Trojaner, VirusRemover2008, PcPrivacyCleaner

2tyler · 08.10.2008, 00:54

Hallo Allerseits,

nun hat es einen weiteren Rechner erwischt. Ich bin jetzt Derjenige, der für einen Kumpel versucht, ihn wieder hinzubiegen. Handelt sich um einen Schlepptop, der jetzt neben mir liegt.
Wie mir scheint, hat mein Freund sich mit zwei lustigen "Programmen" namens VirusRemover2008 und "PcPrivacyCleaner" angelegt - ich weiß schon einige Zeit, daß es solche Biester gibt, die alles andere sind als das was sie vorgeben zu sein, nur der Kumpel eben nicht.

Habe jetzt bereits 3 Sachen durchgeführt und hoffe, jemand kann mich an die Hand nehmen und Schritt für Schritt weiterleiten.

1.) Habe Dr. Web drübergejagt

Code:

ATTFilter

video1166.cfg.exe;c:\dokumente und einstellungen\XXX\lokale einstellungen\temp;Trojan.DownLoad.5783;Gelöscht.;
sav.exe;c:\programme\sav;Trojan.Fakealert.1457;Gelöscht.;
msxml71.dll;c:\windows\system32;Trojan.Siggen.302;Gelöscht.;
5492.exe\SAV.exe;C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\5492.exe;Trojan.Fakealert.1457;;
5492.exe\SAV.cpl;C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\5492.exe;Trojan.Fakealert.1472;;
5492.exe;C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp;Archiv enthält infizierte Objekte;Verschoben.;
a.exe;C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp;Trojan.Siggen.302;Gelöscht.;
b.exe;C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp;Trojan.Siggen.301;Gelöscht.;
video1166.cfg;C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp;Trojan.DownLoad.5783;Gelöscht.;
SAV.cpl;C:\Programme\SAV;Trojan.Fakealert.1472;Gelöscht.;
A0007628.exe;C:\System Volume Information\_restore{56750333-C168-464C-A69A-A9DFB75EA27A}\RP53;Trojan.Fakealert.1457;Gelöscht.;
A0007629.dll;C:\System Volume Information\_restore{56750333-C168-464C-A69A-A9DFB75EA27A}\RP53;Trojan.Siggen.302;Gelöscht.;
A0007630.cpl;C:\System Volume Information\_restore{56750333-C168-464C-A69A-A9DFB75EA27A}\RP53;Trojan.Fakealert.1472;Gelöscht.;
SAV.cpl;C:\WINDOWS\system32;Trojan.Fakealert.1472;Gelöscht.;

2.) Habe den MWAV scannen lassen
Das Log ist aber seeehr umfangreich, deshalb lass ichs erstmal weg - er hatte noch 7 kritische Objekte und 1 Fehler attestiert.

3.) Hab ein HijackThis gemacht:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:40:07, on 08.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Deamon302\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.medion.com
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Deamon302\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.medion.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134055363296
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 5370 bytes

Hmmm.... so, ich hoffe, ich hab schon ein bisserl vorgearbeitet und dann harre ich mal dem Crack, der da kommen mag. Und - wie gesagt - schon mal besten Dank im Vorraus (schleiiim...).

Gruß vom
Frank

schrauber · 08.10.2008, 08:05

hi 2tyler und

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)

====

Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

2tyler · 08.10.2008, 22:24

Hallo Zauberschrauber !

Besten Dank, wie schon gesagt. :aplaus:

Hier also die Logs:

1.) info.txt

Code:

ATTFilter

info.txt logfile of random's system information tool 1.04 2008-10-08 23:30:08

======Uninstall list======

-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNNMP.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
CA eTrust Antivirus-->MsiExec.exe /X{CC55BD24-C1A6-4397-8EA3-2F30E74BDA2B}
CloneDVD-->"C:\Programme\Elaborate Bytes\CloneDVD\CloneDVD-uninst.exe" /D="C:\Programme\Elaborate Bytes\CloneDVD"
Creative DVD Audio Plugin for Audigy Series-->"C:\Programme\Creative\CTDPlugin\CTUIDVD.exe " -u
DAEMON Tools-->MsiExec.exe /I{938CAE81-CD7E-4AC4-8D38-A0A81FAECAAD}
DVD Shrink 3.2-->"C:\Programme\DVD Shrink\unins000.exe"
eTrust Registration-->MsiExec.exe /X{6BFF4534-7608-41F0-85F7-31A0569D8960}
foobar2000-->"C:\Programme\foobar2000\uninstall.exe"
Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\programme\google\googletoolbar1.dll"
HDAUDIO Soft Data Fax Modem with SmartCP-->C:\Programme\CONEXANT\CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_14F10001\HXFSETUP.EXE -U -IPDAZLCM5K.INF
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs-->MsiExec.exe /X{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}
HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\XXX\Desktop\HijackThis.exe" /uninstall
Hotfix for Windows Media Format SDK (KB902344)-->"C:\WINDOWS\$NtUninstallKB902344$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB935448)-->"C:\WINDOWS\$NtUninstallKB935448$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Intel(R) Graphics Media Accelerator Driver for Mobile-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx2ID PCI\VEN_8086&DEV_2792 PCI\VEN_8086&DEV_2592
InterVideo WinDVD 6-->"C:\Programme\InstallShield Installation Information\{6ACA2FD2-4C4A-42F3-AFB5-7B433BBDF6DB}\setup.exe" REMOVEALL
Java 2 Runtime Environment, SE v1.4.2-->MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142000}
Kaspersky Online Scanner-->C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
K-Lite Mega Codec Pack 1.43-->"C:\Programme\K-Lite Codec Pack\unins000.exe"
Macromedia Flash Player 8-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\swflash.inf,DefaultUninstall,5
Macromedia Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket-->"C:\WINDOWS\$NtUninstallbasecsp$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.3)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSN Messenger 7.5-->MsiExec.exe /I{0D93041A-03EC-11DA-BFBD-00065BBDC0B5}
Native Instruments Traktor DJ Studio v2.6.1.022-->C:\PROGRA~1\NATIVE~1\TRAKTO~1\UNWISE.EXE C:\PROGRA~1\NATIVE~1\TRAKTO~1\INSTALL.LOG
Nero Suite-->C:\Programme\Gemeinsame Dateien\Nero\Uninstall\setupx.exe /uninstall ExtraUninstallID=""
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe"  -uninstall
PowerProducer-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\setup.exe"  -uninstall
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
REALTEK Gigabit and Fast Ethernet NIC Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{94FB906A-CF42-4128-A509-D353026A607E}\Setup.exe" -l0x7 REMOVE
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7  -removeonly
Reason-->MsiExec.exe /X{E52BFE61-E0FF-11D6-9D69-00065BABCB42}
Sicherheitsupdate für Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893066)-->"C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896422)-->"C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896424)-->"C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896688)-->"C:\WINDOWS\$NtUninstallKB896688$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706)-->"C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905915)-->"C:\WINDOWS\$NtUninstallKB905915$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912919)-->"C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913446)-->"C:\WINDOWS\$NtUninstallKB913446$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689)-->"C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944338-v2)-->"C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950749)-->"C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
TuneUp Utilities 2006-->MsiExec.exe /I{868D7896-99D4-4513-BC62-2B3AD3E24926}
Update für Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900930)-->"C:\WINDOWS\$NtUninstallKB900930$\spuninst\spuninst.exe"
Update für Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Windows Genuine Advantage v1.3.0254.0-->MsiExec.exe /I{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Media Connect-->"C:\WINDOWS\$NtUninstallWMCSetup$\spuninst\spuninst.exe"
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format SDK Hotfix - KB891122-->"C:\WINDOWS\$NtUninstallKB891122$\spuninst\spuninst.exe"
Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows XP-Hotfix - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885250-->C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885884-->C:\WINDOWS\$NtUninstallKB885884$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887742-->C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887797-->C:\WINDOWS\$NtUninstallKB887797$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888113-->C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
Windows-Sicherungsprogramm-->MsiExec.exe /I{76EFFC7C-17A6-479D-9E47-8E658C1695AE}
WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe
Zattoo 3.3.0 Beta-->C:\Programme\Zattoo\uninst.exe

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\PROGRA~1\CA\SHARED~1\SCANEN~1;C:\PROGRA~1\CA\ETRUST~1
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 13 Stepping 8, GenuineIntel
"PROCESSOR_REVISION"=0d08
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"AVENGINE"=C:\PROGRA~1\CA\SHARED~1\SCANEN~1
"INOCULAN"=C:\PROGRA~1\CA\ETRUST~1

-----------------EOF-----------------

Leider kann ich nicht beide logs in einen post quetschen, deshalb also gleich ein Weiterer.
Ich denke, das meintest du mit `minimiert´ ??
Nur, wie minimiere ich noch gleich... ?

Naja, hoffe, ich werde nicht gezweitylt...
Frank

2tyler · 08.10.2008, 22:26

2.) und nun das log.txt

Code:

ATTFilter

Logfile of random's system information tool 1.04 (written by random/random)
Run by XXX at 2008-10-08 23:29:49
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 8 GB (18%) free of 45 GB
Total RAM: 1015 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:30:07, on 08.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Deamon302\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\CA\SHARED~1\SCANEN~1\InoDist.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXX\Desktop\RSIT.exe
C:\Dokumente und Einstellungen\XXX\Desktop\XXX.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.medion.com
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - 

c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - 

c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L 

ElbyDelay
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  

-osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Deamon302\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: InterVideo WinCinema Manager.lnk = 

C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - 

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 

C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 

C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - 

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - 

C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.medion.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - 

h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - 

h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - 

h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134055363296
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems 

Shared\Service\Adobelmsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google 

Updater\GoogleUpdaterService.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - 

C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - 

C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - 

C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - 

C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 5512 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper 

Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - c:\programme\google\googletoolbar1.dll [2007-01-19 2427968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\programme\google\googletoolbar1.dll 

[2007-01-19 2427968]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"=C:\WINDOWS\system32\HDAShCut.exe [2005-01-07 61952]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2005-07-08 729178]
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2005-06-08 94208]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2005-06-08 77824]
"Persistence"=C:\WINDOWS\system32\igfxpers.exe [2005-06-08 114688]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2005-08-09 14743552]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"RemoteControl"=C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe [2004-11-02 32768]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"AntivirusRegistration"=C:\Programme\CA\Etrust Antivirus\Register.exe [2005-01-31 458752]
"Realtime Monitor"=C:\PROGRA~1\CA\ETRUST~1\realmon.exe [2004-06-26 504080]
"CloneDVDElbyDelay"=C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe [2002-11-02 45056]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2006-04-06 180269]
"DAEMON Tools-1033"=C:\Programme\Deamon302\daemon.exe [2002-01-20 35252]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2004-10-13 1694208]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2005-06-08 131072]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standa

rdprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:MSN 

Messenger 7.5"
"C:\Programme\InterVideo\DVD6\WinDVD.exe"="C:\Programme\InterVideo\DVD6\WinDVD.exe:*:Enabled:WinDVD

"
"C:\Programme\Veoh Networks\Veoh\VeohClient.exe"="C:\Programme\Veoh 

Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client"
"C:\Programme\Zattoo\zattood.exe"="C:\Programme\Zattoo\zattood.exe:*:Enabled:zattood"
"C:\Programme\Zattoo\Zattoo2.exe"="C:\Programme\Zattoo\Zattoo2.exe:*:Enabled: "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domain

profile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:MSN 

Messenger 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28b64c34-5111-1

1dd-ba56-0040d086b282}]
shell\AutoRun\command - G:\setupSNK.exe


======List of files/folders created in the last 1 months======

2008-10-08 23:29:49 ----D---- C:\rsit
2008-10-08 22:36:22 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-10-08 22:36:19 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2008-10-08 22:36:19 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-08 01:38:31 ----D---- C:\Programme\HiJackThis
2008-10-08 00:39:52 ----AD---- C:\WINDOWS\zts2.exe
2008-10-08 00:39:52 ----AD---- C:\WINDOWS\system32\iifgfgf.dll
2008-10-08 00:39:52 ----AD---- C:\WINDOWS\rundl132.dll
2008-10-08 00:36:30 ----A---- C:\WINDOWS\system32\TASKMGR.COM
2008-10-08 00:36:30 ----A---- C:\WINDOWS\system32\T.COM
2008-10-08 00:36:30 ----A---- C:\WINDOWS\REGEDIT.COM
2008-10-08 00:36:30 ----A---- C:\WINDOWS\R.COM
2008-10-08 00:36:25 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
2008-10-07 22:48:41 ----A---- C:\WINDOWS\ntbtlog.txt
2008-10-07 04:26:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky 

Lab
2008-10-07 04:26:41 ----D---- C:\WINDOWS\system32\Kaspersky Lab
2008-10-07 03:50:43 ----D---- C:\Programme\SAV
2008-10-07 01:03:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google
2008-10-05 22:43:14 ----D---- C:\Programme\Zattoo
2008-09-17 03:14:39 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2008-09-17 03:14:35 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2008-09-17 03:14:31 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2008-09-17 03:14:27 ----HDC---- C:\WINDOWS\$NtUninstallKB953839$
2008-09-17 03:14:20 ----HDC---- C:\WINDOWS\$NtUninstallKB935448$
2008-09-17 03:13:58 ----HDC---- C:\WINDOWS\$NtUninstallKB923723$
2008-09-17 03:13:46 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2008-09-17 03:13:28 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$
2008-09-17 03:10:15 ----HDC---- C:\WINDOWS\$NtUninstallKB941569$
2008-09-17 03:08:38 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2008-09-17 03:08:00 ----HDC---- C:\WINDOWS\$NtUninstallKB951072-v2$
2008-09-17 03:07:25 ----HDC---- C:\WINDOWS\$NtUninstallKB923689$
2008-09-17 03:05:13 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2008-09-17 03:04:47 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2008-09-17 03:03:44 ----HDC---- C:\WINDOWS\$NtUninstallKB953838$
2008-09-17 03:03:25 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2008-09-17 03:03:22 ----HDC---- C:\WINDOWS\$NtUninstallKB885884$
2008-09-17 03:03:05 ----HDC---- C:\WINDOWS\$NtUninstallKB950749$
2008-09-17 03:03:02 ----HDC---- C:\WINDOWS\$NtUninstallKB938464$
2008-09-17 03:02:58 ----HDC---- C:\WINDOWS\$NtUninstallKB944338-v2$
2008-09-17 03:02:43 ----HDC---- C:\WINDOWS\$NtUninstallKB936782_WMP10$
2008-09-17 00:42:46 ----A---- C:\WINDOWS\system32\wucltui.dll.mui
2008-09-17 00:42:46 ----A---- C:\WINDOWS\system32\wuaueng.dll.mui
2008-09-17 00:42:46 ----A---- C:\WINDOWS\system32\wuapi.dll.mui

======List of files/folders modified in the last 1 months======

2008-10-08 23:26:40 ----D---- C:\Programme\Mozilla Firefox
2008-10-08 23:25:42 ----D---- C:\WINDOWS\Temp
2008-10-08 23:25:42 ----D---- C:\WINDOWS\system32\ias
2008-10-08 23:25:40 ----A---- C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt
2008-10-08 23:25:29 ----D---- C:\WINDOWS\system32\Lang
2008-10-08 23:25:22 ----D---- C:\WINDOWS\system32
2008-10-08 23:25:22 ----D---- C:\WINDOWS
2008-10-08 23:25:02 ----D---- C:\WINDOWS\system32\drivers
2008-10-08 23:24:44 ----A---- C:\WINDOWS\SchedLgU.Txt
2008-10-08 23:24:37 ----D---- C:\WINDOWS\Prefetch
2008-10-08 23:23:13 ----RD---- C:\Programme
2008-10-08 01:55:09 ----HD---- C:\WINDOWS\inf
2008-10-08 01:55:08 ----D---- C:\WINDOWS\system32\CatRoot2
2008-10-07 12:46:57 ----D---- C:\Programme\Google
2008-10-07 05:37:44 ----RSHDC---- C:\WINDOWS\system32\dllcache
2008-10-07 04:26:42 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-10-05 22:49:34 ----SD---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft
2008-10-05 21:41:46 ----D---- C:\WINDOWS\system32\FxsTmp
2008-10-05 00:30:39 ----A---- C:\WINDOWS\cdplayer.ini
2008-10-05 00:30:09 ----D---- C:\audiograbber
2008-09-23 19:19:06 ----HD---- C:\Programme\InstallShield Installation Information
2008-09-23 19:19:05 ----D---- C:\WINDOWS\Downloaded Installations
2008-09-23 19:18:56 ----SHD---- C:\WINDOWS\Installer
2008-09-19 16:24:01 ----D---- C:\WINDOWS\Debug
2008-09-17 03:14:39 ----HD---- C:\WINDOWS\$hf_mig$
2008-09-17 03:14:38 ----A---- C:\WINDOWS\imsins.BAK
2008-09-17 03:14:33 ----D---- C:\Programme\Messenger
2008-09-17 03:03:56 ----D---- C:\Programme\Internet Explorer
2008-09-17 03:03:02 ----D---- C:\WINDOWS\WinSxS
2008-09-17 00:49:09 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla
2008-09-17 00:43:32 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Adobe
2008-09-17 00:42:56 ----D---- C:\WINDOWS\SoftwareDistribution
2008-09-17 00:42:55 ----D---- C:\WINDOWS\Help
2008-09-13 03:41:51 ----D---- C:\Programme\TuneUp Utilities 2006

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-04 40192]
R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2003-03-15 23628]
R2 INO_FLTR;INO_FLTR; \??\C:\WINDOWS\system32\Drivers\ino_fltr.sys []
R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2004-03-17 13059]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; 

C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-04 14080]
R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2003-03-28 3840]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; 

C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 HSF_DPV;HSF_DPV; C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys [2005-03-17 1033600]
R3 HSFHWAZL;HSFHWAZL; C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys [2005-03-17 165504]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-06-08 1050140]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys 

[2005-08-09 3855360]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824]
R3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver; 

C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys [2005-03-04 74496]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2005-07-08 190560]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; 

C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-04 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; 

C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480]
R3 w29n51;Intel(R) PRO/Wireless 2200BG Netzwerkverbindungstreiber für Windows XP; 

C:\WINDOWS\system32\DRIVERS\w29n51.sys [2005-04-30 3281408]
R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys [2005-03-17 705280]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
S3 CBEN5;Xircom CardBus Ethernet-10/100-Adapterfamilientreiber; 

C:\WINDOWS\system32\DRIVERS\cben5.sys [2001-08-17 46108]
S3 HdAudAddService;Microsoft UAA Function Driver for High Definition Audio Service; 

C:\WINDOWS\system32\drivers\HdAudio.sys [2005-01-07 145920]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; 

C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 

31616]
S3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-08-04 

73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 InoRPC;eTrust Antivirus RPC Server; C:\Programme\CA\eTrust Antivirus\InoRpc.exe [2004-06-26 

139536]
R2 InoRT;eTrust Antivirus Realtime Server; C:\Programme\CA\eTrust Antivirus\InoRT.exe [2004-06-26 

241936]
R2 InoTask;eTrust Antivirus Job Server; C:\Programme\CA\eTrust Antivirus\InoTask.exe [2004-06-26 

254224]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe 

[2001-02-23 270336]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2004-08-04 268800]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems 

Shared\Service\Adobelmsvc.exe [2006-04-06 69632]
S3 aspnet_state;ASP.NET State Service; 

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; 

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 gusvc;Google Updater Service; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe 

[2008-10-07 138168]
S3 TUWinStylerThemeSvc;TuneUp WinStyler Theme Service; C:\Programme\TuneUp Utilities 

2006\WinStylerThemeSvc.exe [2005-08-24 118272]
S3 WMConnectCDS;Windows Media Connect-Dienst; C:\Programme\Windows Media Connect 2\wmccds.exe 

[2005-10-06 856064]

-----------------EOF-----------------

Also, hoffe, das war dann der nächste Schritt.
Und, was sagen die logs ? Mir wollen sie ihre Geheimnisse nicht offenbaren...

Das log von Malwarebytes' Anti-Malware sollte ich nicht posten, gelle ?!

Gruß und Dank vom
Frank

schrauber · 08.10.2008, 23:09

Zitat:

Das log von Malwarebytes' Anti-Malware sollte ich nicht posten, gelle ?!

genau, und darauf warte ich

2tyler · 08.10.2008, 23:44

hrrrmmm... na, wenn man schon mal denkt...

Ok, na dann los.

1.) das erste Log

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1244
Windows 5.1.2600 Service Pack 2

08.10.2008 23:23:13
mbam-log-2008-10-08 (23-23-13).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 88006
Laufzeit: 23 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\PCPrivacyCleaner (Rogue.PCPrivacyCleaner) -> Quarantined and deleted successfully.
C:\Programme\VirusRemover2008 (Rogue.VirusRemove) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\SAV\sav0.dat (Rogue.SystemAntivirus) -> Quarantined and deleted successfully.
C:\Programme\SAV\sav1.dat (Rogue.SystemAntivirus) -> Quarantined and deleted successfully.
C:\Programme\SAV\sav.ooo (Rogue.SystemAntivirus) -> Quarantined and deleted successfully.
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot.
C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> Delete on reboot.

2.) letztes Log von danach

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1244
Windows 5.1.2600 Service Pack 2

09.10.2008 00:23:55
mbam-log-2008-10-09 (00-23-55).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 88001
Laufzeit: 21 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Dieses letzte Log wiederum möchte mit mir reden, hab ich das Gefühl...
Ich glaube, es möchte mir gute Nachrichten übermitteln ??

Gruß gen Saar vom
Frank

schrauber · 09.10.2008, 07:54

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

2tyler · 10.10.2008, 22:06

Moin, ok, na denn mal weiter.

Code:

ATTFilter

ComboFix 08-10-10.01 - XXX 2008-10-10 23:08:59.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.652 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\SAV
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-10 bis 2008-10-10  ))))))))))))))))))))))))))))))
.

2008-10-10 22:19 . 2008-10-10 22:19	<DIR>	d--------	C:\Programme\CCleaner
2008-10-09 02:28 . 2008-10-09 02:28	<DIR>	d--------	C:\Programme\Kaspersky Lab
2008-10-09 02:28 . 2008-10-10 23:15	1,670,176	--ahs----	C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-09 02:28 . 2008-10-09 02:48	96,976	--a------	C:\WINDOWS\system32\drivers\klin.dat
2008-10-09 02:28 . 2008-10-09 02:48	87,855	--a------	C:\WINDOWS\system32\drivers\klick.dat
2008-10-09 02:28 . 2008-10-10 23:13	25,460	--ahs----	C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-09 02:28 . 2008-10-10 23:14	6,432	--ahs----	C:\WINDOWS\system32\drivers\fidbox2.dat
2008-10-09 02:28 . 2008-10-10 23:13	1,604	--ahs----	C:\WINDOWS\system32\drivers\fidbox2.idx
2008-10-09 01:42 . 2008-10-09 01:44	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-10-09 01:42 . 2008-10-10 22:20	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-09 00:27 . 2008-10-09 00:27	<DIR>	d-a------	C:\WINDOWS\system32\vcmgcd32.dll
2008-10-09 00:27 . 2008-10-09 00:27	<DIR>	d-a------	C:\WINDOWS\rundll16.exe
2008-10-09 00:27 . 2008-10-09 00:27	<DIR>	d-a------	C:\WINDOWS\logo1_.exe
2008-10-08 23:29 . 2008-10-08 23:30	<DIR>	d--------	C:\rsit
2008-10-08 22:36 . 2008-10-08 22:37	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-08 22:36 . 2008-10-08 22:36	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-10-08 22:36 . 2008-10-08 22:36	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-08 22:36 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-08 22:36 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-08 01:27 . 2008-10-09 00:42	0	--a------	C:\23990098.$$$
2008-10-08 00:39 . 2008-10-08 00:39	<DIR>	d-a------	C:\WINDOWS\zts2.exe
2008-10-08 00:39 . 2008-10-08 00:39	<DIR>	d-a------	C:\WINDOWS\system32\iifgfgf.dll
2008-10-08 00:39 . 2008-10-08 00:39	<DIR>	d-a------	C:\WINDOWS\rundl132.dll
2008-10-08 00:36 . 2008-10-08 00:36	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
2008-10-08 00:36 . 2004-08-04 14:00	153,600	--a------	C:\WINDOWS\R.COM
2008-10-08 00:36 . 2004-08-04 14:00	140,800	--a------	C:\WINDOWS\system32\T.COM
2008-10-08 00:36 . 2008-10-09 00:26	52	--a------	C:\WINDOWS\Lic.xxx
2008-10-07 22:51 . 2008-10-07 22:51	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\DoctorWeb
2008-10-07 04:26 . 2008-10-07 04:26	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab
2008-10-07 04:26 . 2008-10-10 22:09	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-05 22:43 . 2008-10-09 15:16	<DIR>	d--------	C:\Programme\Zattoo
2008-10-05 22:40 . 2008-10-05 22:40	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-10-05 22:40 . 2008-10-05 22:40	1,409	--a------	C:\WINDOWS\QTFont.for
2008-09-17 00:49 . 2008-06-14 19:57	273,024	---------	C:\WINDOWS\system32\drivers\bthport.sys
2008-09-17 00:49 . 2008-06-14 19:57	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-17 00:42 . 2008-07-18 22:10	33,992	--a------	C:\WINDOWS\system32\wucltui.dll.mui
2008-09-17 00:42 . 2008-07-18 22:09	29,896	--a------	C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-09-17 00:42 . 2008-07-18 22:09	29,896	--a------	C:\WINDOWS\system32\wuapi.dll.mui
2008-09-17 00:42 . 2008-07-18 22:08	21,192	--a------	C:\WINDOWS\system32\wuaueng.dll.mui

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-09 00:24	---------	d-----w	C:\Programme\CA
2008-10-07 10:46	---------	d-----w	C:\Programme\Google
2008-09-23 17:19	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-09-13 01:41	---------	d-----w	C:\Programme\TuneUp Utilities 2006
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2005-12-16 06:56	8	--sh--r	C:\WINDOWS\system32\065F44A906.sys
2005-12-16 06:56	4,184	--sha-w	C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-07-08 729178]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-06-08 94208]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-06-08 77824]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2005-06-08 114688]
"RemoteControl"="C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"AntivirusRegistration"="C:\Programme\CA\Etrust Antivirus\Register.exe" [2005-01-31 458752]
"CloneDVDElbyDelay"="C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" [2002-11-02 45056]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-06 180269]
"DAEMON Tools-1033"="C:\Programme\Deamon302\daemon.exe" [2002-01-20 35252]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" [2008-05-01 221184]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-09 C:\WINDOWS\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2006-04-06 212992]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.FFDS"= C:\PROGRA~1\K-LITE~1\ffdshow\ff_vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\InterVideo\\DVD6\\WinDVD.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=

R0 Daemon;Daemon;C:\WINDOWS\system32\DRIVERS\daemon.sys [2002-01-19 71968]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 24592]
S3 CBEN5;Xircom CardBus Ethernet-10/100-Adapterfamilientreiber;C:\WINDOWS\system32\DRIVERS\cben5.sys [2001-08-17 46108]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28b64c34-5111-11dd-ba56-0040d086b282}]
\Shell\AutoRun\command - G:\setupSNK.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-03 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 02:29]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\oo14j2iq.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - C:\Programme\Java\j2re1.4.2\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\j2re1.4.2\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\j2re1.4.2\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\j2re1.4.2\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\j2re1.4.2\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\j2re1.4.2\bin\NPJPI142.dll
FF -: plugin - C:\Programme\Java\j2re1.4.2\bin\NPOJI610.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-10-10 23:14:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxsrvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-10 23:18:18 - PC wurde neu gestartet

Vor Suchlauf: 8.556.511.232 Bytes frei
Nach Suchlauf: 8,559,857,664 Bytes frei

156	--- E O F ---	2008-10-06 23:04:22

Soweit, so gut...
Und, wieviele Programme hast du noch auf Lager ??

Gruß vom
Frank

schrauber · 11.10.2008, 08:21

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Zitat:

KILLALL::

Folder::
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\logo1_.exe
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundl132.dll

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

===

malwarebytes updaten, komplettscan, log posten.

===

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

2tyler · 14.10.2008, 03:31

Heyho, Schraubender !

Also dann, du hast ja wieder ne Menge zu lesen angefordert, na dann los:

1.) ComboFix-Log

Code:

ATTFilter

ComboFix 08-10-12.01 - Marco 2008-10-14  2:22:20.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.650 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Marco\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Marco\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\logo1_.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\zts2.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-14 bis 2008-10-14  ))))))))))))))))))))))))))))))
.

2008-10-14 00:24 . 2008-10-14 00:39	<DIR>	d--------	C:\WINDOWS\system32\CatRoot_bak
2008-10-10 23:07 . 2008-10-10 23:07	<DIR>	d--------	C:\ERDNT
2008-10-10 22:19 . 2008-10-10 22:19	<DIR>	d--------	C:\Programme\CCleaner
2008-10-09 02:28 . 2008-10-09 02:28	<DIR>	d--------	C:\Programme\Kaspersky Lab
2008-10-09 02:28 . 2008-10-14 02:27	2,055,456	--ahs----	C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-09 02:28 . 2008-10-09 02:48	96,976	--a------	C:\WINDOWS\system32\drivers\klin.dat
2008-10-09 02:28 . 2008-10-09 02:48	87,855	--a------	C:\WINDOWS\system32\drivers\klick.dat
2008-10-09 02:28 . 2008-10-14 02:27	42,784	--ahs----	C:\WINDOWS\system32\drivers\fidbox2.dat
2008-10-09 02:28 . 2008-10-14 02:25	30,596	--ahs----	C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-09 02:28 . 2008-10-14 02:25	5,012	--ahs----	C:\WINDOWS\system32\drivers\fidbox2.idx
2008-10-09 01:42 . 2008-10-09 01:44	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-10-09 01:42 . 2008-10-10 23:34	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-08 23:29 . 2008-10-08 23:30	<DIR>	d--------	C:\rsit
2008-10-08 22:36 . 2008-10-08 22:37	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-08 22:36 . 2008-10-08 22:36	<DIR>	d--------	C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\Malwarebytes
2008-10-08 22:36 . 2008-10-08 22:36	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-08 22:36 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-08 22:36 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-08 01:27 . 2008-10-09 00:42	0	--a------	C:\23990098.$$$
2008-10-08 00:36 . 2008-10-08 00:36	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
2008-10-08 00:36 . 2004-08-04 14:00	153,600	--a------	C:\WINDOWS\R.COM
2008-10-08 00:36 . 2004-08-04 14:00	140,800	--a------	C:\WINDOWS\system32\T.COM
2008-10-08 00:36 . 2008-10-09 00:26	52	--a------	C:\WINDOWS\Lic.xxx
2008-10-07 22:51 . 2008-10-07 22:51	<DIR>	d--------	C:\Dokumente und Einstellungen\Marco\DoctorWeb
2008-10-07 04:26 . 2008-10-07 04:26	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab
2008-10-07 04:26 . 2008-10-13 20:54	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-05 22:43 . 2008-10-09 15:16	<DIR>	d--------	C:\Programme\Zattoo
2008-10-05 22:40 . 2008-10-05 22:40	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-10-05 22:40 . 2008-10-05 22:40	1,409	--a------	C:\WINDOWS\QTFont.for
2008-09-17 00:49 . 2008-06-14 19:57	273,024	---------	C:\WINDOWS\system32\drivers\bthport.sys
2008-09-17 00:49 . 2008-06-14 19:57	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-17 00:42 . 2008-07-18 22:10	33,992	--a------	C:\WINDOWS\system32\wucltui.dll.mui
2008-09-17 00:42 . 2008-07-18 22:09	29,896	--a------	C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-09-17 00:42 . 2008-07-18 22:09	29,896	--a------	C:\WINDOWS\system32\wuapi.dll.mui
2008-09-17 00:42 . 2008-07-18 22:08	21,192	--a------	C:\WINDOWS\system32\wuaueng.dll.mui

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-09 00:24	---------	d-----w	C:\Programme\CA
2008-10-07 10:46	---------	d-----w	C:\Programme\Google
2008-09-23 17:19	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-09-13 01:41	---------	d-----w	C:\Programme\TuneUp Utilities 2006
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2005-12-16 06:56	8	--sh--r	C:\WINDOWS\system32\065F44A906.sys
2005-12-16 06:56	4,184	--sha-w	C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-07-08 729178]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-06-08 94208]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-06-08 77824]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2005-06-08 114688]
"RemoteControl"="C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"AntivirusRegistration"="C:\Programme\CA\Etrust Antivirus\Register.exe" [2005-01-31 458752]
"CloneDVDElbyDelay"="C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" [2002-11-02 45056]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-06 180269]
"DAEMON Tools-1033"="C:\Programme\Deamon302\daemon.exe" [2002-01-20 35252]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" [2008-05-01 221184]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-09 C:\WINDOWS\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2006-04-06 212992]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.FFDS"= C:\PROGRA~1\K-LITE~1\ffdshow\ff_vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\InterVideo\\DVD6\\WinDVD.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=

R0 Daemon;Daemon;C:\WINDOWS\system32\DRIVERS\daemon.sys [2002-01-19 71968]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 24592]
S3 CBEN5;Xircom CardBus Ethernet-10/100-Adapterfamilientreiber;C:\WINDOWS\system32\DRIVERS\cben5.sys [2001-08-17 46108]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28b64c34-5111-11dd-ba56-0040d086b282}]
\Shell\AutoRun\command - G:\setupSNK.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-03 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 02:29]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 02:27:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxsrvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-14  2:30:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-14 00:30:38
ComboFix2.txt  2008-10-10 21:18:24

Vor Suchlauf: 7.989.547.008 Bytes frei
Nach Suchlauf: 7,985,770,496 Bytes frei

145	--- E O F ---	2008-10-06 23:04:22

2.) Log von Malwarebytes

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1266
Windows 5.1.2600 Service Pack 2

14.10.2008 03:04:25
mbam-log-2008-10-14 (03-04-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 90152
Laufzeit: 21 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> No action taken.

3.) Log vom MWAV

Da hab ich wohl wieder was falsch gemacht. 7,6 MB zu posten ist dann wohl
wahrlich in niemandes Interesse !??!
Also hier die letzten Zeilen, soll ich mehr posten, bitte nochmal sagen.

Code:

ATTFilter

14 Okt 2008 03:25:04 - *****Auf bestimmte ITW-Viren wird überprüft *****
 
14 Okt 2008 03:25:04 - ***** Scannen abgeschlossen *****
 
14 Okt 2008 03:25:04 - Zahl der gescannten Objekte: 60374
14 Okt 2008 03:25:04 - Zahl der kritischen Objekte: 0
14 Okt 2008 03:25:04 - Zahl der desinfizierten Objekte: 0
14 Okt 2008 03:25:04 - Zahl der umbenannten Dateien: 0
14 Okt 2008 03:25:04 - Zahl der gelöschten Objekte: 0
14 Okt 2008 03:25:04 - Zahl der Fehler: 1
14 Okt 2008 03:25:04 - Zeit verstrichen: 00:14:44
14 Okt 2008 03:25:04 - Virendatenbank Datum: 13 Oct 2008
14 Okt 2008 03:25:04 - Virendatenbankzähler: 1309715
 
14 Okt 2008 03:25:04 - Scannen abgeschlossen.
 
14 Okt 2008 04:37:22 - Virendatenbank Datum: 13 Oct 2008
14 Okt 2008 04:37:22 - Virendatenbankzähler: 1309715
14 Okt 2008 04:37:24 - Uninitializing Scanner (3)...
14 Okt 2008 04:37:31 - Freeing Libraries (3)...
14 Okt 2008 04:37:31 - AV Library Unloaded (3)...
14 Okt 2008 04:46:55 - **********************************************************
14 Okt 2008 04:46:56 - eScan AntiVirus und Antispyware Toolkit.
14 Okt 2008 04:46:56 - Copyright ©   MicroWorld Technologies
14 Okt 2008 04:46:56 - **********************************************************
14 Okt 2008 04:46:56 - Source: C:\DOKUME~1\Marco\Desktop\mwav.exe
14 Okt 2008 04:46:56 - Version 10.0.8 (C:\DOKUME~1\Marco\LOKALE~1\Temp\mexe.com)
14 Okt 2008 04:46:56 - Logdatei: C:\DOKUME~1\Marco\LOKALE~1\Temp\MWAV.LOG
14 Okt 2008 04:46:56 - Datum und Uhrzeit des letzten Scannens: 14.10.2008 03:10:20
14 Okt 2008 04:46:56 - MWAV Registered: FALSE
14 Okt 2008 04:46:56 - User Account: Marco (Administrator Mode)
14 Okt 2008 04:46:56 - OS Type: Windows Workstation
14 Okt 2008 04:46:56 - OS: Windows XP [OS Install Date: 06 Apr 2006 18:40:26]
14 Okt 2008 04:46:56 - Ver: Service Pack 2 (Build 2600)
14 Okt 2008 04:46:56 - System Up Time: 2 Hours, 20 Minutes, 47 Seconds


14 Okt 2008 04:46:56 - Parent Process Name : C:\Dokumente und Einstellungen\Marco\Desktop\mwav.exe
14 Okt 2008 04:46:56 - Windows Root  Folder: C:\WINDOWS
14 Okt 2008 04:46:56 - Windows Sys32 Folder: C:\WINDOWS\system32
14 Okt 2008 04:46:56 - DHCP NameServer: 213.191.74.11 213.191.92.82
14 Okt 2008 04:46:56 - Interface0 DHCPNameServer: 213.191.74.11 213.191.92.82
14 Okt 2008 04:46:56 - Local Fixed Drives: c:\,d:\,e:\
14 Okt 2008 04:46:56 - MWAV Mode: Only Scan files
14 Okt 2008 04:46:56 - [CREATED ZIP FILE C:\DOKUME~1\Marco\LOKALE~1\Temp\pinfect.zip]
 
14 Okt 2008 04:46:56 - ********** Die in den letzten 14 Tagen im Windows-Ordner erstellten/modifizierten Dateien **********
14 Okt 2008 04:46:57 - C:\WINDOWS\fdsv.exe (89504), 10-Oct-2008, Smallfrogs Studio
14 Okt 2008 04:46:57 - C:\WINDOWS\grep.exe (80412), 10-Oct-2008 [Added C:\WINDOWS\grep.exe to ZIP FILE]
14 Okt 2008 04:46:57 - C:\WINDOWS\NIRCMD.exe (28672), 10-Oct-2008, NirSoft, NirCmd
14 Okt 2008 04:46:57 - C:\WINDOWS\R.COM (153600), 07-Oct-2008, Microsoft Corporation, Betriebssystem Microsoft® Windows®
14 Okt 2008 04:46:57 - C:\WINDOWS\sed.exe (98816), 10-Oct-2008 [Added C:\WINDOWS\sed.exe to ZIP FILE]
14 Okt 2008 04:46:57 - C:\WINDOWS\SWREG.exe (161792), 10-Oct-2008, SteelWerX, SteelWerX Registry Editor
14 Okt 2008 04:46:57 - C:\WINDOWS\SWSC.exe (136704), 10-Oct-2008, SteelWerX, SteelWerX Service Controller
14 Okt 2008 04:46:58 - C:\WINDOWS\SWXCACLS.exe (212480), 10-Oct-2008, SteelWerX, SteelWerX Extended Configurator ACLists
14 Okt 2008 04:46:58 - C:\WINDOWS\VFIND.exe (49152), 10-Oct-2008 [Added C:\WINDOWS\VFIND.exe to ZIP FILE]
14 Okt 2008 04:46:58 - C:\WINDOWS\zip.exe (68096), 10-Oct-2008 [Added C:\WINDOWS\zip.exe to ZIP FILE]
14 Okt 2008 04:46:58 - C:\WINDOWS\system32\065F44A906.sys (8), 16-Dec-2005 [HSR] [Added C:\WINDOWS\system32\065F44A906.sys to ZIP FILE]
14 Okt 2008 04:46:58 - C:\WINDOWS\system32\KGyGaAvL.sys (4184), 16-Dec-2005 [HS] [Added C:\WINDOWS\system32\KGyGaAvL.sys to ZIP FILE]
14 Okt 2008 04:46:59 - C:\WINDOWS\system32\T.COM (140800), 07-Oct-2008, Microsoft Corporation, Betriebssystem Microsoft® Windows®
14 Okt 2008 04:46:59 - C:\WINDOWS\system32\TASKMGR.COM (140800), 14-Oct-2008, Microsoft Corporation, Betriebssystem Microsoft® Windows®
14 Okt 2008 04:46:59 - C:\WINDOWS\system32\W29MLRES.dll (1671168), 06-Apr-2006 [H], Intel Corporation, Intel(R) PRO/Wireless 2915ABG Network Connection
14 Okt 2008 04:47:00 - C:\WINDOWS\system32\w29NCPA.dll (466944), 08-Dec-2005 [H], Intel Corporation, Intel(R) PRO/Wireless 2915ABG Network Connection [Added C:\WINDOWS\system32\w29NCPA.dll to ZIP FILE]
14 Okt 2008 04:47:00 - C:\WINDOWS\system32\drivers\mbam.sys (17200), 08-Oct-2008, Malwarebytes Corporation, Malwarebytes' Anti-Malware
14 Okt 2008 04:47:00 - C:\WINDOWS\system32\drivers\mbamswissarmy.sys (38528), 08-Oct-2008, Malwarebytes Corporation, Malwarebytes' Anti-Malware
14 Okt 2008 04:47:00 - C:\WINDOWS\system32\drivers\w29n51.sys (3281408), 08-Dec-2005 [H], Intel® Corporation, Intel® Wireless LAN Adapter
 
14 Okt 2008 04:47:00 - C:\WINDOWS\$hf_mig$, 08-Dec-2005 [H] [Ordner]
14 Okt 2008 04:47:00 - C:\WINDOWS\$MSI31Uninstall_KB893803v2$, 08-Dec-2005 [H] [Ordner]
14 Okt 2008 04:47:00 - C:\WINDOWS\$NtUninstallbasecsp$, 08-Dec-2005 [H] [Ordner]
14 Okt 2008 04:47:00 - C:\WINDOWS\$NtUninstallWMCSetup$, 08-Dec-2005 [H] [Ordner]
14 Okt 2008 04:47:00 - C:\WINDOWS\erdnt, 10-Oct-2008 [Ordner]
14 Okt 2008 04:47:00 - C:\WINDOWS\Fonts, 08-Dec-2005 [SR] [Ordner]
14 Okt 2008 04:47:00 - C:\WINDOWS\inf, 08-Dec-2005 [H] [Ordner]
14 Okt 2008 04:47:00 - C:\WINDOWS\Tasks, 08-Dec-2005 [S] [Ordner]
14 Okt 2008 04:47:00 - C:\WINDOWS\WLAN_Driver, 08-Dec-2005 [H] [Ordner]
14 Okt 2008 04:47:00 - C:\WINDOWS\system32\CatRoot_bak, 13-Oct-2008 [Ordner]
14 Okt 2008 04:47:00 - C:\WINDOWS\system32\dllcache, 08-Dec-2005 [HSR] [Ordner]
14 Okt 2008 04:47:00 - C:\WINDOWS\system32\Kaspersky Lab, 07-Oct-2008 [Ordner]
14 Okt 2008 04:47:00 - C:\WINDOWS\system32\Microsoft, 08-Dec-2005 [S] [Ordner]
14 Okt 2008 04:47:00 - C:\Driver, 08-Dec-2005 [H] [Ordner]
14 Okt 2008 04:47:00 - C:\ERDNT, 10-Oct-2008 [Ordner]
14 Okt 2008 04:47:00 - C:\Qoobox, 14-Oct-2008 [Ordner]
14 Okt 2008 04:47:00 - C:\rsit, 08-Oct-2008 [Ordner]
14 Okt 2008 04:47:00 - C:\Programme\CCleaner, 10-Oct-2008 [Ordner]
14 Okt 2008 04:47:00 - C:\Programme\HiJackThis, 07-Oct-2008 [Ordner]
14 Okt 2008 04:47:00 - C:\Programme\Kaspersky Lab, 09-Oct-2008 [Ordner]
14 Okt 2008 04:47:00 - C:\Programme\Malwarebytes' Anti-Malware, 08-Oct-2008 [Ordner]
14 Okt 2008 04:47:00 - C:\Programme\Spybot - Search & Destroy, 08-Oct-2008 [Ordner]
14 Okt 2008 04:47:00 - C:\Programme\WindowsUpdate, 08-Dec-2005 [H] [Ordner]
14 Okt 2008 04:47:00 - C:\Programme\Zattoo, 05-Oct-2008 [Ordner]
 
14 Okt 2008 04:47:00 - [Made copy of PINFECT.ZIP (320392 Bytes) as C:\DOKUME~1\Marco\EIGENE~1\pinfect.zip]
14 Okt 2008 04:47:00 - *********************************************************************************************
 
14 Okt 2008 04:47:04 - Das aktuellste  Datum der MWAV-Dateien: 13 Oct 2008 23:28:33.
14 Okt 2008 04:47:06 - Loading/Creating FileScan Database C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROW~1\MWAV\MWAVDB.MDB [Log: C:\DOKUME~1\Marco\LOKALE~1\Temp\MWAVDB.LOG]
14 Okt 2008 04:47:08 - Loaded/Created FileScan Database...
14 Okt 2008 04:47:08 - Loading AV Library...
14 Okt 2008 04:47:21 - AV Bibliothek geladen...
14 Okt 2008 04:47:21 - MWAV doing self scanning...
14 Okt 2008 04:47:21 - Datei C:\DOKUME~1\Marco\LOKALE~1\Temp\getvlist.exe wird gescannt [****]
14 Okt 2008 04:47:21 - Datei C:\DOKUME~1\Marco\LOKALE~1\Temp\main.avi wird gescannt
14 Okt 2008 04:47:21 - Datei C:\DOKUME~1\Marco\LOKALE~1\Temp\virus.avi wird gescannt
14 Okt 2008 04:47:21 - Datei C:\DOKUME~1\Marco\LOKALE~1\Temp\ScanningProcess.exe wird gescannt [****]
14 Okt 2008 04:47:21 - Datei C:\DOKUME~1\Marco\LOKALE~1\Temp\kave.dll wird gescannt [****]
14 Okt 2008 04:47:21 - Datei C:\DOKUME~1\Marco\LOKALE~1\Temp\prloader.dll wird gescannt [****]
14 Okt 2008 04:47:21 - MWAV files are clean.
14 Okt 2008 04:47:22 - Virendatenbank Datum: 13 Oct 2008
14 Okt 2008 04:47:22 - Virendatenbankzähler: 1309721
14 Okt 2008 04:47:43 - Antiviren- und Antispywaredatenbanken werden heruntergeladen...
14 Okt 2008 04:47:52 - Keine weiteren Aktualisierungen vorhanden. Ihre Aktualisierungen befinden sich auf dem neuesten Stand.

Also dann, auf ein Neues ?!?!
Gruß vom Frank

Trojaner, VirusRemover2008, PcPrivacyCleaner

Log-Analyse und Auswertung: Trojaner, VirusRemover2008, PcPrivacyCleaner