Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Trojaner, was kann ich tun?

Trojaner, was kann ich tun?


Log-Analyse und Auswertung: Trojaner, was kann ich tun?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 3 von 5 12 3 45
Alt 15.08.2008, 16:11   #31
Caprise
 
Trojaner, was kann ich tun? - Standard

Trojaner, was kann ich tun?


so, ich versuchs jetzt mal mit Ruhe und Muße.... hmmmm

Nur eine Frage, kann man die Scanner irgendwie schneller kriegenß hab schon alles möglich sinnlose aus gemacht. Aber das dauert ja ewig. der eine läuft jetzt seit über 6 stunden....

Alt 15.08.2008, 17:47   #32
undoreal
/// AVZ-Toolkit Guru
 
Trojaner, was kann ich tun? - Standard

Trojaner, was kann ich tun?


Zitat:
ich versuchs jetzt mal mit Ruhe und Muße....
das ist gut!

Zitat:
Nur eine Frage, kann man die Scanner irgendwie schneller kriegenß hab schon alles möglich sinnlose aus gemacht. Aber das dauert ja ewig. der eine läuft jetzt seit über 6 stunden..
Du stellst ab und an etwas unpräzise Fragen..

Welchen Scanner meinst du? Und nein, kann man nicht... Sonst würden wir euch das so posten..
__________________

__________________
Alt 16.08.2008, 14:04   #33
Caprise
 
Trojaner, was kann ich tun? - Standard

Trojaner, was kann ich tun?


So, nun hab iche folgendes getan:

1. Dr.Web drüber laufen lassen
(gibts da auch nen Log? der Laptop hatte neu gestartet und dann stand da nix)

2. Blacklight drüber laufen lassen
-> Keine Funde

3. CCCleaner drüber laufen lassen.


3. Malwarebytes drüber laufen lassen.
Hier das Log:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1040
Windows 6.0.6001 Service Pack 1

10:00:30 16.08.2008
mbam-log-8-16-2008 (10-00-30).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 164709
Laufzeit: 1 hour(s), 7 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


4. ComboFix drüber laufen lassen.
Hier muß ich aber sagen, dass nach dem Neustart Antivir angesprungen ist und ich da immer wieder wegklicken mußte, hoffe, dass das Log dennoch brauchbar ist.

Hier das Log:
Code:
ATTFilter
ComboFix 08-08-14.05 - *** 2008-08-16 10:44:00.1 - NTFSx86
Microsoft® Windows Vista™ Business   *** [GMT 2:00]
ausgeführt von:: C:\Users\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\Autorun.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-16 bis 2008-08-16  ))))))))))))))))))))))))))))))
.

2008-08-16 10:18 . 2008-08-16 10:18	<DIR>	d--------	C:\Program Files\CCleaner
2008-08-16 10:10 . 2008-08-16 10:16	<DIR>	d--------	C:\Users\All Users\Spybot - Search & Destroy
2008-08-16 10:10 . 2008-08-16 10:16	<DIR>	d--------	C:\ProgramData\Spybot - Search & Destroy
2008-08-16 10:10 . 2008-08-16 10:17	<DIR>	d--------	C:\Program Files\Spybot - Search & Destroy
2008-08-16 03:10 . 2008-07-16 03:32	2,048	--a------	C:\Windows\System32\tzres.dll
2008-08-15 09:28 . 2008-06-19 05:31	361,984	--a------	C:\Windows\System32\IPSECSVC.DLL
2008-08-15 09:27 . 2008-06-27 03:55	1,383,424	--a------	C:\Windows\System32\mshtml.tlb
2008-08-15 09:27 . 2008-04-10 07:12	738,304	--a------	C:\Windows\System32\inetcomm.dll
2008-08-14 20:40 . 2008-08-15 13:57	<DIR>	d--------	C:\Users\***\DoctorWeb
2008-08-14 13:40 . 2008-04-18 07:48	269,312	--a------	C:\Windows\System32\es.dll
2008-08-14 13:40 . 2008-04-18 07:48	269,312	--a------	C:\Windows\System32\es(92).dll
2008-08-14 13:39 . 2008-06-27 06:15	1,166,336	--a------	C:\Windows\System32\urlmon(118).dll
2008-08-14 13:39 . 2008-06-27 06:15	827,392	--a------	C:\Windows\System32\wininet.dll
2008-08-14 13:39 . 2008-06-27 06:15	827,392	--a------	C:\Windows\System32\wininet(124).dll
2008-08-12 21:00 . 2008-08-12 21:00	0	--ah-----	C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2008-08-11 21:45 . 2008-03-03 15:05	54,672	--a------	C:\Windows\System32\vsutil_loc0407.dll
2008-08-11 21:45 . 2008-08-11 21:45	5,571	--a------	C:\Windows\System32\vsconfig.xml
2008-08-11 21:44 . 2008-08-11 21:44	<DIR>	d--------	C:\Users\All Users\CheckPoint
2008-08-11 21:44 . 2008-08-11 21:44	<DIR>	d--------	C:\ProgramData\CheckPoint
2008-08-11 21:44 . 2008-08-11 21:44	<DIR>	d--------	C:\Program Files\Zone Labs
2008-08-11 21:44 . 2008-03-03 15:05	1,086,952	--a------	C:\Windows\System32\zpeng24.dll
2008-08-11 21:44 . 2008-03-03 15:06	279,440	--a------	C:\Windows\System32\drivers\~GLH0014.TMP
2008-08-11 21:43 . 2008-08-11 21:45	<DIR>	d--------	C:\Windows\System32\ZoneLabs
2008-08-11 21:43 . 2008-08-16 10:51	352,615	--ah-----	C:\Windows\System32\drivers\vsconfig.xml
2008-08-11 21:43 . 2008-08-13 09:26	352,615	--ah-----	C:\Windows\System32\drivers\vsconfig(210).xml
2008-08-11 21:43 . 2008-03-03 15:06	279,440	---------	C:\Windows\System32\drivers\vsdatant.sys
2008-08-11 21:42 . 2008-08-16 10:59	<DIR>	d--------	C:\Windows\Internet Logs
2008-08-11 11:58 . 2008-08-11 11:58	<DIR>	d--------	C:\Users\***\AppData\Roaming\Malwarebytes
2008-08-11 11:58 . 2008-08-11 11:58	<DIR>	d--------	C:\Users\All Users\Malwarebytes
2008-08-11 11:58 . 2008-08-11 11:58	<DIR>	d--------	C:\ProgramData\Malwarebytes
2008-08-11 11:58 . 2008-08-11 11:58	<DIR>	d--------	C:\Program Files\Malwarebytes' Anti-Malware
2008-08-11 11:58 . 2008-07-30 20:07	38,472	--a------	C:\Windows\System32\drivers\mbamswissarmy.sys
2008-08-11 11:58 . 2008-07-30 20:07	17,144	--a------	C:\Windows\System32\drivers\mbam.sys
2008-08-11 11:22 . 2008-08-11 11:22	<DIR>	d--------	C:\Program Files\Trend Micro
2008-08-11 09:53 . 2008-08-11 18:43	<DIR>	d--------	C:\Users\***\AppData\Roaming\SUPERAntiSpyware.com
2008-08-11 09:53 . 2008-08-11 09:53	<DIR>	d--------	C:\Users\All Users\SUPERAntiSpyware.com
2008-08-11 09:53 . 2008-08-11 09:53	<DIR>	d--------	C:\ProgramData\SUPERAntiSpyware.com
2008-08-10 23:54 . 2008-08-10 23:54	<DIR>	d--------	C:\Users\All Users\Avira
2008-08-10 23:54 . 2008-08-10 23:54	<DIR>	d--------	C:\ProgramData\Avira
2008-08-10 23:54 . 2008-08-10 23:54	<DIR>	d--------	C:\Program Files\Avira
2008-08-10 22:50 . 2008-08-10 22:50	<DIR>	d--------	C:\Users\All Users\Macrovision
2008-08-10 22:50 . 2008-08-10 22:50	<DIR>	d--------	C:\ProgramData\Macrovision
2008-08-10 22:50 . 2008-08-10 22:50	<DIR>	d--------	C:\Program Files\Common Files\Adobe Systems Shared
2008-07-30 19:10 . 2008-07-30 19:10	<DIR>	d--------	C:\Users\***\AppData\Roaming\DivX
2008-07-30 18:51 . 2008-07-30 18:51	<DIR>	d--------	C:\Program Files\Common Files\Pinnacle
2008-07-30 18:50 . 2008-07-30 18:50	<DIR>	d--------	C:\Users\All Users\Pinnacle Studio
2008-07-30 18:50 . 2008-07-30 18:50	<DIR>	d--------	C:\ProgramData\Pinnacle Studio
2008-07-30 18:40 . 2008-07-30 18:40	<DIR>	d--------	C:\Program Files\Common Files\Pegasus Imaging
2008-07-30 18:39 . 2008-07-30 18:39	<DIR>	d--------	C:\Users\All Users\Studio 12
2008-07-30 18:39 . 2008-07-30 18:39	<DIR>	d--------	C:\Users\All Users\Pinnacle Studio Plus
2008-07-30 18:39 . 2008-07-30 18:39	<DIR>	d--------	C:\ProgramData\Studio 12
2008-07-30 18:39 . 2008-07-30 18:39	<DIR>	d--------	C:\ProgramData\Pinnacle Studio Plus
2008-07-30 18:39 . 2008-07-30 18:39	<DIR>	d--------	C:\Program Files\Pinnacle
2008-07-30 18:39 . 2008-07-30 18:39	<DIR>	d--------	C:\Program Files\Common Files\Yahoo!
2008-07-30 18:27 . 2008-07-30 18:39	<DIR>	d--------	C:\Users\All Users\Pinnacle
2008-07-30 18:27 . 2008-07-30 18:39	<DIR>	d--------	C:\ProgramData\Pinnacle
2008-07-21 10:22 . 2008-07-21 10:30	<DIR>	d--------	C:\Users\***\AppData\Roaming\Wimpomat2
2008-07-20 16:08 . 2008-07-20 16:08	<DIR>	d--------	C:\Program Files\Logitech
2008-07-20 16:08 . 2008-07-20 16:08	130,208	-r-------	C:\Windows\bwUnin-8.1.1.87-8876480SL.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-16 09:00	---------	d-----w	C:\Users\***\AppData\Roaming\skypePM
2008-08-16 09:00	---------	d-----w	C:\Users\***\AppData\Roaming\Skype
2008-08-16 08:59	43,786,973	----a-w	C:\Windows\Internet Logs\vsmon_on_demand_2008_08_16_10_10_12_full.dmp.zip
2008-08-16 08:58	43,777,001	----a-w	C:\Windows\Internet Logs\vsmon_on_demand_2008_08_16_10_07_17_full.dmp.zip
2008-08-16 08:57	43,772,660	----a-w	C:\Windows\Internet Logs\vsmon_on_demand_2008_08_16_10_06_55_full.dmp.zip
2008-08-16 08:01	---------	d-----w	C:\ProgramData\Lavasoft
2008-08-16 01:12	---------	d-----w	C:\ProgramData\Microsoft Help
2008-08-16 01:03	---------	d-----w	C:\Program Files\Windows Mail
2008-08-14 22:23	---------	d-----w	C:\ProgramData\FLEXnet
2008-08-14 22:23	---------	d-----w	C:\Program Files\RADVideo
2008-08-14 22:23	---------	d-----w	C:\Program Files\PC Connectivity Solution
2008-08-14 22:23	---------	d-----w	C:\Program Files\Lavasoft
2008-08-14 22:23	---------	d-----w	C:\Program Files\Common Files\Wise Installation Wizard
2008-08-11 19:02	---------	d-----w	C:\Program Files\Common Files\Adobe
2008-08-11 17:43	15,648	----a-w	C:\Windows\system32\drivers\NSDriver.sys
2008-08-11 17:43	15,648	----a-w	C:\Windows\system32\drivers\AWRTRD.sys
2008-08-11 17:43	12,960	----a-w	C:\Windows\system32\drivers\AWRTPD.sys
2008-08-11 17:43	12,632	----a-w	C:\Windows\System32\lsdelete.exe
2008-08-11 16:41	---------	d-----w	C:\ProgramData\Symantec
2008-08-11 16:41	---------	d-----w	C:\Program Files\Common Files\Symantec Shared
2008-08-11 16:27	174	--sha-w	C:\Program Files\desktop.ini
2008-08-11 16:18	---------	d-----w	C:\Program Files\Google
2008-08-11 16:13	---------	d-----w	C:\Program Files\Windows Sidebar
2008-08-11 16:13	---------	d-----w	C:\Program Files\Windows Photo Gallery
2008-08-11 16:13	---------	d-----w	C:\Program Files\Windows Journal
2008-08-11 16:13	---------	d-----w	C:\Program Files\Windows Defender
2008-08-11 16:13	---------	d-----w	C:\Program Files\Windows Collaboration
2008-08-11 16:13	---------	d-----w	C:\Program Files\Windows Calendar
2008-08-11 15:32	82,432	----a-w	C:\Windows\System32\axaltocm.dll
2008-08-11 15:32	101,888	----a-w	C:\Windows\System32\ifxcardm.dll
2008-08-11 14:50	---------	d-----w	C:\Program Files\DEUTSCHLAND SPIELT
2008-08-11 14:49	---------	d--h--w	C:\Program Files\InstallShield Installation Information
2008-08-06 21:24	---------	d-----w	C:\Users\***\AppData\Roaming\OpenOffice.org2
2008-07-29 08:29	---------	d-----w	C:\Users\***\AppData\Roaming\gtk-2.0
2008-07-25 07:31	---------	d-----w	C:\Program Files\Mozilla Thunderbird
2008-07-10 08:40	---------	d-----w	C:\Program Files\Zattoo
2008-07-10 01:04	---------	d-----w	C:\Program Files\Microsoft SQL Server
2008-07-02 19:38	---------	d-----w	C:\Users\***\AppData\Roaming\Nokia
2008-07-02 11:05	---------	d-----w	C:\Program Files\Lexmark 810 Series
2008-06-27 07:18	---------	d-----w	C:\Users\***\AppData\Roaming\Roxio
2008-06-27 07:18	---------	d-----w	C:\ProgramData\Sonic
2008-06-26 03:29	801,280	----a-w	C:\Windows\System32\NaturalLanguage6.dll
2008-06-26 01:45	2,644,480	----a-w	C:\Windows\System32\NlsLexicons0009.dll
2008-06-26 01:45	12,240,896	----a-w	C:\Windows\System32\NlsLexicons0007.dll
2008-06-23 09:10	---------	d-----w	C:\ProgramData\Avg7
2008-06-23 09:07	---------	d-----w	C:\Program Files\Tools&More
2008-05-27 05:21	1,582,592	----a-w	C:\Windows\System32\tquery.dll
2008-05-27 05:21	1,418,240	----a-w	C:\Windows\System32\mssrch.dll
2008-05-27 05:17	87,552	----a-w	C:\Windows\System32\SearchFilterHost.exe
2008-05-27 05:17	87,552	----a-w	C:\Windows\System32\mssitlb.dll
2008-05-27 05:17	754,176	----a-w	C:\Windows\System32\propsys.dll
2008-05-27 05:17	60,416	----a-w	C:\Windows\System32\msscntrs.dll
2008-05-27 05:17	6,103,040	----a-w	C:\Windows\System32\chtbrkr.dll
2008-05-27 05:17	34,816	----a-w	C:\Windows\System32\msscb.dll
2008-05-27 05:17	32,768	----a-w	C:\Windows\System32\mssprxy.dll
2008-05-27 05:17	313,344	----a-w	C:\Windows\System32\thawbrkr.dll
2008-05-27 05:17	301,568	----a-w	C:\Windows\System32\srchadmin.dll
2008-05-27 05:17	194,560	----a-w	C:\Windows\System32\offfilt.dll
2008-05-27 05:17	143,872	----a-w	C:\Windows\System32\korwbrkr.dll
2008-05-27 05:17	11,776	----a-w	C:\Windows\System32\msshooks.dll
2008-05-27 05:17	1,671,680	----a-w	C:\Windows\System32\chsbrkr.dll
2008-05-27 04:59	18,904	----a-w	C:\Windows\System32\StructuredQuerySchemaTrivial.bin
2008-05-27 04:59	106,605	----a-w	C:\Windows\System32\StructuredQuerySchema.bin
2008-02-25 21:05	32	----a-w	C:\Users\All Users\ezsid.dat
2008-02-25 21:05	32	----a-w	C:\ProgramData\ezsid.dat
2008-02-25 16:22	22	--sha-w	C:\Windows\SMINST\HPCD.sys
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-19 09:33 1233920]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-02-06 19:21 21898024]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 09:33 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PDF Complete"="C:\Program Files\PDF Complete\pdfsty.exe" [2007-05-08 08:38 331552]
"PTHOSTTR"="C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 15:52 145184]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 15:36 827392]
"HP Health Check Scheduler"="C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-03-12 11:54 50696]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"CognizanceTS"="C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 19:12 17920]
"HP Software Update"="c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-15 13:08 1097728]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 15:05 959976]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 18:41 1232896]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-08-10 22:49:27 113664]
DVD Check.lnk - C:\Program Files\InterVideo\DVD Check\DVDCheck.exe [2008-02-25 16:15:39 192512]
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-07-20 16:08:41 91440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=APSHook.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.mjpg"= pvmjpg30.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{D7F80BE7-4073-4B6A-A8E1-A2D0DD290C02}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{E79EABEC-4C38-40CB-9355-D82C965626C8}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{8439A048-C5A3-493B-ACB7-C5EE99AFD36B}C:\\program files\\trillian\\trillian.exe"= UDP:C:\program files\trillian\trillian.exe:Trillian
"UDP Query User{7A64B10F-605B-4AB7-9857-3F150E6C6394}C:\\program files\\trillian\\trillian.exe"= TCP:C:\program files\trillian\trillian.exe:Trillian
"TCP Query User{17E9861C-A63E-4518-85A9-A154791BC0A3}C:\\program files\\skype\\phone\\skype.exe"= UDP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath 
"UDP Query User{2AAB5488-B27C-441C-B7B7-5746F9325CA7}C:\\program files\\skype\\phone\\skype.exe"= TCP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath 
"{8C2A436E-CAFD-481B-BC13-6B79E2B69498}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{9C80B6CB-9B82-43CD-86BA-F7E70C444361}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{AC354659-1FD1-4D41-BF20-2B160EE397A6}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{E4CADAB0-B6E8-4E4C-95B2-7B3F8E82CCFC}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{D791F72A-BDBD-4A0B-8CBF-290CEF7B245E}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{0207F2B6-42B5-471C-A8BC-B356C6503F5E}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{F6556854-1C99-46F0-98C3-490815F9CAF9}"= UDP:C:\Program Files\Pinnacle\Studio 12\Programs\RM.exe:Render Manager
"{B77FF5E5-5AC2-49CB-8806-6B84BE7A05BF}"= TCP:C:\Program Files\Pinnacle\Studio 12\Programs\RM.exe:Render Manager
"{7D2828E4-70F0-42C8-A4CB-18E0D6DCCD25}"= UDP:C:\Program Files\Pinnacle\Studio 12\Programs\Studio.exe:Studio
"{163F3F18-D8CD-45B3-8A3B-26532A52BC4C}"= TCP:C:\Program Files\Pinnacle\Studio 12\Programs\Studio.exe:Studio
"{BDDC6415-99A2-4061-9432-4FA538756BF4}"= UDP:C:\Program Files\Pinnacle\Studio 12\Programs\umi.exe:umi
"{478887DB-5617-4B91-89C8-87DA885E1C74}"= TCP:C:\Program Files\Pinnacle\Studio 12\Programs\umi.exe:umi

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R0 AtiPcie;ATI PCI Express (3GIO) Filter;C:\Windows\system32\DRIVERS\AtiPcie.sys [2006-10-30 13:23]
R2 ASBroker;Anmeldesitzungsbroker;C:\Windows\System32\svchost.exe [2008-01-19 09:33]
R2 ASChannel;Lokaler Verbindungskanal;C:\Windows\System32\svchost.exe [2008-01-19 09:33]
R2 BcmSqlStartupSvc;SQL Server-Startdienst für Business Contact Manager;C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe [2008-01-16 10:51]
R2 pdfcDispatcher;PDF Document Manager;C:\Program Files\PDF Complete\pdfsvc.exe [2007-05-08 08:38]
R2 TeamViewer;TeamViewer 3;C:\Program Files\TeamViewer3\TeamViewer_Host.exe [2008-03-12 10:50]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;C:\Windows\system32\DRIVERS\b57nd60x.sys [2007-02-26 16:52]
S3 btwaudio;Bluetooth-Audiogerät;C:\Windows\system32\drivers\btwaudio.sys [2007-05-11 12:42]
S3 btwavdt;Bluetooth AVDT;C:\Windows\system32\drivers\btwavdt.sys [2007-05-11 12:42]
S3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2007-05-11 12:42]
S3 G3GRUMDM;G3G R USB Modem;C:\Windows\system32\DRIVERS\g3grumdm.sys [2006-10-16 14:45]
S3 G3GRUSER;G3G R USB Serial;C:\Windows\system32\DRIVERS\g3gruser.sys [2006-10-16 14:45]
S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2008-02-26 22:08]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
bthsvcs	REG_MULTI_SZ   	BthServ
Cognizance	REG_MULTI_SZ   	ASBroker ASChannel

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]
msiexec /fums {990BA001-D69F-9DB2-56CE-88E0399B30FB} /qb

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Program Files\Common Files\LightScribe\LSRunOnce.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2008-08-15 C:\Windows\Tasks\User_Feed_Synchronization-{FFC4BDF0-3F1B-4E8F-A64B-27433AD84B8A}.job
- C:\Windows\system32\msfeedssync.exe [2008-01-19 09:33]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-MSSMSGS - winvtu32.rom


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\k1evbgjs.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.***.de


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-16 11:00:27
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Windows\System32\Ati2evxx.exe
C:\Windows\System32\audiodg.exe
C:\Windows\System32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\System32\agrsmsvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe
C:\Windows\System32\conime.exe
C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Service.exe
C:\Windows\SMINST\Scheduler.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-16 11:08:59 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-08-16 09:06:51

Pre-Run: 11 Verzeichnis(se), 98,194,358,272 Bytes frei
Post-Run: 21 Verzeichnis(se), 98,041,057,280 Bytes frei

286	--- E O F ---	2008-08-16 01:12:46
Ich hoffe, nun kann mir jemand helfen.

LG
__________________
Alt 16.08.2008, 17:19   #34
Caprise
 
Trojaner, was kann ich tun? - Standard

Trojaner, was kann ich tun?


So, habe nun noch den Antivir laufen lassen.
Hier der Report:

Code:
ATTFilter
Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\k1evbgjs.default\Cache\C2152591d01
    [0] Archivtyp: RAR SFX (self extracting)
    --> 327882R2FWJFW\NirCmd.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 327882R2FWJFW\nircmd.com
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 327882R2FWJFW\NirCmdC.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
    --> 327882R2FWJFW\psexec.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
    --> 327882R2FWJFW\pv.cfexe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Users\***\Desktop\ComboFix.exe
    [0] Archivtyp: RAR SFX (self extracting)
    --> 327882R2FWJFW\NirCmd.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 327882R2FWJFW\nircmd.com
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 327882R2FWJFW\NirCmdC.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
    --> 327882R2FWJFW\psexec.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
    --> 327882R2FWJFW\pv.cfexe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
    [WARNUNG]   Die Datei wurde ignoriert.
C:\Users\Romina\DoctorWeb\Quarantine\C2152591d01
    [0] Archivtyp: RAR SFX (self extracting)
    --> 327882R2FWJFW\NirCmd.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 327882R2FWJFW\nircmd.com
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 327882R2FWJFW\NirCmdC.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
    --> 327882R2FWJFW\psexec.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
    --> 327882R2FWJFW\pv.cfexe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Users\***\DoctorWeb\Quarantine\ComboFi0.exe
    [0] Archivtyp: RAR SFX (self extracting)
    --> 327882R2FWJFW\NirCmd.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 327882R2FWJFW\nircmd.com
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 327882R2FWJFW\NirCmdC.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
    --> 327882R2FWJFW\psexec.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
    --> 327882R2FWJFW\pv.cfexe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'E:\' <OS_TOOLS>
Beginne mit der Suche in 'F:\' <HP_RECOVERY>


Ende des Suchlaufs: Samstag, 16. August 2008  18:14
Benötigte Zeit:  2:32:49 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  25903 Verzeichnisse wurden überprüft
 482063 Dateien wurden geprüft
     20 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      3 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 482042 Dateien ohne Befall
  12251 Archive wurden durchsucht
      2 Warnungen
      3 Hinweise
  96220 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Alt 16.08.2008, 23:36   #35
Caprise
 
Trojaner, was kann ich tun? - Standard

Trojaner, was kann ich tun?


So und hier nun auch noch das aktuelle Log von HiJackThis:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:07:00, on 14.08.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\SMINST\scheduler.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\PDF Complete\pdfsty.exe
C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\pthosttr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=none&bd=smb&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=none&bd=smb&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL (file missing)
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [PDF Complete] "C:\Program Files\PDF Complete\pdfsty.exe"
O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [ST Recovery Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winvtu32.rom,HKeRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix: 
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: APSHook.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - Unknown owner - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: lxbs_device - Lexmark International, Inc. - C:\Windows\system32\lxbscoms.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - C:\Program Files\TeamViewer3\TeamViewer_Host.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 10388 bytes


Alt 17.08.2008, 16:19   #36
undoreal
/// AVZ-Toolkit Guru
 
Trojaner, was kann ich tun? - Standard

Trojaner, was kann ich tun?



Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\Windows\bwUnin-8.1.1.87-8876480SL.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Systembereinigung
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Beende alle anderen Arbeiten am PC und speichere alle offenen Projekte.
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!

  • Unter File -> Database Update ->Start drücken.
  • Unter AVZPM -> Install extended monitoring driver drücken.
  • Unter AVZGuard -> Enable AVZGuard drücken dieser verhindert alle anderen Arbeiten am PC!

  • Im Hauptfenster oben sind verschiedene Reiter. Im Linken kannst du die Search Range einstellen. Mache hier bitte Haken vor alle deine Festplatten.
  • Im Reiter daneben kannst du die File Types einstellen. Wähle hier bitte All files.
  • Im Reiter ganz rechts kannst du die Search parameters einstellen. Schiebe den Regler der Heuristic Analysis bitte nach ganz oben und setzte den Haken bei Extended analysis. Alles weitere bleibt wie es ist!
  • Dann setzte rechts im Hauptfenster unter Actions den Haken bei Perform healing und danach unbedingt auch den Haken bei Copy deletet files to "infected" Folder. Sonst werden keine Backups erstellt!
Die letzten Einstellungen werden nochmal in folgendem Bild zusammengefasst. Gleiche sie bitte genau mit deinen Einstellungen ab!
  • Nun starte den Scan bitte durch Drücken des Start Buttons.

  • Nachdem der Scan beendet ist klicke auf den Disketten Speicher-Button und speichere das log im AVZ Ordner auf dem Desktop.
    Danach klicke auf die Brille darunter. Es öffnet sich ein Fenster bei dem unten rechts bitte auf Save as CSV klickst und die Datei ebenfalls im AVZ Ordner abspeicherst.
  • Die beiden logs hänge bitte an deinen nächsten Post an.

  • Deaktiviere den AVZGuard: Im Hauptfenster unter AVZGuard -> Disable AVZGuard.


Systemanalyse
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Unter File -> Database Update Start drücken.
  • Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  • Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  • Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.
__________________
--> Trojaner, was kann ich tun?

Alt 17.08.2008, 17:15   #37
Caprise
 
Trojaner, was kann ich tun? - Standard

Trojaner, was kann ich tun?


Also Virustotal hat bei

C:\Windows\bwUnin-8.1.1.87-8876480SL.exe folgendes angezeigt:



Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.15.0	2008.08.15	-
AntiVir	7.8.1.19	2008.08.16	-
Authentium	5.1.0.4	2008.08.17	-
Avast	4.8.1195.0	2008.08.17	-
AVG	8.0.0.161	2008.08.17	-
BitDefender	7.2	2008.08.17	-
CAT-QuickHeal	9.50	2008.08.16	-
ClamAV	0.93.1	2008.08.16	-
DrWeb	4.44.0.09170	2008.08.17	-
eSafe	7.0.17.0	2008.08.17	-
eTrust-Vet	31.6.6035	2008.08.15	-
Ewido	4.0	2008.08.17	-
F-Prot	4.4.4.56	2008.08.17	-
F-Secure	7.60.13501.0	2008.08.17	Suspicious:W32/Netsnake.n!Gemini
Fortinet	3.14.0.0	2008.08.17	-
GData	2.0.7306.1023	2008.08.16	-
Ikarus	T3.1.1.34.0	2008.08.17	-
K7AntiVirus	7.10.417	2008.08.15	-
Kaspersky	7.0.0.125	2008.08.17	-
McAfee	5362	2008.08.15	-
Microsoft	1.3807	2008.08.17	-
NOD32v2	3362	2008.08.17	-
Norman	5.80.02	2008.08.15	-
Panda	9.0.0.4	2008.08.17	-
PCTools	4.4.2.0	2008.08.17	-
Prevx1	V2	2008.08.17	-
Rising	20.57.62.00	2008.08.17	-
Sophos	4.32.0	2008.08.17	-
Sunbelt	3.1.1546.1	2008.08.15	-
Symantec	10	2008.08.17	-
TheHacker	6.3.0.3.052	2008.08.17	-
TrendMicro	8.700.0.1004	2008.08.16	-
VBA32	3.12.8.3	2008.08.17	-
ViRobot	2008.8.16.1338	2008.08.16	-
VirusBuster	4.5.11.0	2008.08.17	-
Webwasher-Gateway	6.6.2	2008.08.17	-
weitere Informationen
File size: 130208 bytes
MD5...: c84b25ae27af071a7fbad6bab574ec5d
SHA1..: c1b146c378e8b292f6fa42aad4702d38129eff43
SHA256: 17dd4f657a9ce9140362c485e4a261b54ef4ae51d97f4b990202b803c398f3e3
SHA512: 6f012e21149d989163f3909e124528d1e3d782e8fb48c310d0809f73e9bfb2b2
a2eacb55791a571e19045986068a8b928984baaac78a7d07f2b3d1fe525b5b48
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40e536
timedatestamp.....: 0x47e64e25 (Sun Mar 23 12:33:41 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xe116 0xf000 6.21 5cc4838c05a582ffe32700b762f2d085
.rdata 0x10000 0x3c02 0x4000 5.36 4e95d9eea8447cf0ec96c42d37a88f84
.data 0x14000 0xb718 0x9000 4.90 88029d506fe8c670961cc22c21a73fe8
.rsrc 0x20000 0x1480 0x2000 3.33 51821de9e562ddbcf3a639e2019ca827

( 8 imports )
> MSVCRT.dll: _except_handler3, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _onexit, __dllonexit, _chsize, fseek, fwrite, fread, _get_osfhandle, sscanf, _stat, swprintf, memset, strchr, realloc, atoi, fgets, _mbschr, _mbsdec, strncat, malloc, free, _purecall, ctime, fprintf, fflush, ftell, rename, memcpy, _iob, vfprintf, fopen, _unlink, _ftime, _strnicmp, memcmp, strrchr, _setmbcp, _snprintf, _mbslwr, strcpy, strlen, _errno, sprintf, _mbsrchr, __CxxFrameHandler, _mbsicmp, __3@YAXPAX@Z, strcat, strcmp, _rmdir, toupper, _ultoa, strncmp, _findnext, remove, strncpy, strstr, _findclose, __2@YAPAXI@Z, _chmod, _findfirst, _stricmp, fclose
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> KERNEL32.dll: ReleaseMutex, GetModuleHandleA, GetFileType, PeekNamedPipe, GetFileTime, GetFileSize, RemoveDirectoryA, LocalFree, OpenMutexA, Sleep, lstrlenW, WideCharToMultiByte, GetTickCount, MultiByteToWideChar, CreateDirectoryA, MoveFileExA, GetWindowsDirectoryA, GetCurrentThread, GetPrivateProfileSectionNamesA, GetPrivateProfileStringA, GetPrivateProfileSectionA, SetLastError, ExpandEnvironmentStringsA, GetEnvironmentVariableA, SetEnvironmentVariableA, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetCurrentThreadId, GetCurrentProcess, OpenProcess, TerminateProcess, GetSystemDirectoryA, WritePrivateProfileStringA, lstrcmpA, GetTempPathA, LoadLibraryExA, GetFileAttributesA, DeleteFileA, CopyFileA, GetLocaleInfoA, SetFileAttributesA, lstrcatA, SleepEx, FindResourceA, LoadResource, SearchPathA, GetShortPathNameA, GetModuleFileNameA, GetStartupInfoA, CreateProcessA, LoadLibraryA, GetProcAddress, FreeLibrary, CreateMutexA, WaitForSingleObject, GetLastError, lstrlenA, lstrcpyA, GetVersionExA, CloseHandle
> USER32.dll: GetClassNameA, SendMessageTimeoutA, FindWindowA, EnumWindows, GetLastActivePopup, IsWindow, PostMessageA, ExitWindowsEx, IsIconic, GetClientRect, DrawIcon, MessageBoxA, SystemParametersInfoA, UpdateWindow, KillTimer, SendMessageA, SetTimer, EnableWindow, LoadIconA, MsgWaitForMultipleObjects, PeekMessageA, GetSystemMetrics, DispatchMessageA, TranslateMessage, LoadStringA
> ADVAPI32.dll: RegEnumKeyA, RegDeleteKeyA, RegFlushKey, GetServiceKeyNameA, OpenSCManagerA, CloseServiceHandle, LookupPrivilegeValueA, AdjustTokenPrivileges, GetUserNameA, RegSetValueExA, RegEnumValueA, RegCloseKey, RegCreateKeyExA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, OpenProcessToken, RegDeleteValueA, RegQueryInfoKeyA, RegOpenKeyExA, RegQueryValueExA
> SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA, SHGetMalloc
> ole32.dll: CoTaskMemFree, CoUninitialize, StringFromCLSID, CLSIDFromProgID, CoInitialize, CoCreateInstance
> OLEAUT32.dll: -, -

( 2 exports )
GetUninstallerPath, RemoveUnusedVersions

Alt 17.08.2008, 17:42   #38
undoreal
/// AVZ-Toolkit Guru
 
Trojaner, was kann ich tun? - Standard

Trojaner, was kann ich tun?


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
C:\Windows\bwUnin-8.1.1.87-8876480SL.exe
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 18.08.2008, 08:10   #39
Caprise
 
Trojaner, was kann ich tun? - Standard

Trojaner, was kann ich tun?


und hier das AVZ Log.

Alt 18.08.2008, 08:16   #40
Caprise
 
Trojaner, was kann ich tun? - Standard

Trojaner, was kann ich tun?


und das Log vom Avenger

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Windows\bwUnin-8.1.1.87-8876480SL.exe" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Alt 18.08.2008, 08:32   #41
undoreal
/// AVZ-Toolkit Guru
 
Trojaner, was kann ich tun? - Standard

Trojaner, was kann ich tun?


Die Dateien die in die Quarantäne gewandert sind kannst du wieder herstellen.

AVZ öffnen File->Quarantine Folder Viewer Dateien markieren und dann auf wiederherstellen klicken..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 18.08.2008, 08:47   #42
Caprise
 
Trojaner, was kann ich tun? - Standard

Trojaner, was kann ich tun?


Okay, hab ich gemacht.

Hie rnochmal das aktuelle HijackThis Log.

Ist das nun okay?



Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:07:00, on 14.08.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\SMINST\scheduler.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\PDF Complete\pdfsty.exe
C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\pthosttr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=none&bd=smb&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=none&bd=smb&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL (file missing)
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [PDF Complete] "C:\Program Files\PDF Complete\pdfsty.exe"
O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [ST Recovery Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winvtu32.rom,HKeRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix: 
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: APSHook.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - Unknown owner - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: lxbs_device - Lexmark International, Inc. - C:\Windows\system32\lxbscoms.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - C:\Program Files\TeamViewer3\TeamViewer_Host.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 10388 bytes

Alt 18.08.2008, 08:49   #43
undoreal
/// AVZ-Toolkit Guru
 
Trojaner, was kann ich tun? - Standard

Trojaner, was kann ich tun?


Da ist noch ein Eintrag drinn aus dem ich nicht schlau werde. Kannst du die AVZ Systemanalyse noch ausführen bitte und das log posten. Hatte ich weiter unten gepostet..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 18.08.2008, 08:57   #44
Caprise
 
Trojaner, was kann ich tun? - Standard

Trojaner, was kann ich tun?


so, da isse: http://rapidshare.com/files/13816552...sinfo.zip.html
Geändert von Caprise (18.08.2008 um 09:04 Uhr)

Alt 18.08.2008, 09:38   #45
undoreal
/// AVZ-Toolkit Guru
 
Trojaner, was kann ich tun? - Standard

Trojaner, was kann ich tun?


Suche mal bitte nach der Datei: LSSrvc.exe und lade sie bei Virustotal hoch..

PS: Und die hier auch: TeamViewer_Host.exe
C:\Windows\system32\drivers\mwsbpc.sys
C:\Windows\system32\DRIVERS\ssmdrv.sys
C:\Windows\system32\DRIVERS\avipbb.sys
C:\Windows\SMINST\launcher.exe
C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe
C:\Windows\System32\Drivers\PxHelp20.sys

Das sieht nicht besonders rosig aus... Da steht eine Verbindung nach Bulgarien und die Dateien sind Besorgniss erregend..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Geändert von undoreal (18.08.2008 um 09:54 Uhr)

Antwort
Seite 3 von 5 12 3 45

Themen zu Trojaner, was kann ich tun?
ad-aware, add-on, agere systems, antivir, antivirus, ask toolbar, avg, avira, bho, browser, das angegebene modul wurde nicht gefunden, desktop, document, fehler, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet security, launch, letzt, local\temp, mozilla, mozilla firefox, nicht gefunden, rundll, security, skype.exe, software, spyware, super, symantec, system, toolbars, trojaner, vista, windows, windows defender, windows sidebar


« firefox und IE, poppen ständig werbungen auf | Antivir stört mit Fehlermeldungen: Trojaner TR/Crypt.XPACK.Gen »


Ähnliche Themen: Trojaner, was kann ich tun?


  1. GVU-Trojaner - PC auf früheren Zeitpunkt zurück gesetzt - Wie kann ich nun sicher gehen,dass der Trojaner entfernt ist?
    Plagegeister aller Art und deren Bekämpfung - 06.04.2013 (15)
  2. Kann ein Trojaner den Router infizieren
    Plagegeister aller Art und deren Bekämpfung - 02.10.2012 (1)
  3. Gema Trojaner - Wer kann helfen?
    Log-Analyse und Auswertung - 04.03.2012 (1)
  4. Was kann ein Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 04.01.2012 (5)
  5. Trojaner Kozy - desktop schwarz daten weg - wie kann ich den trojaner entfernen?
    Log-Analyse und Auswertung - 30.04.2011 (1)
  6. 20-TAN-TROJANER -- Was kann er anrichten?
    Plagegeister aller Art und deren Bekämpfung - 19.10.2010 (0)
  7. habe glaub ich üblen Trojaner, kann nicht auf Trojaner board, malbytes Seiten
    Plagegeister aller Art und deren Bekämpfung - 29.06.2009 (2)
  8. wie kann ich feststellen ob ein trojaner weg ist?
    Plagegeister aller Art und deren Bekämpfung - 17.06.2009 (0)
  9. der trojaner kann mir nichts!
    Mülltonne - 06.12.2008 (0)
  10. Wie kann ich Trojaner etc. entfernen?
    Mülltonne - 11.08.2008 (0)
  11. Trojaner.vundo..Wie kann ich ihn löschen?
    Plagegeister aller Art und deren Bekämpfung - 30.07.2008 (3)
  12. Trojaner auf PC! Was kann ich tun?
    Plagegeister aller Art und deren Bekämpfung - 11.03.2008 (11)
  13. trojaner? wer kann helfen
    Log-Analyse und Auswertung - 07.06.2007 (3)
  14. Trojaner Befall, wer kann helfen?
    Log-Analyse und Auswertung - 17.03.2006 (8)
  15. Trojaner - was muß/kann ich tun?
    Log-Analyse und Auswertung - 24.02.2006 (10)
  16. Kann das ein Trojaner verursachen??
    Log-Analyse und Auswertung - 22.02.2006 (10)
  17. Wie kann ich Trojaner bekämpfen?
    Plagegeister aller Art und deren Bekämpfung - 12.05.2005 (19)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner, was kann ich tun? - so, ich versuchs jetzt mal mit Ruhe und Muße.... hmmmm Nur eine Frage, kann man die Scanner irgendwie schneller kriegenß hab schon alles möglich sinnlose aus gemacht. Aber das dauert - Trojaner, was kann ich tun?...
Archiv
Du betrachtest: Trojaner, was kann ich tun? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19