Trojaner+Antivirus2008 auf Rechner meines Vaters

Ghost1975 · 19.07.2008, 17:42

Hallo Leute

den PC meines Vaters hat es vor einigen Tagen mit Viren und Trojanern erwischt.
Er hatte (auf einmal)dieses tolle Antivirus2008 drauf,das ich natürlich sofort Deinstalliert habe,Virenscanner und A-squaredfree geupdatet und durchlaufen gelassen(Vorher Sys-Wiederherstellung deaktiviert).
Dann noch mit CC-Cleaner das System Gereinigt und einige Rootkitsuchprogramme Durchlaufen lassen.
Allerdings bekomme ich noch immer von Outpost die Meldung das Versucht wird eine Hostdatei zu ändern.(Hat mir mein Vater am Telefon gesagt,kann leider nicht mehr dazu sagen)
Außerdem ist im Log-Viewer von Outpost mehrfach einige Warezseiten(lt Google) drin,die er Definitiv nicht besucht hat.
Hier ein Paar der Scanberichte damit ihr wisst um welche Trojaner es geht
und ihr mir sagen könnt was ich noch machen sollte um das System wieder sauber zu bekommen.

MfG

Ghost75

System:
Windows XP Home mit SP3 und allen Patches
Antivir als Virenschutz
Agnitum Outpost als Firewall
(kleiner Hinweis,die Kalender.exe ist ein Terminkalender den mein Vater schon seit 3-4Jahren nutzt)

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 17. Juli 2008 13:15

Es wird nach 1462565 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: **************
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: R***

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 17. Juli 2008 13:15

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '21' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Internet.RAINER-BC31F852\Lokale Einstellungen\Temp\lwpwer.exe
[0] Archivtyp: RAR SFX (self extracting)
--> sc.html
[FUND] Ist das Trojanische Pferd TR/Fakealert.TI.7
--> 0.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.WinAntiVirus.AC
--> 1.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.Agent.Y
--> 2.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.Agent.V
--> 3.exe
[FUND] Ist das Trojanische Pferd TR/PcHealth.1
--> 4.exe
[FUND] Ist das Trojanische Pferd TR/Agent.tyv
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ef2a69.qua' verschoben!
C:\Dokumente und Einstellungen\Internet.RAINER-BC31F852\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXIR41I3\4683lt[1].exe
[0] Archivtyp: RAR SFX (self extracting)
--> sc.html
[FUND] Ist das Trojanische Pferd TR/Fakealert.TI.7
--> 0.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.WinAntiVirus.AC
--> 1.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.Agent.Y
--> 2.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.Agent.V
--> 3.exe
[FUND] Ist das Trojanische Pferd TR/PcHealth.1
--> 4.exe
[FUND] Ist das Trojanische Pferd TR/Agent.tyv
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48b72a32.qua' verschoben!
C:\Dokumente und Einstellungen\Rainer\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\opr001EJ
[0] Archivtyp: GZ
--> unkwn
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/IFrame.55631
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f12abb.qua' verschoben!
Beginne mit der Suche in 'D:\' <Daten>

Ende des Suchlaufs: Donnerstag, 17. Juli 2008 13:40
Benötigte Zeit: 25:23 min

Der Suchlauf wurde vollständig durchgeführt.

2762 Verzeichnisse wurden überprüft
110741 Dateien wurden geprüft
13 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
110728 Dateien ohne Befall
638 Archive wurden durchsucht
2 Warnungen
3 Hinweise

****************************************************************
****************************************************************
****************************************************************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09:16, on 17.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Kalender\Kalender.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TRENDware\TEW444UB\ACU.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\a-squared Free\a2free.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\R*****\LOKALE~1\Temp\Rar$EX00.547\RunScanner.exe
C:\Programme\Trend Micro\HijackThis\x.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump

s_startup
O4 - HKCU\..\Run: [Kalender] C:\Programme\Kalender\Kalender.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 802.11g Wireless Client Utility.lnk = ?
O4 - Global Startup: Outpost Firewall.lnk = C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~2\wl_hook.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe

--
End of file - 4401 bytes

****************************************************************
****************************************************************
****************************************************************

Runscanner logfile h**p://www.runscanner.net

* = signed file
- = file not found

000 General info
----------------
Computer name : RAINER-BC31F852
Creation time : 17.07.2008 14:51:31
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 7.0.5730.13
OS : Microsoft Windows XP
OS Build : 2600
OS SP : Service Pack 3
RunScanner Version : 1.6.3.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\WINDOWS

001 Running processes
---------------------
c:\windows\system32\acs.exe
c:\programme\avira\antivir personaledition classic\avguard.exe (Avira GmbH)
c:\programme\avira\antivir personaledition classic\sched.exe (Avira GmbH)
c:\programme\avira\antivir personaledition classic\avgnt.exe (Avira GmbH)
* c:\windows\system32\services.exe (Microsoft Corporation)
* c:\windows\system32\alg.exe (Microsoft Corporation)
c:\programme\a-squared free\a2free.exe (Emsi Software GmbH)
c:\programme\a-squared free\a2service.exe (Emsi Software GmbH)
c:\programme\kalender\kalender.exe (Ulrich Krebs)
* c:\windows\system32\csrss.exe (Microsoft Corporation)
* c:\windows\system32\ctfmon.exe (Microsoft Corporation)
* c:\programme\mozilla firefox\firefox.exe (Mozilla Corporation)
* c:\programme\mozilla firefox\firefox.exe (Mozilla Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\lsass.exe (Microsoft Corporation)
c:\programme\agnitum\outpost firewall\outpost.exe (Agnitum Ltd.)
* c:\dokume~1\rainer\lokale~1\temp\rar$ex00.547\runscanner.exe (Runscanner.net)
* c:\dokume~1\rainer\lokale~1\temp\rar$ex06.265\runscanner.exe (Runscanner.net)
* c:\windows\system32\spoolsv.exe (Microsoft Corporation)
c:\programme\trendware\tew444ub\acu.exe (TRENDnet International, Inc.)
* c:\windows\explorer.exe (Microsoft Corporation)
* c:\windows\system32\winlogon.exe (Microsoft Corporation)
* c:\windows\system32\smss.exe (Microsoft Corporation)
c:\programme\winrar\winrar.exe

002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
c:\programme\avira\antivir personaledition classic\avgnt.exe (Avira GmbH)
c:\programme\agnitum\outpost firewall\feedback.exe (Agnitum Ltd.)

003 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
c:\programme\kalender\kalender.exe (Ulrich Krebs)

005 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
--------------------------------------------------------------------------
c:\progra~1\agnitum\outpos~2\outpost.exe (Agnitum Ltd.)
c:\progra~1\trendw~1\tew444ub\wlacu.exe

010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
-----------------------------------------------------
c:\programme\avira\antivir personaledition classic\avguard.exe (AntiVir PersonalEdition Classic Guard)
c:\programme\avira\antivir personaledition classic\sched.exe (AntiVir PersonalEdition Classic Planer)
c:\programme\a-squared free\a2service.exe (a-squared Free Service)
c:\windows\system32\acs.exe (Atheros Configuration Service)
c:\programme\agnitum\outpost firewall\outpost.exe (Outpost Firewall Service)

011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)
----------------------------------------------------
C:\WINDOWS\system32\drivers\mdc8021x.sys (AEGIS Protocol (IEEE 802.1x) v2.3.1.10)
C:\WINDOWS\system32\drivers\avgarkt.sys (AVG Anti-Rootkit)
C:\WINDOWS\system32\drivers\avgarcln.sys (Avg Anti-Rootkit Clean Driver)
* c:\programme\avira\antivir personaledition classic\avgio.sys (avgio)
* c:\programme\avira\antivir personaledition classic\avgntflt.sys (avgntflt)
* C:\WINDOWS\system32\drivers\avipbb.sys (avipbb)
- c:\windows\system32\drivers\changer.sys (Changer)
- c:\windows\system32\drivers\i2omgmt.sys (i2omgmt)
- c:\windows\system32\drivers\lbrtfdc.sys (lbrtfdc)
c:\programme\agnitum\outpost firewall\kernel\filtnt.sys (Outpost Firewall Kernel Driver)
c:\programme\agnitum\outpost firewall\kernel\adblock.dll (Outpost Firewall PlugIn (ADBLOCK.DLL))
c:\programme\agnitum\outpost firewall\kernel\arp.dll (Outpost Firewall PlugIn (ARP.DLL))
c:\programme\agnitum\outpost firewall\kernel\content.dll (Outpost Firewall PlugIn (CONTENT.DLL))
c:\programme\agnitum\outpost firewall\kernel\dnscache.dll (Outpost Firewall PlugIn (DNSCACHE.DLL))
c:\programme\agnitum\outpost firewall\kernel\ftpfilt.dll (Outpost Firewall PlugIn (FTPFILT.DLL))
c:\programme\agnitum\outpost firewall\kernel\htmlfilt.dll (Outpost Firewall PlugIn (HTMLFILT.DLL))
c:\programme\agnitum\outpost firewall\kernel\httpfilt.dll (Outpost Firewall PlugIn (HTTPFILT.DLL))
c:\programme\agnitum\outpost firewall\kernel\imapfilt.dll (Outpost Firewall PlugIn (IMAPFILT.DLL))
c:\programme\agnitum\outpost firewall\kernel\mailfilt.dll (Outpost Firewall PlugIn (MAILFILT.DLL))
c:\programme\agnitum\outpost firewall\kernel\nntpfilt.dll (Outpost Firewall PlugIn (NNTPFILT.DLL))
c:\programme\agnitum\outpost firewall\kernel\pop3filt.dll (Outpost Firewall PlugIn (POP3FILT.DLL))
c:\programme\agnitum\outpost firewall\kernel\protect.dll (Outpost Firewall PlugIn (PROTECT.DLL))
c:\programme\agnitum\outpost firewall\kernel\secret.dll (Outpost Firewall PlugIn (SECRET.DLL))
- c:\windows\system32\drivers\pcidump.sys (PCIDump)
- c:\windows\system32\drivers\pdcomp.sys (PDCOMP)
- c:\windows\system32\drivers\pdframe.sys (PDFRAME)
- c:\windows\system32\drivers\pdreli.sys (PDRELI)
- c:\windows\system32\drivers\pdrframe.sys (PDRFRAME)
C:\WINDOWS\system32\drivers\sis163u.sys (SiS 163 usb Wireless LAN Adapter Driver)
C:\WINDOWS\system32\drivers\ssmdrv.sys (ssmdrv)
* C:\WINDOWS\system32\drivers\truecrypt.sys (truecrypt)
- c:\windows\system32\drivers\wdica.sys (WDICA)
- c:\windows\system32\zdpndis5.sys (ZDPNDIS5 NDIS Protocol Driver)

030 HKLM\SOFTWARE\Classes\PROTOCOLS\Filter
------------------------------------------
C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}

035 HKLM-HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
------------------------------------------------------------------
c:\windows\system32\mscories.dll (Microsoft Corporation) {89B4C1CD-B018-4511-B0A1-5476DBF70820}

061 HKLM-HCKU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
---------------------------------------------------------------------------------
c:\programme\a-squared free\a2freecontmenu.dll (Emsi Software GmbH) {A155339D-CCCD-4714-85EB-3754B804C9DF}
- deskpan.dll {42071714-76d4-11d1-8b24-00a0c9068ff3}
c:\programme\microsoft office\office\soa800.dll (Microsoft Corporation) {BB7DF450-F119-11CD-8465-00AA00425D90}
c:\programme\microsoft office\office\unbind.dll (Microsoft Corporation) {59850401-6664-101B-B21C-00AA004BA90B}
c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\windows\system32\dfshim.dll (Microsoft Corporation) {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}
c:\windows\system32\dfshim.dll (Microsoft Corporation) {e82a2d71-5b2f-43a0-97b8-81be15854de8}
* c:\programme\tuneup utilities 2007\sdshelex-win32.dll (TuneUp Software GmbH) {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
* C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software GmbH) {44440D00-FF19-4AFC-B765-9A0970567D97}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

062 HKLM-HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
------------------------------------------------------------
c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}

073 %windir%\Tasks
------------------
1-Klick-Wartung.job : c:\programme\tuneup utilities 2007\systemoptimizer.exe (TuneUp Software GmbH)

100 Internet Explorer settings
------------------------------
Start Page HKCU : http://www.msn.com/

104 HKLM\Software\Microsoft\Code Store Database\Distribution Units
------------------------------------------------------------------
c:\programme\java\j2re1.4.1_02\bin\npjpi141_02.dll (JavaSoft / Sun Microsystems, Inc.) {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA}

121 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
--------------------------------------------------------------------------
c:\progra~1\agnitum\outpos~2\wl_hook.dll (Agnitum Ltd.)

173 HKCR\*\shellex\ContextMenuHandlers
--------------------------------------
c:\programme\agnitum\outpost firewall\op_shell.dll (Agnitum Ltd.) {33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}
c:\programme\camouflage\camshell.dll (Twisted Pear Productions) {29557489-990B-11D4-9413-004095490AD4}
c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
* c:\programme\tuneup utilities 2007\sdshelex-win32.dll (TuneUp Software GmbH) {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

221 HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
-------------------------------------------------------
c:\programme\agnitum\outpost firewall\op_shell.dll (Agnitum Ltd.) {33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}
c:\programme\camouflage\camshell.dll (Twisted Pear Productions) {29557489-990B-11D4-9413-004095490AD4}
c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
* c:\programme\tuneup utilities 2007\sdshelex-win32.dll (TuneUp Software GmbH) {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

223 HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
--------------------------------------------------------------------------
c:\programme\a-squared free\a2freecontmenu.dll (Emsi Software GmbH) {A155339D-CCCD-4714-85EB-3754B804C9DF}
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}

225 HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
------------------------------------------------------------
c:\programme\a-squared free\a2freecontmenu.dll (Emsi Software GmbH) {A155339D-CCCD-4714-85EB-3754B804C9DF}
c:\programme\a-squared free\a2freecontmenu.dll (Emsi Software GmbH) {A155339D-CCCD-4714-85EB-3754B804C9DF}
c:\programme\agnitum\outpost firewall\op_shell.dll (Agnitum Ltd.) {33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}
c:\programme\agnitum\outpost firewall\op_shell.dll (Agnitum Ltd.) {33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}
c:\progra~1\vso\imager~1\rszshell.dll (VSO Software) {2BB59FC0-31E8-42DA-9D3C-E9A52953853B}
c:\progra~1\vso\imager~1\rszshell.dll (VSO Software) {2BB59FC0-31E8-42DA-9D3C-E9A52953853B}
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

227 HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
---------------------------------------------------------------
c:\programme\agnitum\outpost firewall\op_shell.dll (Agnitum Ltd.) {33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}
* c:\programme\tuneup utilities 2007\sdshelex-win32.dll (TuneUp Software GmbH) {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

231 HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
-------------------------------------------------------
c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll (Adobe Systems, Inc.) PDF Column Info

myrtille · 20.07.2008, 18:14

Hi,

lass ihn bitte mal noch mit Malwarebytes scannen, das Programm erkennt RogueAntispyware normalerweise sehr gut.

Lass ihn danach bitte ein Log mit DSS erstellen, damit wir sehen was noch auf dem Rechner ist.

DSS

Lade dir DSS
Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
Führe während DSS arbeitet bitte keine anderen Aktionen durch
Am Ende öffnen sich 2 Datein main.txt und extra.txt
Poste den Inhalt beider Dateien hier

lg myrtille

Ghost1975 · 21.07.2008, 18:31

Hi myrtille

vielen Dank für die Hilfe.
War eben bei meinem Vater gewesen und habe die Scans durchgeführt,hier die Ergebnisse:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.22
Datenbank Version: 973
Windows 5.1.2600 Service Pack 3

16:21:38 21.07.2008
mbam-log-7-21-2008 (16-21-38).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 69240
Laufzeit: 22 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} (Adware.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\WinRAR\Default.SFX (Trojan.Vundo) -> Quarantined and deleted successfully.

Code:

ATTFilter

Deckard's System Scanner v20071014.68
Run by Rainer on 2008-07-21 17:12:12
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

System Restore is disabled; attempting to re-enable...success.


-- Last 1 Restore Point(s) --
1: 2008-05-26 14:46:57 UTC - RP4 - Windows XP Service Pack 3 wurde installiert.


Backed up registry hives.
Performed disk cleanup.



-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-07-21 17:13:31
Platform: Windows XP Service Pack 3 (5.01.2600)
MSIE: Internet Explorer (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\explorer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Kalender\Kalender.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TRENDware\TEW444UB\ACU.exe
F:\Scanlogs\Zu erledigen\dss.exe
C:\WINDOWS\system32\wscntfy.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [Kalender] C:\Programme\Kalender\Kalender.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 802.11g Wireless Client Utility.lnk = C:\Programme\TRENDware\TEW444UB\WLACU.exe
O4 - Global Startup: Outpost Firewall.lnk = C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~2\wl_hook.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe


--
End of file - 4235 bytes

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*
.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
R1 VFILT (Outpost Firewall Kernel Driver) - c:\programme\agnitum\outpost firewall\kernel\filtnt.sys <Not Verified; Agnitum Ltd.; Virtual Firewall>
R2 MDC8021X (AEGIS Protocol (IEEE 802.1x) v2.3.1.10) - c:\windows\system32\drivers\mdc8021x.sys <Not Verified; Meetinghouse Data Communications; AEGIS Client 2.3.1.10>

S3 ADBLOCK.DLL (Outpost Firewall PlugIn (ADBLOCK.DLL)) - c:\programme\agnitum\outpost firewall\kernel\adblock.dll <Not Verified; Agnitum Ltd.; Outpost Firewall>
S3 ARP.DLL (Outpost Firewall PlugIn (ARP.DLL)) - c:\programme\agnitum\outpost firewall\kernel\arp.dll <Not Verified; Agnitum Ltd.; Outpost Firewall>
S3 CONTENT.DLL (Outpost Firewall PlugIn (CONTENT.DLL)) - c:\programme\agnitum\outpost firewall\kernel\content.dll <Not Verified; Agnitum Ltd.; Outpost Firewall>
S3 DNSCACHE.DLL (Outpost Firewall PlugIn (DNSCACHE.DLL)) - c:\programme\agnitum\outpost firewall\kernel\dnscache.dll <Not Verified; Agnitum Ltd.; Outpost Firewall>
S3 FTPFILT.DLL (Outpost Firewall PlugIn (FTPFILT.DLL)) - c:\programme\agnitum\outpost firewall\kernel\ftpfilt.dll <Not Verified; Agnitum Ltd.; Outpost Firewall>
S3 HTMLFILT.DLL (Outpost Firewall PlugIn (HTMLFILT.DLL)) - c:\programme\agnitum\outpost firewall\kernel\htmlfilt.dll <Not Verified; Agnitum Ltd.; Outpost Firewall>
S3 HTTPFILT.DLL (Outpost Firewall PlugIn (HTTPFILT.DLL)) - c:\programme\agnitum\outpost firewall\kernel\httpfilt.dll <Not Verified; Agnitum Ltd.; Outpost Firewall>
S3 IMAPFILT.DLL (Outpost Firewall PlugIn (IMAPFILT.DLL)) - c:\programme\agnitum\outpost firewall\kernel\imapfilt.dll <Not Verified; Agnitum Ltd.; Outpost Firewall>
S3 MAILFILT.DLL (Outpost Firewall PlugIn (MAILFILT.DLL)) - c:\programme\agnitum\outpost firewall\kernel\mailfilt.dll <Not Verified; Agnitum Ltd.; Outpost Firewall>
S3 NNTPFILT.DLL (Outpost Firewall PlugIn (NNTPFILT.DLL)) - c:\programme\agnitum\outpost firewall\kernel\nntpfilt.dll <Not Verified; Agnitum Ltd.; Outpost Firewall>
S3 POP3FILT.DLL (Outpost Firewall PlugIn (POP3FILT.DLL)) - c:\programme\agnitum\outpost firewall\kernel\pop3filt.dll <Not Verified; Agnitum Ltd.; Outpost Firewall>
S3 PROTECT.DLL (Outpost Firewall PlugIn (PROTECT.DLL)) - c:\programme\agnitum\outpost firewall\kernel\protect.dll <Not Verified; Agnitum Ltd.; Outpost Firewall>
S3 SECRET.DLL (Outpost Firewall PlugIn (SECRET.DLL)) - c:\programme\agnitum\outpost firewall\kernel\secret.dll <Not Verified; Agnitum Ltd.; Outpost Firewall>
S3 SIS163u (SiS 163 usb Wireless LAN Adapter Driver) - c:\windows\system32\drivers\sis163u.sys <Not Verified; SiS Corporation; NDIS NIC Driver>
S3 ZDPNDIS5 (ZDPNDIS5 NDIS Protocol Driver) - c:\windows\system32\zdpndis5.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 ACS (Atheros Configuration Service) - c:\windows\system32\acs.exe
R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>

S2 OutpostFirewall (Outpost Firewall Service) - c:\programme\agnitum\outpost firewall\outpost.exe /service <Not Verified; Agnitum Ltd.; Outpost Firewall>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: Audiocontroller für Multimedia
Device ID: PCI\VEN_1039&DEV_7012&SUBSYS_70121849&REV_A0\3&61AAA01&0&17
Manufacturer: 
Name: Audiocontroller für Multimedia
PNP Device ID: PCI\VEN_1039&DEV_7012&SUBSYS_70121849&REV_A0\3&61AAA01&0&17
Service: 


-- Files created between 2008-06-21 and 2008-07-21 -----------------------------

2008-07-21 16:54:41         0 d-------- C:\VundoFix Backups
2008-07-17 15:19:52         0 d-------- C:\Programme\VideoLAN
2008-07-17 13:47:56         0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-15 18:44:22         0 d-------- C:\WINDOWS\MSREMOTE.SFS


-- Find3M Report ---------------------------------------------------------------

2008-07-21 16:33:41         0 d-------- C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\Apple Computer
2008-07-21 15:51:31    452232 --a------ C:\WINDOWS\system32\perfh007.dat
2008-07-21 15:51:31     84258 --a------ C:\WINDOWS\system32\perfc007.dat
2008-07-20 21:59:04         0 d-------- C:\Programme\Mozilla Thunderbird
2008-07-20 11:23:34         0 d-------- C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\UK's Kalender
2008-07-17 15:29:38         0 d-------- C:\Programme\Java
2008-07-17 13:48:17         0 d-------- C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\Malwarebytes
2008-07-17 12:27:41         0 d-------- C:\Programme\a-squared Free
2008-07-13 20:05:45         0 d-------- C:\Programme\Opera
2008-06-09 18:37:42         0 d-------- C:\Programme\Trend Micro
2008-06-07 17:25:44         0 d-------- C:\Programme\Conduit
2008-05-28 15:34:48     74240 -----n--- C:\WINDOWS\AKDeInstall.exe <Not Verified; ; DeInstall>
2008-05-28 15:30:46         0 d-------- C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\Adobe
2008-05-28 14:56:07         0 d-------- C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\Talkback
2008-05-28 14:55:47         0 d-------- C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\Thunderbird
2008-05-26 18:38:10         0 d-------- C:\Programme\Kalender
2008-05-26 18:31:42         0 d-------- C:\Programme\Windows Messaging
2008-05-26 18:18:00         0 d-------- C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\Macromedia
2008-05-26 18:16:02         0 d-------- C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\Mozilla
2008-05-26 18:01:29         0 d-------- C:\Programme\Gemeinsame Dateien
2008-05-26 18:01:29         0 d-------- C:\Programme\Gemeinsame Dateien\Java
2008-05-26 18:01:08         0 d-------- C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\Sun
2008-05-26 18:00:52         0 d-------- C:\Programme\QuickTime
2008-05-26 17:59:49         0 d-------- C:\Programme\Apple Software Update
2008-05-26 17:51:21         0 d-------- C:\Programme\Agnitum
2008-05-26 17:50:01         0 d-------- C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\TrueCrypt
2008-05-26 17:47:25         0 d-------- C:\Programme\Gemeinsame Dateien\Agnitum Shared
2008-05-26 17:44:55       335 --a------ C:\WINDOWS\nsreg.dat
2008-05-26 17:44:38      7042 --a------ C:\WINDOWS\mozver.dat
2008-05-26 17:44:37         0 d-------- C:\Programme\Winamp
2008-05-26 17:44:21         0 d-------- C:\Programme\Java Web Start
2008-05-26 17:44:00         0 d--h----- C:\Programme\InstallShield Installation Information
2008-05-26 17:43:57         0 d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-26 17:43:50     87184 --a------ C:\WINDOWS\NSUninst.exe
2008-05-26 17:43:29     87184 --a------ C:\WINDOWS\GREUninstall.exe
2008-05-26 17:43:16         0 d-------- C:\Programme\Gemeinsame Dateien\mozilla.org
2008-05-26 17:42:45         0 d-------- C:\Programme\Avira
2008-05-26 17:42:35         0 d-------- C:\Programme\Netscape
2008-05-26 17:38:39         0 d-------- C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\Opera
2008-05-26 17:36:28         0 d-------- C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\WinRAR
2008-05-26 17:35:36         0 d-------- C:\Programme\TRENDware
2008-05-26 17:11:28         0 d-------- C:\Programme\SiSLan
2008-05-26 17:04:13         0 d-------- C:\Programme\TrueCrypt
2008-05-26 17:02:44         0 d-------- C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\TuneUp Software
2008-05-26 17:02:38         0 d-------- C:\Programme\TuneUp Utilities 2007
2008-05-26 17:02:15         0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-26 17:02:11         0 d-------- C:\Programme\CCleaner
2008-05-26 16:57:12        62 --ahs---- C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\desktop.ini
2008-05-26 16:52:53         0 d-------- C:\Programme\Messenger
2008-05-26 16:52:23         0 d-------- C:\Programme\Movie Maker
2008-05-26 16:50:17         0 d-------- C:\Programme\Windows NT
2008-05-26 16:45:51         0 d-------- C:\Programme\Gemeinsame Dateien\ODBC
2008-05-26 16:45:47         0 d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2008-05-26 16:13:58         0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-05-26 16:13:29         0 d-------- C:\Programme\Camouflage
2008-05-26 16:12:53         0 d-------- C:\Programme\VSO
2008-05-26 16:09:12         0 d-------- C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\Identities
2008-05-26 16:04:58         0 d-------- C:\Programme\microsoft frontpage
2008-05-26 16:04:49         0 -rahs---- C:\MSDOS.SYS
2008-05-26 16:04:49         0 -rahs---- C:\IO.SYS
2008-05-26 16:04:49         0 --a------ C:\CONFIG.SYS
2008-05-26 16:04:49         0 --a------ C:\AUTOEXEC.BAT
2008-05-26 16:03:09     21740 --a------ C:\WINDOWS\system32\emptyregdb.dat
2008-05-26 15:54:29         0 d--h----- C:\Programme\WindowsUpdate
2008-05-26 15:54:25         0 d-------- C:\Programme\Online-Dienste
2008-05-26 15:53:44         0 d-------- C:\Programme\Gemeinsame Dateien\Dienste
2008-05-26 15:53:40         0 d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2008-05-26 15:52:15         0 d-------- C:\Programme\Online Services
2008-05-26 15:52:06         0 d-------- C:\Programme\MSN Gaming Zone


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [20.07.2008 07:08]
"OutpostFeedBack"="C:\Programme\Agnitum\Outpost Firewall\feedback.exe" [25.11.2005 15:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kalender"="C:\Programme\Kalender\Kalender.exe" [28.08.2006 12:24]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 07:52]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
802.11g Wireless Client Utility.lnk - C:\Programme\TRENDware\TEW444UB\WLACU.exe [26.05.2008 17:35:36]
Outpost Firewall.lnk - C:\Programme\Agnitum\Outpost Firewall\outpost.exe [26.05.2008 17:47:27]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy] 
C:\WINDOWS\System32\dimsntfy.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\Agnitum\OUTPOS~2\wl_hook.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Notification Packages"=  scecli scecli

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"Antivirus"=C:\Programme\Antivirus2008\Antvrs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
"SiSUSBRG"=C:\WINDOWS\SiSUSBrg.exe
"TrojanScanner"=C:\Programme\Trojan Remover\Trjscan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs	eaphost
dot3svc	dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
napagent
hkmsvc




-- Hosts -----------------------------------------------------------------------

127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
127.0.0.1	032439.com

8828 more entries in hosts file.


-- End of Deckard's System Scanner: finished at 2008-07-21 17:14:29 ------------

Ghost1975 · 21.07.2008, 18:37

so und hier das Logfile Extra
(Passte nicht mehr in den alten Beitrag)

Code:

ATTFilter

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Home Edition (build 2600) SP 3.0
Architecture: X86; Language: German

CPU 0: AMD Sempron(tm) 2600+
Percentage of Memory in Use: 32%
Physical Memory (total/avail): 511.48 MiB / 343.39 MiB
Pagefile Memory (total/avail): 1634.36 MiB / 1404.04 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1938.43 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 14.65 GiB total, 8.63 GiB free. 
D: is Fixed (NTFS) - 13.97 GiB total, 12.3 GiB free. 
E: is CDROM (No Media)
F: is Removable (FAT)

\\.\PHYSICALDRIVE0 - IBM-DTLA-307030 - 28.63 GiB - 2 partitions
  \PARTITION0 (bootable) - Installierbares Dateisystem - 14.65 GiB - C:
  \PARTITION1 - Erweitert mit Int 13 (erweitert) - 13.97 GiB - D:

\\.\PHYSICALDRIVE1 - QIMONDA USB Device - 1906.15 MiB - 1 partition
  \PARTITION0 - Win95 mit Int 13 (erweitert) - 1911.98 MiB - F:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten
CLASSPATH=.;C:\Programme\Java\j2re1.4.1_02\lib\ext\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=RAINER-BC31F852
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Rainer
LOGONSERVER=\\RAINER-BC31F852
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\QuickTime\QTSystem\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0801
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\Java\j2re1.4.1_02\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\Rainer\LOKALE~1\Temp
TMP=C:\DOKUME~1\Rainer\LOKALE~1\Temp
USERDOMAIN=RAINER-BC31F852
USERNAME=Rainer
USERPROFILE=C:\Dokumente und Einstellungen\Rainer
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

Rainer (admin)
Internet.RAINER-BC31F852
Administrator (new local, admin)


-- Add/Remove Programs ---------------------------------------------------------

 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
802.11g Driver and Client Applications --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8EC3DC60-AD23-4DB6-866A-9D59FC75C3A2}\setup.exe" -l0x9  -removeonly
a-squared Free 3.0 --> "C:\Programme\a-squared Free\unins000.exe"
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Agnitum Outpost Firewall Pro --> C:\Programme\Agnitum\Outpost Firewall\uninst.exe
Apple Software Update --> MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}
AVG Anti-Rootkit Free --> C:\Programme\GRISOFT\AVG Anti-Rootkit Free\Uninstall.exe
Avira AntiVir Personal - Free Antivirus --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Camouflage --> C:\WINDOWS\IsUninst.exe -fC:\Programme\Camouflage\Uninst.isu
CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"
Java 2 Runtime Environment, SE v1.4.1_02 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EFCE5837-FC21-11D6-9D24-00010240CE95}\setup.exe" Anytext
Java Web Start --> "C:\Programme\Java Web Start\uninst-javaws.exe"
Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office 97, Professional Edition --> C:\Programme\Microsoft Office\Office\Setup\Acme.exe /w Off97Pro.STF
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (2.0.0.16) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.12) --> C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
Netscape (7.1) --> C:\WINDOWS\NSUninst.exe /ua "7.1b1 (de)"
Opera 9.51 --> MsiExec.exe /X{179624B1-2683-45ED-965A-B72189EB5820}
QuickTime --> MsiExec.exe /I{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}
Sicherheitsupdate für Windows XP (KB923789) --> C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB950760) --> "C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762) --> "C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2) --> "C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376) --> "C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698) --> "C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748) --> "C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
SiS 900 PCI Fast Ethernet Adapter Driver --> C:\Progra~1\SiSLan\Uninst.exe
SPG-Verein 2.7 --> C:\WINDOWS\AKDeInstall.exe /x "c:\spg\spg-verein\uninst_spg_verein.dat"
Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe"
TrueCrypt --> "C:\Programme\TrueCrypt\TrueCrypt Setup.exe" /u
TuneUp Utilities 2007 --> MsiExec.exe /I{C8BB4912-12D9-42AE-B571-E580D8CD1B5B}
UK's Kalender 2.1.3 --> "C:\Programme\Kalender\unins000.exe"
Update für Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB942763) --> "C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Update für Windows XP (KB951978) --> "C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
VideoLAN VLC media player 0.8.6i --> C:\Programme\VideoLAN\VLC\uninstall.exe
VSO Image Resizer 1.3.4 --> "C:\Programme\VSO\Image Resizer\unins000.exe"
Winamp (remove only) --> "C:\Programme\Winamp\UninstWA.exe"
Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR archiver --> C:\Programme\WinRAR\uninstall.exe


-- Application Event Log -------------------------------------------------------

Event Record #/Type789 / Warning
Event Submitted/Written: 07/21/2008 03:59:11 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Dldr.Zlob.ACAWC:\Dokumente und Einstellungen\Rainer\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\MediaTubeCodec_ver1.1187.0.exe

Event Record #/Type788 / Warning
Event Submitted/Written: 07/21/2008 03:59:07 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Dldr.Zlob.ACAWC:\Dokumente und Einstellungen\Rainer\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\MediaTubeCodec_ver1.1187.0 (7).exe

Event Record #/Type787 / Warning
Event Submitted/Written: 07/21/2008 03:59:03 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Dldr.Zlob.ACAWC:\Dokumente und Einstellungen\Rainer\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\MediaTubeCodec_ver1.1187.0 (6).exe

Event Record #/Type786 / Warning
Event Submitted/Written: 07/21/2008 03:59:00 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Dldr.Zlob.ACAWC:\Dokumente und Einstellungen\Rainer\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\MediaTubeCodec_ver1.1187.0 (5).exe

Event Record #/Type785 / Warning
Event Submitted/Written: 07/21/2008 03:58:56 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Dldr.Zlob.ACAWC:\Dokumente und Einstellungen\Rainer\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\MediaTubeCodec_ver1.1187.0 (4).exe



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type4236 / Warning
Event Submitted/Written: 07/21/2008 03:39:57 PM
Event ID/Source: 18 / avgntflt
Event Description:
TIMEOUT<explorer.exe> D:\spg-vereindemo27.exe

Event Record #/Type4233 / Warning
Event Submitted/Written: 07/21/2008 03:39:28 PM
Event ID/Source: 18 / avgntflt
Event Description:
TIMEOUT<explorer.exe> D:\spg-vereindemo27.exe

Event Record #/Type4232 / Warning
Event Submitted/Written: 07/21/2008 03:39:01 PM
Event ID/Source: 1007 / Dhcp
Event Description:
Die IP-Adresse für die Netzwerkkarte mit der Netzwerkadresse 0011E0021E7D
wurde automatisch durch diesen Computer konfiguriert. Die verwendete IP-Adresse ist 169.254.46.69.

Event Record #/Type4231 / Warning
Event Submitted/Written: 07/21/2008 03:39:00 PM / 07/21/2008 03:39:01 PM
Event ID/Source: 18 / avgntflt
Event Description:
TIMEOUT<explorer.exe> D:\spg-vereindemo27.exe

Event Record #/Type4177 / Warning
Event Submitted/Written: 07/21/2008 03:05:19 AM
Event ID/Source: 1007 / Dhcp
Event Description:
Die IP-Adresse für die Netzwerkkarte mit der Netzwerkadresse 0011E0021E7D
wurde automatisch durch diesen Computer konfiguriert. Die verwendete IP-Adresse ist 169.254.46.69.



-- End of Deckard's System Scanner: finished at 2008-07-21 17:14:29 ------------

Ich hoffe ihr könnt damit was anfangen.

MfG

Ghost1975

myrtille · 21.07.2008, 22:54

Hi,

Deinstallier bitte noch alle Java versionen über Start->Systemsteuerung->Software und lade dir, falls benötigt, die neue Version von Sun.

Außerdem könntest du mit deinem Vater mal über Virenwarnungen und deren Ignorieren reden:

Zitat:

TR/Dldr.Zlob.ACAWC:\Dokumente und Einstellungen\Rainer\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\MediaTubeCodec_ver1.1187.0.exe

Er hätte sich den ganzen Spass problemlos sparen können.

lg myrtille

Ghost1975 · 22.07.2008, 08:12

Hi myrtille

ich werde gleich nochmal hinfahren und Java deiinstallieren und nochmal neu aufspielen.

Zitat:

Außerdem könntest du mit deinem Vater mal über Virenwarnungen und deren Ignorieren reden:
Zitat:

Zitat:

TR/Dldr.Zlob.ACAWC:\Dokumente und Einstellungen\Rainer\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\ cache4\temporary_download\MediaTubeCodec_ver1.1187 .0.exe

Er hätte sich den ganzen Spass problemlos sparen können.

Da gebe ich Dir 100%ig Recht,das habe ich auch als ich die Log-Datei von Antivir gestern Durchgesehen habe.
Als ich den Rechner gestartet hatte kam nach kurzer Zeit schon ne Warnmeldung von Antivir der muß das mitbekommen haben............

MfG

Ghost75

myrtille · 22.07.2008, 11:08

Hi,

Zlob verbreitet sich gezielt durch Codecs (und auch durch Cracks/Keygens oder mithilfe von Schwachstellen im IE), falls du da noch ein wenig missionieren willst.

Er soll sich vor denen in Acht nehmen.

Sowas kann jedem einmal passieren. Es sollte nur nicht zur Gewohnheit werden.

lg myrtille

Ghost1975 · 22.07.2008, 11:30

So war gerade da gewesen,und habe nach einem Update nochmal Malwarebytes durch laufenlassen.
Habe jetzt noch immer das Problem das Outpost eine Änderung der Host-Datei anzeigt.
Habe daraufhin mal die Antispywarefunktion durchlaufen lassen und die hat dann so 8000 Einträge in der Host-Datei ausgemacht.
Da es jedoch ne ältere Version von Outpost (3 irgendwas) ist,ne neue Testversion aufgespielt und die findet gar nichts,aber ich komme auch nicht ins Netz....

Zitat:

Zlob verbreitet sich gezielt durch Codecs (und auch durch Cracks/Keygens oder mithilfe von Schwachstellen im IE), falls du da noch ein wenig missionieren willst. Er soll sich vor denen in Acht nehmen.

Sowas kann jedem einmal passieren. Es sollte nur nicht zur Gewohnheit werden.

Naja was Cracks und Keygens angeht weiß ich das er sowas nicht hat/benutzt
das kommt nur durch Codecs,obwohl ich ihm mehrfach gesagt habe das er alle Software auf dem Rechner hat um Multimediasachen im Netz zu schauen

Bin am Überlegen ob ich im nur noch nen Eingeschränktes Benutzerkonto gebe
(Aktuell hat er noch vom Adminkonto das PW),die Kontrolle über die Firewall hat er Aktuell schon Verloren..

Passwörter sind gemein aber in dem Fall wohl nötig.

MfG

Ghost1975

myrtille · 22.07.2008, 19:19

Hi,
die Funde in der Hostdatei scheinen ein Kommunikationsproblem zwischen 2 Sicherheitsprogrammen zu sein.

Die Einträge in der Hostdatei sind nicht bösartig.

Ein Eintrag der Art

Code:

ATTFilter

127.0.0.1 www.boeseseite.de

sorgt dafür, dass die Seite von dem Rechner aus nicht mehr angesurft werden kann. Sie sorgt auch dafür, dass keine Malware unbemerkt etwas von der Webseite herunterladen kann, weil sie dort einfach nicht hinkommt.
(Das spiel geht natürlich auch andersrum. Malware kann auch den Eintrag 127.0.0.1 www.antivirenseite.de hinzufügen und der Befallene kann zb keine Antivirenprogrammseiten mehr ansurfen)

Und das Problem liegt an der Firewall? Welche Prozesse hast du denn geblockt?
lg myrtille

Ghost1975 · 24.07.2008, 14:25

Hi myrtille

sorry konte mich wegen der Arbeit erst heute wieder Melden.
Vielen Dank für die Info zur Hostdatei.
War erst davon Ausgegangen das es was bösartiges war,dient aber ja dem Schutz.

Zitat:

Hi,
die Funde in der Hostdatei scheinen ein Kommunikationsproblem zwischen 2 Sicherheitsprogrammen zu sein.

mit deiner Vermutung hattest du Recht,es lag an SpyBot Search and Destroy das ich auch zur Bekämpfung installiert hatte.
Da gibt es den Punkt immunisieren,durch diese Funktion kam es zu den Problemen mit der Firewall.

Damit wären alle Probleme beseitigt

Vielen Dank

MfG

Ghost1975