Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ev. Trojaner?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 16.09.2008, 17:39   #1
Temp83
 
Ev. Trojaner? - Standard

Ev. Trojaner?



Hallo allerseits,

zuerst einmal kurz die Probleme: richtig merkbar ist es nur beim internet surfen, so gehen downloads nicht und ich kann auch nicht mehr über google suchen...

es schleichen sich ab und an komische *.dll einträge in mein startup fenster (z.b. hryqqwcs.dll, nugqyhjt.dll, etc...) die mit unterschiedlichen namen immer wieder auftauchen, ich habe jetzt 2x versucht diese im abgesicherten modus zu löschen (inkl. reg eintrag) aber es kommen dann einfach neue...

hier mal der logfile, hoffe auf eure hilfe und vielen dank schon mal im vorhinein

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:34:22, on 16.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\I8kfanGUI\I8kfanGUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wu-wien.ac.at/bib/digibib.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ZoneAlarm] C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - HKCU\..\Run: [i8kfangui] C:\Programme\I8kfanGUI\I8kfanGUI.exe /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.00\MediaManager\grab.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Icq\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Icq\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152880321671
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70
O17 - HKLM\System\CS2\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70
O17 - HKLM\System\CS3\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: ebxnyi.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 8489 bytes

Alt 16.09.2008, 18:47   #2
Nosferatu91
 
Ev. Trojaner? - Standard

Ev. Trojaner?



Als erstes solltest du doch mal die aktiven Links in deinem Log wegmachen... aus "http" mache einfach "h**p" und persönliche informationen wie z.B. "c:\Programme\...\max mustermann\HJT.exe" einfach in "c:\Programme\...\***\HJT.exe" ändern. Um dein Log wird sich dann noch jemand kümmern
__________________


Alt 16.09.2008, 18:56   #3
Temp83
 
Ev. Trojaner? - Standard

Ev. Trojaner?



Zitat:
Zitat von Nosferatu91 Beitrag anzeigen
Als erstes solltest du doch mal die aktiven Links in deinem Log wegmachen... aus "http" mache einfach "h**p" und persönliche informationen wie z.B. "c:\Programme\...\max mustermann\HJT.exe" einfach in "c:\Programme\...\***\HJT.exe" ändern. Um dein Log wird sich dann noch jemand kümmern
das habe ich übersehen, sry, nachfolgend jetzt der hoffentlich "gesäuberte" post (editieren kann ich leider nach einer antwort nicht mehr)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:34:22, on 16.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\I8kfanGUI\I8kfanGUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.wu-wien.ac.at/bib/digibib.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ZoneAlarm] C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - HKCU\..\Run: [i8kfangui] C:\Programme\I8kfanGUI\I8kfanGUI.exe /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.00\MediaManager\grab.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Icq\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Icq\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - h**p://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152880321671
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70
O17 - HKLM\System\CS2\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70
O17 - HKLM\System\CS3\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: ebxnyi.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO. EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID. EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 8489 bytes
__________________

Alt 17.09.2008, 21:08   #4
Temp83
 
Ev. Trojaner? - Standard

Ev. Trojaner?



kann mir hier niemand weiterhelfen? :-(

braucht ihr noch irgendwelche infos? habe ich noch was falsch editiert?

Alt 17.09.2008, 22:05   #5
Silent sharK
 

Ev. Trojaner? - Standard

Ev. Trojaner?



Hi,
bitte etwas mehr Geduld - das ist ein Forum, kein Chat.

Hier die Anleitung für dich:

1.)
Blacklight scannen lassen
  • Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
  • Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
  • Klick "I accept the agreement", "next", "Scan".
  • Wenn der Scan fertig ist beende Blacklight mit "Close".
  • Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

2.)
MalwareBytes Anti-Malware :
  • Lade dir Malwarebytes Anti-Malware
  • Folge den Anweisungen der Anleitung und poste das Logfile

3.)
ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 18.09.2008, 01:00   #6
Temp83
 
Ev. Trojaner? - Standard

Ev. Trojaner?



1.


09/17/08 23:16:45 [Info]: BlackLight Engine 1.0.70 initialized
09/17/08 23:16:45 [Info]: OS: 5.1 build 2600 (Service Pack 3)
09/17/08 23:16:45 [Note]: 7019 4
09/17/08 23:16:45 [Note]: 7005 0
09/17/08 23:16:47 [Note]: 7006 0
09/17/08 23:16:47 [Note]: 7011 236
09/17/08 23:16:47 [Note]: 7035 0
09/17/08 23:16:47 [Note]: 7026 0
09/17/08 23:16:47 [Note]: 7026 0
09/17/08 23:16:57 [Note]: FSRAW library version 1.7.1024


2.


Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1161
Windows 5.1.2600 Service Pack 3

18.09.2008 01:08:38
mbam-log-2008-09-18 (01-08-38).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 146524
Laufzeit: 56 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP10\A0007646.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP10\A0007647.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP10\A0007650.dll (Trojan.Vundo) -> Quarantined and deleted successfully.


3.


ComboFix 08-09-16.05 - xxx 2008-09-18 1:10:00.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.531 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\vomeamnw.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-17 bis 2008-09-17 ))))))))))))))))))))))))))))))
.

2008-09-17 23:15 . 2008-09-17 23:35 <DIR> d-------- C:\Programme\blacklight
2008-09-17 22:24 . 2008-09-17 22:24 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\DoctorWeb
2008-09-17 22:10 . 2008-09-17 22:10 <DIR> d-------- C:\WINDOWS\LastGood
2008-09-17 18:02 . 2008-09-17 18:02 580,096 --a------ C:\WINDOWS\system32\dllcache\user32.dll
2008-09-17 17:54 . 2008-09-17 17:55 <DIR> d-------- C:\WINDOWS\ERUNT
2008-09-17 17:29 . 2008-09-17 17:40 1,024,103 ---hs---- C:\WINDOWS\system32\tjrfnbjh.ini
2008-09-17 08:41 . 2008-09-17 18:07 <DIR> d-------- C:\Programme\Spyware Doctor
2008-09-17 08:41 . 2008-09-17 08:41 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PC Tools
2008-09-17 08:41 . 2008-08-25 11:36 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-09-17 08:41 . 2008-08-25 11:36 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-09-17 08:41 . 2008-08-25 11:36 40,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-09-17 08:41 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-09-16 20:38 . 2008-09-16 20:38 <DIR> d-------- C:\Programme\CCleaner
2008-09-16 20:07 . 2008-09-17 18:28 <DIR> d-------- C:\SDFix
2008-09-16 18:43 . 2008-09-16 18:45 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-16 18:43 . 2008-09-16 18:43 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes
2008-09-16 18:43 . 2008-09-16 18:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-16 18:43 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-16 18:43 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-16 18:33 . 2008-09-16 18:33 <DIR> d-------- C:\Programme\Trend Micro
2008-09-15 22:06 . 2008-09-17 23:18 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-15 22:00 . 2008-09-16 19:30 <DIR> d-------- C:\Programme\Trojan Remover
2008-09-15 22:00 . 2008-09-15 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Simply Super Software
2008-09-15 22:00 . 2008-09-15 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Simply Super Software
2008-09-14 20:15 . 2008-09-14 20:18 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\.clamwin
2008-09-14 20:13 . 2008-09-14 20:13 <DIR> d-------- C:\Programme\ClamWin
2008-09-14 20:13 . 2008-09-14 20:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\.clamwin
2008-09-14 10:07 . 2008-09-14 10:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-09-13 12:27 . 2008-09-13 12:27 <DIR> d-------- C:\Programme\Avira
2008-09-12 18:53 . 2008-09-12 18:53 311,808 --a------ C:\WINDOWS\system32\wvUnOEtr.dll.vir
2008-09-06 20:22 . 2008-09-06 20:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
2008-09-06 12:50 . 2008-04-13 20:45 26,112 --a------ C:\WINDOWS\system32\drivers\usbser.sys
2008-09-06 12:50 . 2008-04-13 20:45 26,112 --a------ C:\WINDOWS\system32\dllcache\usbser.sys
2008-09-06 12:49 . 2008-09-06 12:49 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-09-06 12:49 . 2008-09-06 12:49 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-09-06 12:41 . 2008-09-06 12:50 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PC Suite
2008-09-06 12:41 . 2008-09-06 12:52 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Nokia
2008-09-06 12:41 . 2008-09-06 12:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2008-09-06 12:39 . 2008-09-06 12:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PCSuite
2008-09-06 12:39 . 2008-09-06 12:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nokia
2008-09-06 12:38 . 2008-09-06 12:38 <DIR> d-------- C:\Programme\PC Connectivity Solution
2008-09-06 12:38 . 2008-05-07 07:39 1,419,232 --a------ C:\WINDOWS\system32\wdfcoinstaller01005.dll
2008-09-06 12:38 . 2008-05-07 07:38 659,968 --a------ C:\WINDOWS\system32\nmwcdcocls.dll
2008-09-06 12:38 . 2007-09-17 15:53 21,632 --a------ C:\WINDOWS\system32\drivers\pccsmcfd.sys
2008-09-06 12:38 . 2008-05-07 07:38 20,864 --a------ C:\WINDOWS\system32\drivers\ccdcmbo.sys
2008-09-06 12:38 . 2008-05-07 07:38 17,536 --a------ C:\WINDOWS\system32\drivers\ccdcmb.sys
2008-09-06 12:38 . 2008-05-07 07:38 8,064 --a------ C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys
2008-09-06 12:38 . 2008-06-06 09:24 8,064 --a------ C:\WINDOWS\system32\drivers\usbser_lowerflt.sys
2008-09-06 12:37 . 2008-09-06 13:01 <DIR> d-------- C:\Programme\Nokia
2008-09-06 12:37 . 2008-02-01 16:17 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll
2008-09-06 12:36 . 2008-09-06 12:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-09-06 09:34 . 2008-09-06 09:34 3,532 --a------ C:\drmHeader.bin
2008-08-27 19:49 . 2008-08-27 19:50 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-08-27 19:49 . 2008-08-27 19:49 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\TuneUp Software
2008-08-27 19:49 . 2008-08-27 19:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-08-27 19:49 . 2008-08-27 19:49 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-08-27 19:49 . 2008-05-29 09:28 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-08-20 19:27 . 2008-08-20 19:27 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-20 19:27 . 2008-08-20 19:27 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-20 19:27 . 2008-08-20 19:27 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-20 19:22 . 2008-08-20 19:28 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-20 19:12 . 2008-08-20 19:12 <DIR> d-------- C:\WINDOWS\EHome
2008-08-19 18:27 . 2004-08-03 22:29 73,216 --------- C:\WINDOWS\system32\drivers\atintuxx.sys
2008-08-19 18:27 . 2004-07-17 11:36 64,352 --------- C:\WINDOWS\system32\drivers\ativmc20.cod
2008-08-19 18:27 . 2004-08-03 22:29 63,488 --------- C:\WINDOWS\system32\drivers\atinxsxx.sys
2008-08-19 18:27 . 2004-08-03 22:29 31,744 --------- C:\WINDOWS\system32\drivers\atinxbxx.sys
2008-08-19 18:27 . 2004-08-03 22:29 13,824 --------- C:\WINDOWS\system32\drivers\atinttxx.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-17 23:13 25,931,808 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-17 20:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-17 20:03 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\nView_Wallpaper
2008-09-17 19:42 2,788,864 ----a-w C:\WINDOWS\Internet Logs\xDB60.tmp
2008-09-17 19:42 1,720,320 ----a-w C:\WINDOWS\Internet Logs\xDB61.tmp
2008-09-17 19:33 301,820 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-17 17:28 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\teamspeak2
2008-09-17 16:50 436,736 ----a-w C:\WINDOWS\Internet Logs\xDB5E.tmp
2008-09-17 16:50 1,714,688 ----a-w C:\WINDOWS\Internet Logs\xDB5F.tmp
2008-09-17 15:48 2,874,880 ----a-w C:\WINDOWS\Internet Logs\xDB5C.tmp
2008-09-17 15:48 1,713,152 ----a-w C:\WINDOWS\Internet Logs\xDB5D.tmp
2008-09-17 15:37 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\BitTorrent
2008-09-16 16:21 1,686,016 ----a-w C:\WINDOWS\Internet Logs\xDB5B.tmp
2008-09-16 16:21 1,078,784 ----a-w C:\WINDOWS\Internet Logs\xDB5A.tmp
2008-09-16 16:11 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype
2008-09-15 20:11 466,432 ----a-w C:\WINDOWS\Internet Logs\xDB58.tmp
2008-09-15 20:11 1,690,624 ----a-w C:\WINDOWS\Internet Logs\xDB59.tmp
2008-09-15 19:42 2,976,768 ----a-w C:\WINDOWS\Internet Logs\xDB56.tmp
2008-09-15 19:42 1,684,480 ----a-w C:\WINDOWS\Internet Logs\xDB57.tmp
2008-09-14 14:29 --------- d-----w C:\Programme\eMule
2008-09-14 13:35 2,875,904 ----a-w C:\WINDOWS\Internet Logs\xDB55.tmp
2008-09-14 07:58 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Lavasoft
2008-09-13 10:53 3,407,872 ----a-w C:\WINDOWS\Internet Logs\xDB53.tmp
2008-09-13 10:53 1,674,240 ----a-w C:\WINDOWS\Internet Logs\xDB54.tmp
2008-09-08 06:24 19,671,472 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-09-06 18:25 3,831,808 ----a-w C:\WINDOWS\Internet Logs\xDB51.tmp
2008-09-06 18:25 1,635,840 ----a-w C:\WINDOWS\Internet Logs\xDB52.tmp
2008-09-06 10:38 --------- d-----w C:\Programme\DIFX
2008-08-28 15:48 --------- d-----w C:\Programme\ICQ6
2008-08-20 17:36 3,396,608 ----a-w C:\WINDOWS\Internet Logs\xDB50.tmp
2008-08-17 11:48 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-08-17 11:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-16 18:28 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenOffice.org2
2008-08-16 14:15 --------- d-----w C:\Programme\Winamp
2008-08-16 11:14 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Acreon
2008-08-16 09:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-08-05 06:14 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ICQ
2008-08-03 21:26 2,700,800 ----a-w C:\WINDOWS\Internet Logs\xDB4F.tmp
2008-08-03 11:08 80,896 ----a-w C:\WINDOWS\Internet Logs\xDB4D.tmp
2008-08-03 11:08 1,430,016 ----a-w C:\WINDOWS\Internet Logs\xDB4E.tmp
2008-08-03 02:56 3,579,904 ----a-w C:\WINDOWS\Internet Logs\xDB4B.tmp
2008-08-03 02:56 1,428,992 ----a-w C:\WINDOWS\Internet Logs\xDB4C.tmp
2008-08-02 10:45 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-07-21 09:27 40,368 ----a-w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-17 16:40 --------- d-----w C:\Programme\OpenOffice.org 2.4
2008-07-17 16:08 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-09 07:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2008-07-09 07:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:26 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
2008-07-06 20:59 10,881,024 ----a-w C:\WINDOWS\Internet Logs\xDB47.tmp
2008-07-06 20:58 2,460,672 ----a-w C:\WINDOWS\Internet Logs\xDB48.tmp
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:42 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-24 08:14 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-23 09:20 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-06-23 09:20 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-21 05:23 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:46 247,296 ------w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:46 147,968 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 11:51 361,600 ------w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 11:40 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 11:08 225,856 ------w C:\WINDOWS\system32\dllcache\tcpip6.sys
2006-08-10 19:35 33,408 ----a-w C:\Dokumente und Einstellungen\xxx\g2mdlhlpx.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm"="C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe" [2008-07-09 50664]
"i8kfangui"="C:\Programme\I8kfanGUI\I8kfanGUI.exe" [2007-02-16 856064]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" [2008-06-20 153856]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-25 7573504]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"NVHotkey"="nvHotkey.dll" [2006-03-22 C:\WINDOWS\system32\nvhotkey.dll]
"nwiz"="nwiz.exe" [2006-04-25 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digital Line Detect.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Digital Line Detect.lnk
backup=C:\WINDOWS\pss\Digital Line Detect.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ShowLOMControl]
[X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSKDetectorExe]
--a------ 2005-07-12 20:05 1117184 C:\Programme\McAfee\SpamKiller\MSKDetct.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\BitTorrent_DNA\\dna.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Spiele\\Sid Meier's Civilization 4\\Civilization4.exe"=
"C:\\Spiele\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"=
"C:\\Spiele\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"=
"C:\\Spiele\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Spiele\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 fanio;FanIO driver;C:\WINDOWS\system32\drivers\fanio.sys [2007-02-16 14464]
R2 MSSQL$QSRNVIVO;SQL Server (QSRNVIVO);C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2008-02-26 29183504]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2006-07-20 2368]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-08-27 355584]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
*Newly Created Service* - MBAMSWISSARMY
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\j2bru8zq.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.wu-wien.ac.at/bib/digibib.html
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJPI150_03.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPAdbESD.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npbittorrent.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2008-09-18 01:13:23
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-18 1:15:23
ComboFix-quarantined-files.txt 2008-09-17 23:15:09
ComboFix2.txt 2008-09-17 17:27:23

Vor Suchlauf: 16 Verzeichnis(se), 18,090,721,280 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 18,078,748,672 Bytes frei

251 --- E O F --- 2008-09-17 20:11:41

Alt 18.09.2008, 01:04   #7
Temp83
 
Ev. Trojaner? - Standard

Ev. Trojaner?



4. und zum Abschluß ein HijackThis log, vielen vielen dank für eure mühe


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:59:38, on 18.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\I8kfanGUI\I8kfanGUI.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.wu-wien.ac.at/bib/digibib.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [ZoneAlarm] C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - HKCU\..\Run: [i8kfangui] C:\Programme\I8kfanGUI\I8kfanGUI.exe /startup
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O15 - Trusted Zone: hxxp://download.windowsupdate.com
O15 - Trusted Zone: hxxp://*.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1221681988234
O17 - HKLM\System\CCS\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70
O17 - HKLM\System\CS2\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70
O17 - HKLM\System\CS3\Services\Tcpip\..\{079D5EAC-BC80-4DE3-953C-1627E4E5F0EE}: NameServer = 213.33.99.70,80.120.17.70
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 6106 bytes

Alt 18.09.2008, 22:38   #8
Silent sharK
 

Ev. Trojaner? - Standard

Ev. Trojaner?



Sieht gut aus.
Hast du noch Probleme mit dem Rechner?
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 19.09.2008, 12:54   #9
Temp83
 
Ev. Trojaner? - Standard

Ev. Trojaner?



Zitat:
Zitat von Silent sharK Beitrag anzeigen
Sieht gut aus.
Hast du noch Probleme mit dem Rechner?
puh, danke, das hatte ich gehofft :-)

also ich hab gestern den ganzen abend laufen lassen, ohne probleme, keine verlangsamerungen, inet ohne probleme, downloads ohne probleme und auch keine komischen startmenü einträge

vielen vielen dank für deine/eure hilfe!!!

Alt 19.09.2008, 12:55   #10
Silent sharK
 

Ev. Trojaner? - Standard

Ev. Trojaner?



Kein Problem,
beobachte ein paar Tage das Verhalten deines Rechners. Wenn dir da etwas verdächtig vorkommt oder wenn es Probleme gibt, melde dich hier.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Antwort

Themen zu Ev. Trojaner?
abgesicherten modus, ad-aware, antivir, antivirus, avira, drivers, excel, firefox, google, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, logfile, monitor, mozilla, mp3, registry, rundll, server, software, solution, system, toolbars, trojaner, trojaner?, tuneup.defrag, urlsearchhook, vielen dank, windows, windows xp, windows xp sp3, xp sp3




Zum Thema Ev. Trojaner? - Hallo allerseits, zuerst einmal kurz die Probleme: richtig merkbar ist es nur beim internet surfen, so gehen downloads nicht und ich kann auch nicht mehr über google suchen... es schleichen - Ev. Trojaner?...
Archiv
Du betrachtest: Ev. Trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.