen vollen und keinen schnellen Scan machen. Hol das bitte nach!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.07.2008, 16:52   #15
drx
 
Bitte mal Logfile prüfen, ist der Trojaner noch da ? - Standard

Bitte mal Logfile prüfen, ist der Trojaner noch da ?



Das mach ich dann morgen muss jetzt leider zur Arbeit
ich poste dann das Ergebnis von Malwarebyte morgen früh. Nochmals vielen Dank für deine Hilfe und schönen Sonntag noch.
Viele Grüße

Antwort

Themen zu Bitte mal Logfile prüfen, ist der Trojaner noch da ?
ad-aware, administrator, adobe, antivirus, avg, avira, bho, dll, einstellungen, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, logfile, neustart, nvidia, pop-up-blocker, prüfen, rundll, scan, software, system, temp, trojaner, tuneup.defrag, urlsearchhook, windows xp, windows xp sp3, xp sp3, yahoo




Ähnliche Themen: Bitte mal Logfile prüfen, ist der Trojaner noch da ?


  1. logfile bitte mal prüfen / trojaner???hilfe
    Log-Analyse und Auswertung - 31.05.2009 (0)
  2. Logfile bitte prüfen
    Log-Analyse und Auswertung - 16.04.2009 (0)
  3. Bitte Logfile prüfen
    Log-Analyse und Auswertung - 04.07.2008 (8)
  4. Bitte Logfile prüfen
    Log-Analyse und Auswertung - 04.05.2008 (7)
  5. Bitte mal das Logfile prüfen!
    Log-Analyse und Auswertung - 31.08.2007 (1)
  6. eventuell noch virus? bitte prüfen
    Log-Analyse und Auswertung - 07.09.2006 (6)
  7. Bitte LogFile prüfen
    Mülltonne - 27.05.2006 (1)
  8. Bitte Logfile prüfen!!!
    Log-Analyse und Auswertung - 22.01.2006 (1)
  9. Bitte logfile prüfen
    Log-Analyse und Auswertung - 06.10.2005 (2)
  10. Bitte log prüfen (werd noch verückt)
    Log-Analyse und Auswertung - 02.10.2005 (11)
  11. Bitte Logfile prüfen
    Log-Analyse und Auswertung - 03.03.2005 (15)
  12. bitte logfile prüfen
    Log-Analyse und Auswertung - 22.02.2005 (2)
  13. Bitte mal logfile prüfen !!!!
    Log-Analyse und Auswertung - 02.02.2005 (6)
  14. bitte,bitte einmal meine logfile prüfen
    Log-Analyse und Auswertung - 26.01.2005 (4)
  15. trojaner ? bitte logfile prüfen
    Log-Analyse und Auswertung - 13.01.2005 (3)
  16. Noch mal Logfile prüfen!
    Log-Analyse und Auswertung - 16.10.2004 (1)
  17. Bitte 2. Logfile prüfen
    Log-Analyse und Auswertung - 29.06.2004 (4)

Zum Thema Bitte mal Logfile prüfen, ist der Trojaner noch da ? - Hallo, meine sygate-firewall bringt seit heute die Meldung das der WindowsExplorer eine Verbindung zu "acidisa.com. herstellen möchte. beim ersten Scan mit Spybot wurde ein Virtumonde-Trojaner ( C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\removalfile.bat - Bitte mal Logfile prüfen, ist der Trojaner noch da ?...
Archiv
Du betrachtest: Bitte mal Logfile prüfen, ist der Trojaner noch da ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.