HTML/Rce.Gen und andere Viren

Red Balloon · 07.09.2008, 03:14

hallo zusammen,

ich habe bei mir antivir instaliert und nun kommt ständig eine meldung, dass C:FRANZISKA.vbs und D:FRANZISKA.vbs das erkennungsmuster html-sciptvirus html/rce.gen enthalten.

ich kenne mich mit computern leider gar nicht aus und habe auch keinerlei erfahrung mit viren, sodass ich hoffe, dass mir hier jemand helfen kann.

ich hab jetzt erstmal antivir durchlaufen lassen. der report ist zu lang um ihn hier posten zu können und ich kann ihn auch nicht hochladen, da er knapp 107 kb groß ist. gibt es eine andere möglichkeit, den hier zu übermitteln?

eigentlich wollte ich hier ertsmal so vorgehen wie im thema "scriptvirus ?! html/rce.gen" beschrieben, aber ich weiß nicht ob das geht, da das programm ja schon einige dateien in quarantäne verschoben und umbenannt hat, und außerdem scheint dies nicht der einzige virus zu sein...

mein größtes problem ist im moment allderdings, dass sich der virus auf externe datenträger (usb-stick, sd-karte,...) automatisch kopiert und den file E:FRANZISKA.vbs erstellt. wie bekomm ich den virus da wieder runter? das ist im moment meine größte sorge, weil ich befürchte, dass sich so der virus auf andere computer übertragen könnte.

ich hoffe auf schnelle hilfe und danke euch schonmal
red balloon

schrauber · 07.09.2008, 05:21

hi Red Balloon und

Alle externen Laufwerke (HDD, Sticks) anschließen. Entweder gleich formatieren oder alle autorun.inf und *.vbs dateien löschen.

beim einstecken des sticks bitte die shift-taste gedrückt halten, das deaktiviert den autostart für den stick.

====

Lasse Malwarebytes Antimalware dein system scannen, funde löschen lassen, log hier posten.

====

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

===

Start > Suchen: Suche nach folgenden dateien:

autorun.inf
*.vbs

poste die ergebnisse.

gruß

schrauber

Red Balloon · 07.09.2008, 16:51

hallo schrauber,

danke für die schnelle antwort und die freundliche begrüßung im forum.

ich hab jetzt meine wechseldatenträger "bereinigt" und Malwarebytes antimalware scannen lassen, komischerweie hat der aber nichts gefunden. hier der report:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1122
Windows 5.1.2600 Service Pack 2

07.09.2008 17:18:04
mbam-log-2008-09-07 (17-18-04).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 107679
Laufzeit: 1 hour(s), 10 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

dann hab ich mit RSIT gescant. irgendwie öffnete sich nur ein logfile, ich glaube es ist das nicht minimierte:

Code:

ATTFilter

Logfile of random's system information tool (written by random/random)
Run by Franzi at 2008-09-07 17:28:05
Microsoft Windows XP Professional Service Pack 2
System drive C: has 194 MB (0%) free of 40 GB
Total RAM: 255 MB (23% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:28:11, on 07.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
C:\programme\softwin\bitdefender8\bdnagent.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\USRobotics\Wireless USB Manager\USR54G.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\RSIT.exe
C:\Programme\trend micro\Franzi.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by FRANZISKA
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [BDNewsAgent] "c:\programme\softwin\bitdefender8\bdnagent.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [FRANZISKA] C:\WINDOWS\SYSTEM32\FRANZISKA.vbs
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup:  USRobotics Wireless USB Adapter.lnk = C:\Programme\USRobotics\Wireless USB Manager\USR54G.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:  sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 8899 bytes

Registry dump

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2007-09-20 328752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
AcroIEToolbarHelper Class - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll [2004-12-14 225280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll [2004-12-14 225280]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"=RunDll32 cmicnfg.cpl []
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_03\bin\jusched.exe [2005-04-13 36975]
"YeppStudioAgent"=C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe [2005-09-12 40960]
"BDNewsAgent"=c:\programme\softwin\bitdefender8\bdnagent.exe [2005-05-09 8192]
"Acrobat Assistant 7.0"=C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe [2004-12-14 483328]
""= []
"CloneCDTray"=C:\Programme\SlySoft\CloneCD\CloneCDTray.exe [2005-05-19 57344]
"VirtualCloneDrive"=C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe [2005-04-12 45056]
"FRANZISKA"=C:\WINDOWS\SYSTEM32\FRANZISKA.vbs []
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"MsnMsgr"=C:\Programme\Windows Live\Messenger\MsnMsgr.Exe [2007-10-18 5724184]
"Skype"=C:\Programme\Skype\Phone\Skype.exe [2008-02-06 21898024]
"ICQ"=C:\Programme\ICQ6\ICQ.exe [2008-08-24 173304]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDNewsAgent]
c:\programme\softwin\bitdefender8\bdnagent.exe [2005-05-09 8192]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG]
C:\WINDOWS\SiSUSBrg.exe [2002-07-12 106496]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE [2005-09-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^DOKUME~1^ALLUSE~1^Startmenü^Programme^Autostart^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~2\Office10\OSA.EXE [2001-02-13 83360]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
 USRobotics Wireless USB Adapter.lnk - C:\Programme\USRobotics\Wireless USB Manager\USR54G.exe
Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
VPN Client.lnk - C:\WINDOWS\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"=" sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-04-10 236928]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQLite\ICQLite.exe"="C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0431c446-a31c-11db-b7f9-000b6a6e6484}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe FRANZISKA.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cbac7a7a-6cee-11db-b77d-000b6a6e6484}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe FRANZISKA.vbs


List of files/folders created in the last three months

2008-09-07 13:05:20 ----D---- C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Malwarebytes
2008-09-07 13:05:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-07 12:45:35 ----D---- C:\Programme\trend micro
2008-09-07 12:45:33 ----D---- C:\rsit
2008-09-07 02:17:02 ----D---- C:\Programme\Avira
2008-09-07 02:17:02 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-28 23:43:21 ----D---- C:\WINDOWS\system32\CatRoot_bak
2008-08-14 23:43:53 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2008-08-14 23:43:44 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2008-08-14 23:43:33 ----HDC---- C:\WINDOWS\$NtUninstallKB953839$
2008-08-14 23:42:02 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2008-08-14 23:40:20 ----HDC---- C:\WINDOWS\$NtUninstallKB951072-v2$
2008-08-14 23:40:06 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2008-08-13 21:03:41 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2008-07-09 21:11:31 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2008-07-01 18:24:56 ----D---- C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\ICQ
2008-07-01 18:23:53 ----D---- C:\Programme\ICQ6
2008-06-25 00:34:10 ----SHD---- C:\found.000
2008-06-25 00:15:56 ----D---- C:\WINDOWS\system32\Adobe
2008-06-22 01:54:30 ----A---- C:\WINDOWS\ScreenHunter.INI
2008-06-22 01:49:26 ----D---- C:\Programme\Wisdom-soft ScreenHunter 5 Free
2008-06-21 23:26:14 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2008-06-21 17:45:28 ----D---- C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Condrey Corporation
2008-06-19 20:08:02 ----D---- C:\Programme\BrainVoyager Brain Tutor
2008-06-10 23:47:45 ----D---- C:\Programme\MSECache
2008-06-10 21:02:50 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$
2008-06-10 21:02:43 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2008-06-10 21:02:36 ----HDC---- C:\WINDOWS\$NtUninstallKB950760$

List of drivers

R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2004-08-04 41472]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-06-27 75072]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys []
R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2006-04-22 8064]
R2 FILESpy;FILESpy; \??\C:\Programme\Softwin\BitDefender8\filespy.sys []
R2 REGSpy;REGSpy; \??\C:\Programme\Softwin\BitDefender8\regspy.sys []
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys [2005-12-15 1368000]
R3 DNE;Deterministic Network Enhancer Miniport; C:\WINDOWS\system32\DRIVERS\dne2000.sys [2006-10-02 126864]
R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2005-05-03 27392]
R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2005-04-12 4608]
R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service; C:\WINDOWS\system32\DRIVERS\fetnd5b.sys [2003-11-11 41984]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2004-08-03 1897408]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 USRWGU(USR);USRobotics Wireless USB Adapter(USR); C:\WINDOWS\system32\DRIVERS\USRWGU.sys [2005-12-29 408064]
R3 ZDPSp50;ZDPSp50 NDIS Protocol Driver; C:\WINDOWS\System32\Drivers\ZDPSp50.sys [2004-10-25 17664]
S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2005-05-17 5315]
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\System32\DRIVERS\fetnd5.sys [2001-08-17 27165]
S3 NTSIM;NTSIM; \??\C:\WINDOWS\system32\ntsim.sys []
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 vsdatant;vsdatant; \??\C:\WINDOWS\system32\vsdatant.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

List of services

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-06-12 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-08-07 149761]
R2 bdss;BitDefender Scan Server; C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe [2005-01-24 69632]
R2 CVPND;Cisco Systems, Inc. VPN Service; C:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2006-11-10 1504304]
R2 LexBceS;LexBce Server; C:\WINDOWS\system32\LEXBCES.EXE [2002-12-19 286720]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
R2 VSSERV;BitDefender Virus Shield; C:\Programme\Softwin\BitDefender8\vsserv.exe [2005-05-31 90112]
R2 XCOMM;BitDefender Communicator; C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe [2005-06-02 69632]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2006-11-26 69632]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WLSetupSvc;Windows Live Setup Service; C:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]

-----------------EOF-----------------

und zu guter letzt das ergebnis des suchens für autorun.inf mit dateipfad:
AUTORUN.INF in C:/Dokumente und Einstellungen/Franzi/Desktop/Software/Office_XP_CD
und
autoraun.inf/ in C:/

und für *.vbs:
neun dateien im ordner C:/WINDOWS/sytsem32 und eine im ordner C:/WINDOWS/ServicePackFiles/i386

mir sagt das alles nicht so viel, aber ich hoffe ich hab das einigermaßen richtig gemacht und du kannst damit was anfangen.

gruß
red balloon

schrauber · 07.09.2008, 18:14

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com - GeeksTogo.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme,
die Firewall und evtl. vorhandenes Skript-Blocking deaktivieren.
Liste der zu deaktivierenden Programme. Bei Unklarheiten bitte vorher fragen.
Bitte die Wiederherstellungskonsole nach dieser ausführlichen Anleitung installieren.
.

.
Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder erneuern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Anwendung

Schließe alle Anwendungen, wenn Du Combofix laufen lässt.
Mache einen Doppelklick auf die ComboFix.exe und folge den Anweisungen.
Wird eine Infektion gefunden, startet Combofix den Rechner automatisch neu, um die Entfernung zu vervollständigen.
Schließe das Fenster von Combofix nicht, sonst wirst Du einen leeren Desktop zurück behalten.
Wenn der Scan beendet ist, wird ein Logfile erstellt, zu finden unter C:\ComboFix.txt
Nicht vergessen, die deaktivierten Programme wieder zu aktivieren!
Poste den Inhalt des Combofix-Logfiles hier in den Thread.

Hinweis für Mitleser

Bitte Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

gruß

schrauber

Red Balloon · 05.10.2008, 14:42

ich hab jetzt combofix durchlaufen lassen und es hat auch alles geklappt - hier das ergebnis:

Code:

ATTFilter

ComboFix 08-10-04.07 - Franzi 2008-10-05 13:44:57.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.75 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Franzi\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Franzi\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
D:\Autorun.inf

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MCHINJDRV


(((((((((((((((((((((((   Dateien erstellt von 2008-09-05 bis 2008-10-05  ))))))))))))))))))))))))))))))
.

2008-09-28 22:44 . 2008-09-28 22:44	<DIR>	d--------	C:\Programme\7-Zip
2008-09-07 13:05 . 2008-09-07 13:05	<DIR>	d--------	C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Malwarebytes
2008-09-07 13:05 . 2008-09-07 13:05	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-07 13:05 . 2008-09-02 00:16	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-07 13:05 . 2008-09-02 00:16	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-09-07 12:45 . 2008-09-07 12:46	<DIR>	d--------	C:\rsit
2008-09-07 12:45 . 2008-09-07 17:28	<DIR>	d--------	C:\Programme\trend micro
2008-09-07 02:17 . 2008-09-07 02:17	<DIR>	d--------	C:\Programme\Avira
2008-09-07 02:17 . 2008-09-07 02:17	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 11:54	---------	d-----w	C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\skypePM
2008-10-05 11:25	---------	d-----w	C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype
2008-09-28 20:40	---------	d-----w	C:\Programme\EA GAMES
2008-09-22 17:33	---------	d-----w	C:\Programme\ICQ6
2008-09-07 02:44	---------	d-----w	C:\Programme\Basement Softworks
2008-09-07 02:37	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-09-07 02:37	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-07 02:36	---------	d-----w	C:\Programme\Spyware Doctor
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07	270,880	----a-w	C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07	210,976	----a-w	C:\WINDOWS\system32\muweb.dll
2008-07-13 19:53	22,200	----a-w	C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-07-07 20:30	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-03-18 23:42	32	----a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-06 21898024]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 36975]
"YeppStudioAgent"="C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe" [2005-09-12 40960]
"BDNewsAgent"="C:\Programme\Softwin\BitDefender8\bdnagent.exe" [2005-05-09 8192]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 57344]
"VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2005-04-12 45056]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
 USRobotics Wireless USB Adapter.lnk - C:\Programme\USRobotics\Wireless USB Manager\USR54G.exe [2006-04-14 663552]
Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2006-11-26 25214]
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-11-26 113664]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
VPN Client.lnk - C:\WINDOWS\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico [2008-04-10 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"= x264vfw.dll
"VIDC.FFDS"= ffdshow.ax
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^DOKUME~1^ALLUSE~1^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\DOKUME~1\ALLUSE~1\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDNewsAgent]
--a------ 2005-05-09 12:19 8192 c:\Programme\Softwin\BitDefender8\bdnagent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG]
--a------ 2002-07-12 18:15 106496 C:\WINDOWS\SiSUSBrg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 FILESpy;FILESpy;C:\Programme\Softwin\BitDefender8\filespy.sys [2005-07-13 13985]
S3 USRWGU(USR);USRobotics Wireless USB Adapter(USR);C:\WINDOWS\system32\DRIVERS\USRWGU.sys [2005-12-29 408064]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0431c446-a31c-11db-b7f9-000b6a6e6484}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe FRANZISKA.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cbac7a7a-6cee-11db-b77d-000b6a6e6484}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe FRANZISKA.vbs
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-FRANZISKA - C:\WINDOWS\SYSTEM32\FRANZISKA.vbs
HKLM-Run-Cmaudio - cmicnfg.cpl
MSConfigStartUp-SpybotSD TeaTimer - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJPI150_03.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPOJI610.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPAdbESD.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-05 13:52:15
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\lexbces.exE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-05 13:58:34 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-05 11:58:23

Vor Suchlauf: 4.262.060.032 Bytes frei
Nach Suchlauf: 4,722,823,168 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

172	--- E O F ---	2008-09-19 07:57:29

Gruß
Red Ballon

schrauber · 05.10.2008, 14:52

knapp nen monat für das tool laufen zu lassen ist schon ein guter wert

schrauber · 05.10.2008, 14:53

malwarebytes updaten, komplettscan, log posten

===

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

====

Ich möchte prüfen, ob bestimmte Dateien noch auf Deinem System sind, dazu bitte den Text aus der Codebox:

Code:

ATTFilter

@echo off
set log="%userprofile%\Desktop\files.txt"
if exist %log% del %log%

for %%d in (c d e f g h i j k l m n o p q r s t u v w x y z) do (
    if exist %%d:\ (
        %%d:
        cd \
        dir *.vbs;autorun.inf /s
        dir *.vbs;autorun.inf /ah /s
        attrib
    )
) >> %log%
start notepad %log%

in den Editor (Start => ausführen => notepad (reinschreiben) => OK) kopieren und als findfile.bat mit 'Speichern unter' auf dem Desktop speichern (bei Dateityp auf "All types" umstellen), Du solltest jetzt auf dem Desktop diese Datei finden => findfile.bat => die findfile.bat per Doppelklick starten. Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei files.txt präsentieren. Bitte kopiere den Inhalt hier in den Thread.

Sollte es während der Ausführung des Skriptes zu einer Fehlermeldung "Windows kein Datenträger" kommen, kannst Du beruhigt auf "Weiter" klicken. Das liegt daran, dass ein Datenträger (z. B. ein Kartenlesegerät) leer ist.

Red Balloon · 05.10.2008, 20:05

tja mein pc ist eben sehr langsam

(wegen umzug und urlaub hat sich das ganze etwas verzögert...)

Red Balloon · 05.10.2008, 20:08

log malwarebytes

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1229
Windows 5.1.2600 Service Pack 2

05.10.2008 17:17:01
mbam-log-2008-10-05 (17-17-01).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 101319
Laufzeit: 1 hour(s), 18 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

===

log kaspersky - onlinescanner

Code:

ATTFilter

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Sonntag, 5. Oktober 2008 20:55:27
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken:  5/10/2008
 Anzahl der Einträge in den Antiviren-Datenbanken: 1155228
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	A:\
	C:\
	D:\
	E:\
	F:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 62776
	Viren gefunden: 1
	Infizierte Objekte gefunden: 10
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 03:02:43

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\ICQ\205312653\Messages.mdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\ICQ\205312653\Owner.mdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\ICQ\Application.mdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\cert8.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\content-prefs.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\cookies.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\downloads.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\formhistory.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\key3.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\parent.lock	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\permissions.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\places.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\places.sqlite-journal	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\search.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\call256.dbb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\callmember256.dbb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\chat512.dbb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\chatmember256.dbb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\chatmsg1024.dbb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\chatmsg2048.dbb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\chatmsg256.dbb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\chatmsg512.dbb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\contactgroup256.dbb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\dyncontent\bundle.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\index2.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\profile256.dbb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\user1024.dbb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Lokale Einstellungen\temp\Cddb\288768\cddb.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Lokale Einstellungen\temp\JETDFE1.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008100520081006\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Franzi\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{D09521F7-56F6-4C17-B838-E0F8E7B4883C}\RP267\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\tmp00006fdd\tmp00000000	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED/[From "Curt Magee" <tkowalczyk@waw.boehringer-ingelheim.com>][Date Thu, 25 May 2006 14:15:45 -0180]/text/[From "POSTBANK" <custsupport_215792831502537@postbank.de>][Date Thu, 25 May 2006 16:20:55 +0200 (MEST)]/html	Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok	übersprungen
D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED/[From "Curt Magee" <tkowalczyk@waw.boehringer-ingelheim.com>][Date Thu, 25 May 2006 14:15:45 -0180]/text/[From "Citibank Deutschland" <operator_800755439056973@citibank.de>][Date Thu, 25 May 2006 19:54:27 -0300]/UNNAMED/[From Harold <DIANE.A@BLUEYONDER.CO.UK>][Date Fri, 26  ... /[From "POSTBANK 2006" <online-support_id_9891720410@postbank.de>][Date Sat, 27 May 2006 01:11:13 +0200 (MEST)]/html	Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok	übersprungen
D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED/[From "Curt Magee" <tkowalczyk@waw.boehringer-ingelheim.com>][Date Thu, 25 May 2006 14:15:45 -0180]/text/[From "Citibank Deutschland" <operator_800755439056973@citibank.de>][Date Thu, 25 May 2006 19:54:27 -0300]/UNNAMED/[From Harold <DIANE.A@BLUEYONDER.CO.UK>][Date Fri, 26 May 20 ... /[From Der Tag - SPIEGEL ONLINE <der-tag@newsletter.spiegel.de>][Date Fri, 26 May 2006 18:05:09 +0200]/UNNAMED	Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok	übersprungen
D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED/[From "Curt Magee" <tkowalczyk@waw.boehringer-ingelheim.com>][Date Thu, 25 May 2006 14:15:45 -0180]/text/[From "Citibank Deutschland" <operator_800755439056973@citibank.de>][Date Thu, 25 May 2006 19:54:27 -0300]/UNNAMED/[From Harold <DIANE.A@BLUEYONDER.CO.UK>][Date Fri, 26 May 2006  ... /[From =?utf-8?Q?J=C3=B6rdis_Schmidt?= <j.schmidt@cpc-ag.de>][Date Fri, 26 May 2006 16:07:52 +0200]/UNNAMED	Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok	übersprungen
D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED/[From "Curt Magee" <tkowalczyk@waw.boehringer-ingelheim.com>][Date Thu, 25 May 2006 14:15:45 -0180]/text/[From "Citibank Deutschland" <operator_800755439056973@citibank.de>][Date Thu, 25 May 2006 19:54:27 -0300]/UNNAMED/[From Harold <DIANE.A@BLUEYONDER.CO.UK>][Date Fri, 26 May 2006 12:0 ... /[From "Michael Teubenbacher" <m.teubenbacher@cpc-ag.de>][Date Fri, 26 May 2006 10:51:22 +0200]/UNNAMED	Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok	übersprungen
D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED/[From "Curt Magee" <tkowalczyk@waw.boehringer-ingelheim.com>][Date Thu, 25 May 2006 14:15:45 -0180]/text/[From "Citibank Deutschland" <operator_800755439056973@citibank.de>][Date Thu, 25 May 2006 19:54:27 -0300]/UNNAMED/[From Harold <DIANE.A@BLUEYONDER.CO.UK>][Date Fri, 26 May 2006 12:01:03 +0700]/UNNAMED	Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok	übersprungen
D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED/[From "Curt Magee" <tkowalczyk@waw.boehringer-ingelheim.com>][Date Thu, 25 May 2006 14:15:45 -0180]/text/[From "Citibank Deutschland" <operator_800755439056973@citibank.de>][Date Thu, 25 May 2006 19:54:27 -0300]/UNNAMED	Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok	übersprungen
D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED/[From "Curt Magee" <tkowalczyk@waw.boehringer-ingelheim.com>][Date Thu, 25 May 2006 14:15:45 -0180]/text	Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok	übersprungen
D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED	Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok	übersprungen
D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox	MailBerkeleymboxx: infiziert - 9	übersprungen

Die Untersuchung wurde abgeschlossen.

===

files.txt

Code:

ATTFilter

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C49B-C9BD

 Verzeichnis von C:\Dokumente und Einstellungen\Franzi\Desktop\Software\Office_XP_CD

27.02.2001  18:09               193 AUTORUN.INF
               1 Datei(en)            193 Bytes

 Verzeichnis von C:\WINDOWS\ServicePackFiles\i386

17.07.2004  11:35            85.813 adsutil.vbs
               1 Datei(en)         85.813 Bytes

 Verzeichnis von C:\WINDOWS\system32

02.04.2003  14:00            98.604 eventquery.vbs
02.04.2003  14:00           168.720 pagefileconfig.vbs
02.04.2003  14:00            36.045 prncnfg.vbs
02.04.2003  14:00            25.679 prndrvr.vbs
02.04.2003  14:00            21.806 prnjobs.vbs
02.04.2003  14:00            32.871 prnmngr.vbs
02.04.2003  14:00            29.878 prnport.vbs
02.04.2003  14:00            16.046 prnqctl.vbs
02.04.2003  14:00             3.758 pubprn.vbs
               9 Datei(en)        433.407 Bytes

 Verzeichnis von C:\WINDOWS\system32\dllcache

02.04.2003  14:00            98.604 evtquery.vbs
02.04.2003  14:00           168.720 pagefile.vbs
02.04.2003  14:00            36.045 prncnfg.vbs
02.04.2003  14:00            25.679 prndrvr.vbs
02.04.2003  14:00            21.806 prnjobs.vbs
02.04.2003  14:00            32.871 prnmngr.vbs
02.04.2003  14:00            29.878 prnport.vbs
02.04.2003  14:00            16.046 prnqctl.vbs
02.04.2003  14:00             3.758 pubprn.vbs
               9 Datei(en)        433.407 Bytes

     Anzahl der angezeigten Dateien:
              20 Datei(en)        952.820 Bytes
               0 Verzeichnis(se),  4.427.620.352 Bytes frei
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C49B-C9BD
A          C:\AUTOEXEC.BAT
A          C:\Boot.bak
A  SHR     C:\boot.ini
A  SHR     C:\bootfont.bin
A          C:\cmldr
A          C:\ComboFix.txt
A          C:\CONFIG.SYS
A  SH      C:\hiberfil.sys
A          C:\INSTALL.DAT
A  SHR     C:\IO.SYS
A  SHR     C:\MSDOS.SYS
A  SHR     C:\NTDETECT.COM
A  SHR     C:\ntldr
A  SH      C:\pagefile.sys
A   H      C:\sqmdata00.sqm
A   H      C:\sqmdata01.sqm
A   H      C:\sqmdata02.sqm
A   H      C:\sqmdata03.sqm
A   H      C:\sqmdata04.sqm
A   H      C:\sqmdata05.sqm
A   H      C:\sqmdata06.sqm
A   H      C:\sqmdata07.sqm
A   H      C:\sqmdata08.sqm
A   H      C:\sqmdata09.sqm
A   H      C:\sqmdata10.sqm
A   H      C:\sqmdata11.sqm
A   H      C:\sqmdata12.sqm
A   H      C:\sqmdata13.sqm
A   H      C:\sqmdata14.sqm
A   H      C:\sqmdata15.sqm
A   H      C:\sqmdata16.sqm
A   H      C:\sqmdata17.sqm
A   H      C:\sqmdata18.sqm
A   H      C:\sqmdata19.sqm
A   H      C:\sqmnoopt00.sqm
A   H      C:\sqmnoopt01.sqm
A   H      C:\sqmnoopt02.sqm
A   H      C:\sqmnoopt03.sqm
A   H      C:\sqmnoopt04.sqm
A   H      C:\sqmnoopt05.sqm
A   H      C:\sqmnoopt06.sqm
A   H      C:\sqmnoopt07.sqm
A   H      C:\sqmnoopt08.sqm
A   H      C:\sqmnoopt09.sqm
A   H      C:\sqmnoopt10.sqm
A   H      C:\sqmnoopt11.sqm
A   H      C:\sqmnoopt12.sqm
A   H      C:\sqmnoopt13.sqm
A   H      C:\sqmnoopt14.sqm
A   H      C:\sqmnoopt15.sqm
A   H      C:\sqmnoopt16.sqm
A   H      C:\sqmnoopt17.sqm
A   H      C:\sqmnoopt18.sqm
A   H      C:\sqmnoopt19.sqm
A          C:\transcoding.log
 Datenträger in Laufwerk D: ist Daten
 Volumeseriennummer: D0BA-D47C
 Datenträger in Laufwerk D: ist Daten
 Volumeseriennummer: D0BA-D47C
A          D:\0,1020,578192,00.jpg
A          D:\115288673762041597250zvs.pdf
A          D:\Adobe Photoshop 7.0, with serial.exe
A          D:\anekdoteI.doc
A          D:\Anlagen lisa
A          D:\antivir_workstation_winu_de_h.exe
A          D:\Beschlossene Studiengebhren1.doc
A          D:\cpuz-readme.txt
A          D:\denis.zip
A          D:\Happy_Birthday_Kino_streched_vers.1.mpg
A          D:\mbam-setup.exe
A          D:\mp3-Verzeichnis.b4s
A          D:\Neu Microsoft Word-Dokument.doc
A          D:\Nokia_PC_Suite_67_UG_ger.pdf
A          D:\Onepager_Dokumentenerstellung.doc
A          D:\OT16144653167-bahnticket.pdf
A          D:\RSIT.exe
A          D:\sparkasse.doc
A  SH      D:\Thumbs.db
A          D:\zulassungsbogen-mannheim.pdf

Gruß
Red Balloon

schrauber · 06.10.2008, 05:06

Zitat:

D:\Adobe Photoshop 7.0, with serial.exe

irgendwie ist mir die lust vergangen....

05.10.2008, 14:52	#6
schrauber /// the machine /// TB-Ausbilder	HTML/Rce.Gen und andere Viren knapp nen monat für das tool laufen zu lassen ist schon ein guter wert __________________ --> HTML/Rce.Gen und andere Viren

HTML/Rce.Gen und andere Viren

Plagegeister aller Art und deren Bekämpfung: HTML/Rce.Gen und andere Viren