Trojaner kommt immer wieder...

souldancerx · 23.08.2008, 06:42

Zunächst mal einen schönen Gruß!
Echt tolles Board!

Nun zu meinem Problem:

Ich benutze Windows XP SP3 mit Avira AntiVir Personal - Free Antivirus Guard und dieser meldet mir seit geraumer Zeit immer wieder den ein und selben Trojaner (genaugenommen sind es immer 2 Stück).
Wenn ich dann auf löschen drücke, kommen sie ein paar stunden später wieder.
Ich poste mal den HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:39:05, on 23.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\******\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.***.***.***
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {109BE732-8F8C-49D4-A3F4-FEDCAC7F0A25} - C:\WINDOWS\system32\cbXOeCvS.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [BVRPLiveUpdate] C:\Programme\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOKUME~1\ALLUSE~1\ANWEND~1\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: cbXOeCvS - C:\WINDOWS\SYSTEM32\cbXOeCvS.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5833 bytes

Vielen Dank für eure Hilfe!

LG souldancerx

nochdigger · 23.08.2008, 07:24

Hallo und

kannst du alle versteckten Dateien und Ordner sehen?

Kennst du diese Programme?

Zitat:

C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOKUME~1\ALLUSE~1\ANWEND~1\SONYER~1\SO NYER~1\LIVEUP~1\LISTOF~1.DAT

Zitat:

Free Antivirus Guard und dieser meldet mir seit geraumer Zeit immer wieder den ein und selben Trojaner (genaugenommen sind es immer 2 Stück).

Dann verrate uns doch auch was wo (Pfad/Dateiname) gefunden wird

Lass diese Datei
C:\WINDOWS\system32\cbXOeCvS.dll
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

souldancerx · 23.08.2008, 10:51

Hi nochdigger!
Danke für deine Antwort.

Zum ersten: C:\Programme\Gemeinsame Dateien\AAV\aavs.exe das kenne ich, das ist meine Steuererklärungssoft
Aber das zweite kenne ich überhaupt nicht. Wie soll ich damit umgehen? Einfach innen Papierkorb??? Oder irgendwie besonders behandeln?

Ich habe mal wie du oben siehst ein Image eingefügt, wo du sehen kannst wie die zwei Übeltäter heißen, aber die haben immer wieder verschiedene Namen!

Hier mal die Pfade:

C:\WINDOWS\system32\byXPHbCT.dll
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XERC5YER\CANPAQTW

Aber in den Fettmarkierten Bereich komme ich nicht hin, obwohl ich alle Dateien und Ordner sichtbar habe.
Und IE5 steht ja bestimmt für den Internet Explorer 5 obwohl ich den Mozilla Firefox benutze!

Danke
Gruß
souldancerx

Olle · 23.08.2008, 11:23

versuch mal deine temporary internet files komplett zu leeren. entweder mit dem von windows gestellten "festplatte aufräumen" oder du nutzt Ccleaner

souldancerx · 23.08.2008, 11:39

Ja CCleaner benutze ich. Aber das habe ich auch schon gemacht kommt leider immer wieder...

Hallo nochdigger ich glaube das ist aussagekräftig oder?

VirSCAN.org Scanned Report :
Scanned time : 2008/08/23 13:06:22 (CEST)
Scanner results: 72% der Scanner (26/36) haben Malware gefunden!
File Name : cbXOeCvS.dll
File Size : 35328 byte
File Type : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5 : 84053e492a5556f43756d853319cb952
SHA1 : 23ba6351c26bb33f8c1a0f0cfb4003dd5869b2ce
Online report : http://virscan.org/report/72b85cbbc2...ed429be70.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 3.5.0.22 2008.08.21 2008-08-21 2.68 Trojan.Win32.Monderb.ehj
AhnLab V3 2008.08.23.00 2008.08.23 2008-08-23 0.92 Win-Trojan/Vundo.35328.G
AntiVir 7.8.1.23 7.0.6.59 2008-08-23 2.24 ADSPY/Virtumonde.AA9
Arcavir 1.0.5 200808222101 2008-08-22 1.20 Trojan.Downloader.Small.Zs
AVAST! 3.0.1 080822-0 2008-08-22 0.00 Win32:Vundo-DM [Trj]
AVG 7.5.51.442 270.6.7/1628 2008-08-22 1.53 Vundo.AE
BitDefender 7.60825.1571953 7.20634 2008-08-23 2.82 Trojan.Vundo.FET
CA (VET) 9.0.0.143 31.6.6040 2008-08-22 6.00 Win32/VundoCryptorI!Generic trojan.
ClamAV 0.93.3 8077 2008-08-23 0.01 Trojan.Vundo-7084
Comodo 2.11 2.0.0.625 2008-08-23 0.44 -
CP Secure 1.1.0.715 2008.08.21 2008-08-21 6.22 -
Dr.Web 4.44.0.9170 2008.08.23 2008-08-23 3.10 Trojan.Virtumod.448
ewido 4.0.0.2 2008.08.23 2008-08-23 2.45 -
F-Prot 4.4.4.56 20080822 2008-08-22 1.13 -
F-Secure 5.51.6100 2008.08.22.06 2008-08-22 0.03 Trojan.Win32.Monderb.eaf [AVP]
Fortinet 2.81-3.11 9.464 2008-08-23 1.90 W32/Monderb.EAF!tr
ViRobot 20080822 2008.08.22 2008-08-22 0.45 Trojan.Win32.Monder.35328.C
Ikarus T3.1.01.34 2008.08.23.71326 2008-08-23 3.95 AdWare.Virtumonde.AA9
JiangMin 11.0.706 2008.08.23 2008-08-23 1.19 Backdoor/Huigezi.2008.qug
Kaspersky 5.5.10 2008.08.23 2008-08-23 0.03 Trojan.Win32.Monderb.eaf
KingSoft 2008.1.14.15 2008.8.23.15 2008-08-23 0.57 Win32.Troj.Monderb.35328
McAfee 5.2.00 5368 2008-08-22 4.25 Vundo.gen.h
Microsoft 1.3807 2008.08.23 2008-08-23 5.49 Trojan:Win32/Vundo.gen!R
mks_vir 2.01 2008.08.19 2008-08-19 2.56 -
Norman 5.93.01 5.93.00 2008-08-22 4.89 W32/Vundo.DYC
Panda 9.05.01 2008.08.22 2008-08-22 3.35 -
Trend Micro 8.700-1004 5.496.02 2008-08-23 0.53 -
Quick Heal 9.50 2008.08.22 2008-08-22 1.69 Trojan.Monderb.dxo
Rising 20.0 20.58.52.00 2008-08-23 0.85 Packer.Win32.Agent.v
Sophos 2.77.0 4.32 2008-08-23 1.96 Mal/Generic-A
Sunbelt 3.1.1571.1 2202 2008-08-22 0.42 Trojan.Win32.Monder.gen
Symantec 1.3.0.24 20080822.003 2008-08-22 0.06 -
nProtect 2008-08-22.00 1909009 2008-08-22 3.38 Trojan/W32.Monderb.35328.B
The Hacker 6.3.0.6 v00060 2008-08-22 0.43 -
VBA32 3.12.8.4 20080822.0823 2008-08-22 1.11 Trojan.Win32.Monderb.ekg
VirusBuster 4.5.11.10 10.84.8/598408 2008-08-22 0.80 -

nochdigger · 23.08.2008, 12:46

Hallo

Zitat:

Hallo nochdigger ich glaube das ist aussagekräftig oder?

Na ja

Deinstalliere bitte deine alten Javaversionen (aktuell ist jre1.6.0_07) über
Start -> Einstellungen -> Systemsteuerung -> Software

Starte HijackThis mit der Option - Scan - und hake diese Einträge an

Zitat:

O2 - BHO: (no name) - {109BE732-8F8C-49D4-A3F4-FEDCAC7F0A25} - C:\WINDOWS\system32\cbXOeCvS.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: cbXOeCvS - C:\WINDOWS\SYSTEM32\cbXOeCvS.dll

klicke dann auf - fix checked - und beende Hijackthis, lass dann bitte im direkten Anschluß Malwarebytes
http://www.trojaner-board.de/51187-a...i-malware.html
dein System bereinigen und poste anschließend das Log.

Erstelle und poste bitte auch ein frisches HijackThis Log.

MFG

souldancerx · 23.08.2008, 16:13

Ok habe das mal gemacht:

Hier der Malwarebytes' Bericht:

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1078
Windows 5.1.2600 Service Pack 3

17:10:41 23.08.2008
mbam-log-08-23-2008 (17-10-41).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 104958
Laufzeit: 28 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 12

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\QIP\unqip.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6A9E32FF-4320-482E-86BF-F99126AF4670}\RP81\A0015246.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6A9E32FF-4320-482E-86BF-F99126AF4670}\RP85\A0015662.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6A9E32FF-4320-482E-86BF-F99126AF4670}\RP85\A0015851.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6A9E32FF-4320-482E-86BF-F99126AF4670}\RP116\A0023516.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6A9E32FF-4320-482E-86BF-F99126AF4670}\RP116\A0023517.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6A9E32FF-4320-482E-86BF-F99126AF4670}\RP116\A0023518.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6A9E32FF-4320-482E-86BF-F99126AF4670}\RP116\A0023519.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6A9E32FF-4320-482E-86BF-F99126AF4670}\RP116\A0023520.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6A9E32FF-4320-482E-86BF-F99126AF4670}\RP116\A0023521.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6A9E32FF-4320-482E-86BF-F99126AF4670}\RP116\A0023522.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6A9E32FF-4320-482E-86BF-F99126AF4670}\RP116\A0023523.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

Hier der neue HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:12:10, on 23.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\Kaspersky\Kaspersky Anti-Virus 2009\avp.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Kaspersky\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\*****\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [BVRPLiveUpdate] C:\Programme\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOKUME~1\ALLUSE~1\ANWEND~1\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~2\KASPER~1\mzvkbd.dllC:\PROGRA~1\KASPER~2\KASPER~1\mzvkbd3.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5149 bytes

Danke schonmal für deine Bemühungen und Tips nochdigger!!!

nochdigger · 23.08.2008, 16:28

Hallo

da war doch noch die eine oder andere Frage offen...

Zitat:

Kennst du diese Programme?
Zitat:

Zitat:

C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOKUME~1\ALLUSE~1\ANWEND~1\SONYER~1\SO NYER~1\LIVEUP~1\LISTOF~1.DAT

Dann verrate uns doch auch was wo (Pfad/Dateiname) gefunden wird

Deaktiviere bitte die Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.

Neuer scan mit Malwarebytes und Log posten.

Erstelle bitte eine Übersicht mit der Filelist
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG

souldancerx · 23.08.2008, 17:05

Also die zwie Programme habe ich mittlerweile ausfindig machen können

Das eine ist wie schon geschrieben die Steuererklärungssoftware und das andere ist ein Programm von SonyEricsson...

Hier der neue Log von Malwarebytes':

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1078
Windows 5.1.2600 Service Pack 3

17:58:16 23.08.2008
mbam-log-08-23-2008 (17-58-16).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 93671
Laufzeit: 18 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

filelist.zip:

Verzeichnis von C:\

23.08.2008 17:36 1.598.029.824 pagefile.sys
23.08.2008 11:21 211 boot.ini
25.07.2008 13:00 251.712 ntldr

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14C6-5A4B

Verzeichnis von C:\WINDOWS\system32

22.12.2008 06:59 25.312 DivXVfWCodec.dll
22.12.2008 06:59 25.312 SamsungVfWCodec.dll
22.12.2008 06:59 447.200 OpenQuicktimeLib.dll
22.12.2008 06:59 332.512 3ivxVfWCodec.dll
22.12.2008 06:58 1.155.808 3ivx.dll
22.12.2008 06:52 66.272 libfaac.dll
23.08.2008 17:41 60.958 perfc009.dat
23.08.2008 17:41 400.798 perfh009.dat
23.08.2008 17:41 415.350 perfh007.dat
23.08.2008 17:41 73.896 perfc007.dat
23.08.2008 17:41 961.474 PerfStringBackup.INI
23.08.2008 17:36 125.146 oodbs.lor
17.08.2008 13:59 2.206 wpa.dbl
15.08.2008 16:34 359.250 TZLog.log
05.08.2008 20:11 15.888.504 MRT.exe
29.07.2008 20:21 218.376 klogon.dll
25.07.2008 13:20 253 spupdwxp.log
25.07.2008 13:19 267.008 FNTCACHE.DAT
25.07.2008 10:46 16.832 amcompat.tlb
25.07.2008 10:46 23.392 nscompat.tlb

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14C6-5A4B

Verzeichnis von C:\WINDOWS\Prefetch

23.08.2008 17:58 16.840 NOTEPAD.EXE-336351A9.pf
23.08.2008 17:50 68.438 FIREFOX.EXE-1D57670A.pf
23.08.2008 17:40 28.528 WMIPRVSE.EXE-28F301A9.pf
23.08.2008 17:40 23.972 WMIADAP.EXE-2DF425B2.pf
23.08.2008 17:39 55.794 MBAM.EXE-11D8BBD8.pf
23.08.2008 17:38 16.158 VERCLSID.EXE-3667BD89.pf
23.08.2008 17:38 59.796 WUAUCLT.EXE-399A8E72.pf
23.08.2008 17:38 1.399.036 NTOSBOOT-B00DFAAD.pf
23.08.2008 17:32 27.184 RUNDLL32.EXE-1D7C926A.pf
23.08.2008 17:31 49.442 WINRAR.EXE-3588DFE8.pf
23.08.2008 17:21 104.270 OUTLOOK.EXE-34D715FD.pf
23.08.2008 17:12 21.420 HIJACKTHIS.EXE-24639532.pf
23.08.2008 16:41 18.724 REGSVR32.EXE-25EEFE2F.pf
23.08.2008 16:41 17.578 MBAM-SETUP.TMP-03BE818C.pf
23.08.2008 16:41 14.958 MBAM-SETUP.EXE-12C20EC4.pf
23.08.2008 16:40 13.212 REGEDIT.EXE-1B606482.pf
23.08.2008 16:19 63.340 AVP.EXE-399DF7C4.pf
23.08.2008 15:59 16.714 CALC.EXE-02CD573A.pf
23.08.2008 15:35 581.662 Layout.ini
23.08.2008 15:29 15.228 LOGON.SCR-151EFAEA.pf
23.08.2008 15:00 58.362 LOGONUI.EXE-0AF22957.pf
23.08.2008 15:00 15.302 _IU14D2N.TMP-2C7FAF48.pf
23.08.2008 15:00 12.664 UNINS000.EXE-1D713BE2.pf
23.08.2008 14:59 16.200 UNINS000.EXE-06574D4D.pf
23.08.2008 14:59 12.458 JAVAWS.EXE-045BC898.pf
23.08.2008 14:59 53.906 JAVAW.EXE-2246B54F.pf
23.08.2008 14:58 11.526 JUSCHED.EXE-17878C0C.pf
23.08.2008 14:58 99.858 MSIEXEC.EXE-2F8A8CAE.pf
23.08.2008 14:58 51.492 RUNDLL32.EXE-13404D23.pf
23.08.2008 14:49 65.630 ACRORD32.EXE-153330F0.pf
23.08.2008 14:35 45.756 FIREFOX.EXE-17EE503B.pf
23.08.2008 14:31 59.932 ACRORD32INFO.EXE-19D979CC.pf
23.08.2008 14:19 21.300 OFFLB.EXE-03A7C203.pf
23.08.2008 14:08 45.308 RUNDLL32.EXE-20C15913.pf
23.08.2008 14:01 8.056 WSCNTFY.EXE-1B24F5EB.pf
23.08.2008 13:56 25.054 RUNONCE.EXE-2803F297.pf
23.08.2008 13:56 64.362 NETCFG.EXE-2EB026AE.pf
23.08.2008 13:56 11.738 GRPCONV.EXE-111CD845.pf
23.08.2008 13:56 48.998 DRVINS32.EXE-0476D5DA.pf
23.08.2008 13:54 49.762 DRVINS32.EXE-1C0B5C73.pf
23.08.2008 13:54 49.848 CLEANAPI.EXE-2FF7C7F5.pf
23.08.2008 13:53 16.494 RUNDLL32.EXE-37EEC05D.pf
23.08.2008 13:53 23.216 SETUP.EXE-3151FF80.pf
23.08.2008 13:53 55.930 RUNDLL32.EXE-1FFC673C.pf
23.08.2008 13:52 29.962 AVWSC.EXE-3AC95876.pf
23.08.2008 13:52 26.716 SETUP.EXE-1E9A0469.pf
23.08.2008 13:51 52.708 KAV8.0.0.454DE.EXE-1CCA9263.pf
23.08.2008 13:44 11.488 RUNDLL32.EXE-268BFF96.pf
23.08.2008 13:43 11.476 RUNDLL32.EXE-451FC2C0.pf
23.08.2008 13:04 48.018 AVSCAN.EXE-0D0CD933.pf
23.08.2008 13:04 42.694 AVCENTER.EXE-324B1681.pf
23.08.2008 13:01 74.048 WMPLAYER.EXE-09969333.pf
23.08.2008 12:59 29.132 RUNDLL32.EXE-17DD3F60.pf
23.08.2008 12:59 17.170 IMAPI.EXE-0BF740A4.pf
23.08.2008 12:59 15.048 ALG.EXE-0F138680.pf
23.08.2008 12:59 17.850 SVCHOST.EXE-3530F672.pf
23.08.2008 12:59 27.204 NBSERVICE.EXE-21D80A5A.pf
23.08.2008 12:59 23.804 OODAG.EXE-20DEF606.pf
23.08.2008 12:45 20.112 OORUNDLL.EXE-3B8AF565.pf
23.08.2008 12:26 18.960 GUARDGUI.EXE-3AFB6D88.pf
23.08.2008 11:32 27.542 RUNDLL32.EXE-1D6929AD.pf
23.08.2008 11:26 20.922 MSPAINT.EXE-11CBB631.pf
23.08.2008 07:28 22.980 RUNDLL32.EXE-33A5F025.pf
23.08.2008 07:25 27.790 RUNDLL32.EXE-2675E9E9.pf
23.08.2008 07:22 55.604 AVNOTIFY.EXE-0B59FC42.pf
23.08.2008 07:22 67.628 UPDATE.EXE-3A80F1D2.pf
23.08.2008 07:22 14.464 PREUPD.EXE-18CBCD87.pf
23.08.2008 07:21 27.922 MSCONFIG.EXE-35E4DAE9.pf
22.08.2008 18:18 60.530 ADOBEUPDATER.EXE-370FC314.pf
21.08.2008 21:19 40.352 ONLINEUPDATE.EXE-34F825FA.pf
21.08.2008 21:18 61.684 SSE.EXE-0AA2652D.pf
21.08.2008 21:17 47.172 STARTCENTER.EXE-06A8E113.pf
21.08.2008 21:17 79.246 SSE.EXE-01DFCD82.pf
21.08.2008 21:16 28.890 RUNDLL32.EXE-14FFC8AF.pf
21.08.2008 17:33 29.002 RUNDLL32.EXE-3FB918CC.pf
20.08.2008 20:53 52.840 HELPSVC.EXE-2878DDA2.pf
20.08.2008 20:50 40.964 DFRGNTFS.EXE-269967DF.pf
20.08.2008 20:50 15.708 DEFRAG.EXE-273F131E.pf
20.08.2008 20:35 16.502 RUNDLL32.EXE-3B6F27C3.pf
20.08.2008 20:25 13.728 RUNDLL32.EXE-377E3852.pf
20.08.2008 20:20 15.570 RUNDLL32.EXE-43046ADD.pf
20.08.2008 20:20 15.570 RUNDLL32.EXE-2D28687F.pf
20.08.2008 19:47 33.730 RUNDLL32.EXE-2D236F4C.pf
20.08.2008 19:43 15.918 SETUP.EXE-35D17F7E.pf
20.08.2008 19:43 13.498 MEDIA MANAGER 1.2 MULTILINGUA-1A837B9E.pf
20.08.2008 19:39 15.534 RUNDLL32.EXE-47B5E417.pf
20.08.2008 19:39 16.378 WUDFHOST.EXE-215E7549.pf
20.08.2008 19:39 11.524 RUNDLL32.EXE-19B3AED6.pf
20.08.2008 19:38 14.440 RUNDLL32.EXE-3C71E7A3.pf
20.08.2008 19:36 81.036 SEPCSUITE.EXE-0CC3E845.pf
20.08.2008 19:36 15.894 TASKMGR.EXE-20256C55.pf
20.08.2008 19:24 3.840 CLEANBUILD.EXE-0C47D893.pf
20.08.2008 19:23 40.466 LUKERNEL.EXE-0C4A21E9.pf
20.08.2008 19:23 42.772 SETUP.EXE-1F85B88A.pf
20.08.2008 19:22 13.612 EXPLORER.EXE-082F38A9.pf
20.08.2008 19:21 41.874 LIVEUPDATE.EXE-07F602AF.pf
20.08.2008 19:21 41.958 START.EXE-2629DD07.pf
20.08.2008 19:20 63.836 DPINST.EXE-2F33595D.pf
20.08.2008 19:20 17.880 RUNDLL32.EXE-2BE18EA2.pf
20.08.2008 19:19 36.076 _ISB.EXE-34E09CF1.pf
20.08.2008 19:19 16.100 SETUP.EXE-11B36415.pf
20.08.2008 19:18 27.574 RUNDLL32.EXE-33EA99A6.pf
19.08.2008 19:56 36.308 DIVXSM.EXE-3407AB62.pf
19.08.2008 19:49 60.068 WMPLAYER.EXE-09969339.pf
19.08.2008 19:46 20.100 MSD.EXE-0DCB01BF.pf
19.08.2008 19:33 29.844 INFIUM.EXE-2C8CB9E6.pf
19.08.2008 19:25 23.578 NMINDEXINGSERVICE.EXE-1C758E9B.pf
19.08.2008 19:25 60.304 NMIndexStoreSvr.exe-249DD3AC.pf
19.08.2008 19:25 27.374 RUNDLL32.EXE-1353199A.pf
19.08.2008 19:24 61.842 NERO.EXE-22A98954.pf
19.08.2008 19:24 27.558 RUNDLL32.EXE-184A2C73.pf
19.08.2008 19:18 82.670 USENEXT.EXE-04543AEB.pf
19.08.2008 19:17 37.026 AVGNT.EXE-18356F59.pf
19.08.2008 13:11 57.978 WMPLAYER.EXE-09969338.pf
18.08.2008 22:06 11.358 TGSETUP.EXE-22FB2A13.pf
18.08.2008 22:06 30.040 NTVDM.EXE-1A10A423.pf
18.08.2008 22:01 13.382 USENEXTSETUP_4.81.EXE-39F82B95.pf
18.08.2008 22:01 54.948 USENEXTSETUP_4.81.TMP-18C97D13.pf
18.08.2008 20:12 68.894 QIP.EXE-071FCCCB.pf
18.08.2008 20:07 98.232 UNRAR.EXE-22272163.pf
18.08.2008 19:49 71.450 WMPLAYER.EXE-0996933A.pf
18.08.2008 19:48 57.248 RUNDLL32.EXE-134FB70A.pf
18.08.2008 19:03 67.764 BWINPOKER.EXE-093828BE.pf
18.08.2008 19:03 69.606 UPDATEBWINPOKER.EXE-1D80BEF3.pf
18.08.2008 19:03 28.428 STARTBWINPOKER.EXE-0CBD2738.pf
18.08.2008 18:56 28.874 QIPINFIUM9012.TMP-320114AD.pf
18.08.2008 18:56 13.754 QIPINFIUM9012.EXE-1BC4C2A6.pf
17.08.2008 19:28 17.110 RUNDLL32.EXE-24DBE541.pf
17.08.2008 19:27 28.212 RUNDLL32.EXE-12445B6C.pf
17.08.2008 14:29 28.080 OOSERECY.EXE-1D48613A.pf
130 Datei(en) 6.560.416 Bytes
0 Verzeichnis(se), 53.965.410.304 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14C6-5A4B

Verzeichnis von C:\WINDOWS

23.08.2008 17:36 0 0.log
23.08.2008 17:36 953.176 WindowsUpdate.log
23.08.2008 17:36 157 wiadebug.log
23.08.2008 17:36 50 wiaservc.log
23.08.2008 17:36 2.048 bootstat.dat
23.08.2008 17:33 32.000 SchedLgU.Txt
23.08.2008 13:56 211.033 setupapi.log
23.08.2008 12:52 140.050 ntbtlog.txt
23.08.2008 11:21 227 system.ini
23.08.2008 11:21 633 win.ini
20.08.2008 19:39 2.585 setupact.log
20.08.2008 19:21 312.594 DPINST.LOG
19.08.2008 19:55 69 NeroDigital.ini
17.08.2008 14:23 0 Sti_Trace.log
17.08.2008 14:23 80.664 iis6.log
17.08.2008 14:23 24.790 comsetup.log
17.08.2008 14:23 15.000 ntdtcsetup.log
17.08.2008 14:23 3.732 tabletoc.log
17.08.2008 14:23 1.374 imsins.log
17.08.2008 14:23 33.852 tsoc.log
17.08.2008 14:23 4.104 ocmsn.log
17.08.2008 14:23 5.100 MedCtrOC.log
17.08.2008 14:23 35.472 ocgen.log
17.08.2008 14:23 12.996 netfxocm.log
17.08.2008 14:23 3.708 msgsocm.log
17.08.2008 14:23 74.195 FaxSetup.log
17.08.2008 14:23 22.826 msmqinst.log
17.08.2008 14:23 24.800 avmfwlanci.log
15.08.2008 16:36 1.374 imsins.BAK
15.08.2008 16:36 13.265 KB952954.log
15.08.2008 16:36 9.129 KB946648.log
15.08.2008 16:35 8.690 KB953839.log
15.08.2008 16:35 13.564 KB950974.log
15.08.2008 16:35 1.794 updspapi.log
15.08.2008 16:34 26.552 KB951072-v2.log
15.08.2008 16:34 8.588 KB952287.log
15.08.2008 16:34 8.570 KB951066.log
15.08.2008 16:34 14.371 KB953838.log
15.08.2008 16:15 1.288 spupdsvc.log
15.08.2008 10:14 8.899 KB929399.log
15.08.2008 10:13 8.625 KB939683.log
15.08.2008 10:13 8.890 KB936782.log
15.08.2008 10:13 618 wmsetup.log
15.08.2008 10:12 0 setuperr.log
10.08.2008 20:10 2.510 Microsoft.MIF
06.07.2008 22:15 0 OODCNT.INI
03.07.2008 15:17 7.252 ModemLog_Motorola USB Modem.txt

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14C6-5A4B

Verzeichnis von C:\WINDOWS\tasks

23.08.2008 18:00 496 1-Klick-Wartung.job
23.08.2008 17:36 6 SA.DAT
04.08.2004 14:00 65 desktop.ini
3 Datei(en) 567 Bytes
0 Verzeichnis(se), 53.965.410.304 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14C6-5A4B

Verzeichnis von C:\WINDOWS\temp

23.08.2008 17:57 8.192 cch~1108e8167.htp
23.08.2008 17:57 8.192 cch~1108e8957.htp
23.08.2008 17:57 8.192 cch~10ec99176.htp
23.08.2008 17:57 8.192 cch~10ec997d1.htp
23.08.2008 17:57 8.192 cch~10e9c2e11.htp
23.08.2008 17:57 8.192 cch~10e9c3a70.htp
23.08.2008 17:57 8.192 cch~10e49561b.htp
23.08.2008 17:57 8.192 cch~10e495df2.htp
23.08.2008 17:56 8.192 cch~10ad5b68d.htp
23.08.2008 17:56 8.192 cch~10ad5c8e0.htp
23.08.2008 17:56 8.192 cch~10ad57c59.htp
23.08.2008 17:56 8.192 cch~10ad4d66e.htp
23.08.2008 17:56 8.192 cch~10ad535a0.htp
23.08.2008 17:56 8.192 cch~10ad50d5d.htp
23.08.2008 17:56 8.192 cch~10ad4dfdc.htp
23.08.2008 17:56 8.192 cch~10ad584f3.htp
23.08.2008 17:56 8.192 cch~10aaa7f0d.htp
23.08.2008 17:56 8.192 cch~10aaa857a.htp
23.08.2008 17:56 8.192 cch~10a9504dc.htp
23.08.2008 17:56 8.192 cch~10a94feac.htp
17.08.2008 14:23 11.094 wudf_update.log
17.08.2008 14:22 2.416 coinlog.log
22 Datei(en) 177.350 Bytes
0 Verzeichnis(se), 53.965.410.304 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14C6-5A4B

Verzeichnis von C:\DOKUME~1\Dominik\LOKALE~1\Temp

23.08.2008 18:00 122.672 filelist.txt
23.08.2008 17:38 311.296 ~DF2FAF.tmp
23.08.2008 14:59 1.671 java_install_reg.log
23.08.2008 13:57 7.778 kl-setup-2008-08-23-13-52-10.log
23.08.2008 13:57 4.378.126 kl-install-2008-08-23-13-52-10.log
23.08.2008 13:57 372.283 caevents.log
23.08.2008 13:55 270 MSI4f83e.LOG
23.08.2008 13:54 4.098 kleaner (pid 3076) 2008-08-23 13-54-18.log
23.08.2008 13:54 17.040 kleaner (pid 3104) 2008-08-23 13-54-10.log
23.08.2008 13:54 17.040 kleaner (pid 1792) 2008-08-23 13-54-11.log
23.08.2008 13:52 17.030 kleaner (pid 3104) 2008-08-23 13-52-54.log
23.08.2008 13:52 8.096 kleaner (pid 3104) 2008-08-23 13-52-51.log
23.08.2008 13:52 11.168 tmp19.tmp
20.08.2008 19:23 229.376 7a2c.rra
17.08.2008 14:24 11.088 MMCULog.txt
17.08.2008 14:23 174 addonscheck.xml
17.08.2008 14:23 17.140 pcsuitecheck_new.xml
17.08.2008 14:22 60 MCLLog.txt
06.08.2008 13:18 43 removalfile.bat
06.08.2008 13:17 581 phpF.tmp
06.08.2008 13:17 8.737 php10.tmp
06.08.2008 13:17 297 phpE.tmp
06.08.2008 13:16 8.737 phpD.tmp
06.08.2008 13:16 581 phpC.tmp
06.08.2008 13:16 297 phpB.tmp
06.08.2008 13:16 581 php9.tmp
06.08.2008 13:16 8.737 phpA.tmp
06.08.2008 13:16 297 php8.tmp
06.08.2008 13:15 8.737 php7.tmp
06.08.2008 13:15 581 php6.tmp
06.08.2008 13:15 297 php5.tmp
06.08.2008 13:15 8.737 php4.tmp
06.08.2008 13:15 581 php3.tmp
06.08.2008 13:15 297 php2.tmp
05.08.2008 20:14 2.885 MS42.LOG
04.08.2008 20:32 0 gmj6D.tmp
37 Datei(en) 6.031.177 Bytes
0 Verzeichnis(se), 53.965.406.208 Bytes frei

So fertig...

nochdigger · 23.08.2008, 17:19

Hallo

dein System scheint der Zeit vorraus

Zitat:

Verzeichnis von C:\WINDOWS\system32

22.12.2008 06:59 25.312 DivXVfWCodec.dll
22.12.2008 06:59 25.312 SamsungVfWCodec.dll
22.12.2008 06:59 447.200 OpenQuicktimeLib.dll
22.12.2008 06:59 332.512 3ivxVfWCodec.dll
22.12.2008 06:58 1.155.808 3ivx.dll
22.12.2008 06:52 66.272 libfaac.dll

lass sie bitte bei Virustotal o.ä. auswerten.
Poste bitte die Ergebnisse hierher.

MFG

souldancerx · 23.08.2008, 17:50

Ja scheint mir etwas voraus zu sein. Habe mich schon gewundert....
Aber hier die Ergebnisse:

VirSCAN.org Scanned Report :
Scanned time : 2008/08/23 18:30:32 (CEST)
Scanner results: Es wurde keine Infektion ermittelt!
File Name : DivXVfWCodec.dll
File Size : 25312 byte
File Type : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5 : dbca6384e316727ed70ac11c0ac20280
SHA1 : 2e95621f00652d9db0406f76f6b5d2a5e4e40b94
Online report : http://virscan.org/report/a6fd054aba0182e43da7032d3a7c6979.html

VirSCAN.org Scanned Report :
Scanned time : 2008/08/23 18:37:03 (CEST)
Scanner results: Es wurde keine Infektion ermittelt!
File Name : OpenQuicktimeLib.dll
File Size : 447200 byte
File Type : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5 : f09dbf13a14fd0ea53d598f3134bf44f
SHA1 : bdb37497a218cbe5712f2eb822cff2c4451e0fba
Online report : http://virscan.org/report/cfab6c24109c0e2dcd8f0c615d901176.html

VirSCAN.org Scanned Report :
Scanned time : 2008/08/23 18:39:54 (CEST)
Scanner results: Es wurde keine Infektion ermittelt!
File Name : 3ivxVfWCodec.dll
File Size : 332512 byte
File Type : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5 : dfb298cc42d2a7fe219179865dd8ade5
SHA1 : 4bbef11a74abffc2c82a1577d7ed5d14920d2161
Online report : http://virscan.org/report/5022a0f7cb3d33642c7761f195564a9a.html

VirSCAN.org Scanned Report :
Scanned time : 2008/08/23 18:43:08 (CEST)
Scanner results: Es wurde keine Infektion ermittelt!
File Name : 3ivx.dll
File Size : 1155808 byte
File Type : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5 : b6c2afc47ba576f72a5c780006782585
SHA1 : ef71d47b8719f5765ccb5f61b3df7d0d0bb72d6c
Online report : http://virscan.org/report/9f499251ebe2456826baaceefcb80a02.html

VirSCAN.org Scanned Report :
Scanned time : 2008/08/23 18:45:48 (CEST)
Scanner results: Es wurde keine Infektion ermittelt!
File Name : libfaac.dll
File Size : 66272 byte
File Type : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5 : abf3d34b094b822f3bb15ec0e62aa6da
SHA1 : a86deb49966671ecf7a0eed42a4520acd38e1942
Online report : http://virscan.org/report/5d02bd734afb033214bbde0bc556eb5b.html

So die Dateien wurden alle samt als Infektionsfrei getestet.
Heißt das jetzt, dass mein PC geheilt ist

Mensch diese doofen Trojaner

Recht herzlichen Dank an dich nochdigger.
Hast mir echt geholfen. Es freut einen doch immer wieder so nette und hilfsbereite Menschen zu treffen, auch wenns nur im www ist.

LG souldancerx

nochdigger · 24.08.2008, 08:00

Hallo

Zitat:

So die Dateien wurden alle samt als Infektionsfrei getestet.
Heißt das jetzt, dass mein PC geheilt ist

Gut

, dann denke ich war es das und wir können dich entlassen

Axo : hiervon 19.08.2008 19:18 82.670 USENEXT.EXE hätte ich die Finger gelassen.

MFG

Trojaner kommt immer wieder...

Log-Analyse und Auswertung: Trojaner kommt immer wieder...