Trojan.Downloarder.Firu.H gefunden was tun?

christoph281 · 01.11.2008, 18:05

ich grüße euch.

gestern habe ich mir beim unüberlegten saugen den rechner schön versaut. (windows xp)
den fake antivirus2009 habe ich gut wegbekomm dank malewarebyte aber dann fiel mir heute auf dass irgendwas faul ist. gdata antivirus 2009 hat ein trojaner gefunden Trojan.Downloarder.Firu.H und auch im task manager laufen komische sachen

Zitat:

iexplore.exe

ist wohl faul.

muss allerdings zugeben dass ich nicht so die ahnung habe und mein verdacht nur durch aufmerksames googeln und analysieren der posts kommt.

hab mir auch dieses HijackThis geladen wie beschrieben um diese dokfile zu bekomm.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:35:59, on 01.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20900)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\PAStiSvc.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\WgaTray.exe
C:\WINXP\Explorer.EXE
C:\WINXP\Mixer.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINXP\system32\wuauclt.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
C:\WINXP\system32\G5M2yb6i.exe
C:\Programme\G DATA\AntiVirus\AVK\AVK.exe
C:\WINXP\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINXP\System32\PAStiSvc.exe

--
End of file - 6770 bytes

ich glaube ich brauche dringend hilfe von einem experten wie ich mein rechner wieder flott bekomme...

und wie gesagt meine pc kenntnisse sind leider begrenzt gerade was solche herausforderungen betrifft. aber ich bin sehr lernfähig.

liebe grüße

christoph aus berlin

christoph281 · 01.11.2008, 19:34

editionen:

hab mal etwas zuarbeit gemacht die bestimmt weiterhilft.

hab folgende dateien aus der logdatei überprüft.

Code:

ATTFilter

C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\PAStiSvc.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\WgaTray.exe
C:\WINXP\Explorer.EXE
C:\WINXP\Mixer.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINXP\system32\wuauclt.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
C:\WINXP\system32\G5M2yb6i.exe
C:\Programme\G DATA\AntiVirus\AVK\AVK.exe
C:\WINXP\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

überprüfung von VirusTotal - Free Online Virus and Malware Scan hat bei folgenden dateien schadsoftware erkannt

bei datei:

Code:

ATTFilter

C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe

ANALYSEPROTOKOLL:

Code:

ATTFilter

Datei AVKProxy.exe empfangen 2008.11.01 19:20:11 (CET)Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.11.1.0 2008.11.01 - 
AntiVir 7.9.0.10 2008.10.31 - 
Authentium 5.1.0.4 2008.11.01 - 
Avast 4.8.1248.0 2008.11.01 - 
AVG 8.0.0.161 2008.11.01 - 
BitDefender 7.2 2008.11.01 - 
CAT-QuickHeal 9.50 2008.11.01 - 
ClamAV 0.94.1 2008.11.01 - 
DrWeb 4.44.0.09170 2008.11.01 - 
eSafe 7.0.17.0 2008.10.30 - 
eTrust-Vet 31.6.6185 2008.11.01 - 
Ewido 4.0 2008.11.01 - 
F-Prot 4.4.4.56 2008.11.01 - 
F-Secure 8.0.14332.0 2008.11.01 - 
Fortinet 3.117.0.0 2008.10.31 - 
GData 19 2008.11.01 - 
Ikarus T3.1.1.44.0 2008.11.01 - 
K7AntiVirus 7.10.514 2008.11.01 - 
Kaspersky 7.0.0.125 2008.11.01 - 
McAfee 5420 2008.11.01 - 
Microsoft 1.4005 2008.11.01 - 
NOD32 3575 2008.10.31 - 
Norman 5.80.02 2008.10.31 - 
Panda 9.0.0.4 2008.11.01 Suspicious file 
PCTools 4.4.2.0 2008.11.01 - 
Prevx1 V2 2008.11.01 - 
Rising 21.01.52.00 2008.11.01 - 
SecureWeb-Gateway 6.7.6 2008.11.01 - 
Sophos 4.35.0 2008.11.01 - 
Sunbelt 3.1.1767.2 2008.10.31 - 
Symantec 10 2008.11.01 - 
TheHacker 6.3.1.1.135 2008.10.31 - 
TrendMicro 8.700.0.1004 2008.10.31 - 
VBA32 3.12.8.9 2008.11.01 suspected of Win32.BrokenEmbeddedSignature  (paranoid heuristics) 
ViRobot 2008.10.31.1446 2008.10.31 - 
VirusBuster 4.5.11.0 2008.10.31 - 
 
weitere Informationen 
File size: 724040 bytes 
MD5...: 0600a9dda3dc6bd67c9b3400ee5695da 
SHA1..: 68b441472f0b19c688fe1e0ea070e5c2963db47d 
SHA256: ad20b11b68377cfaa7524463218fe5f63fc81301e89019afa94956318c998f32 
SHA512: bf542399c9002ba45a86c07f7730d3c223a2c889529afc8b7356d4176c7118aa<BR>78bf025645635d23d134112583456e96e5ba2350acd579e42b7109eee94f749a 
PEiD..: - 
TrID..: File type identification<BR>Windows Screen Saver (51.1%)<BR>Win32 Executable Generic (33.2%)<BR>Generic Win/DOS Executable (7.8%)<BR>DOS Executable Generic (7.8%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x459417<BR>timedatestamp.....: 0x48aa1191 (Tue Aug 19 00:19:29 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x762f0 0x76400 6.60 9cc31873957e1c8b9c8550a7402884df<BR>.rdata 0x78000 0x1c63b 0x1c800 4.77 e318baba62217027aebc1ef317572b7d<BR>.data 0x95000 0x76fc 0x4e00 4.80 af0b936c19561fb69736fc22d4f8a05c<BR>.rsrc 0x9d000 0x177c0 0x17800 4.49 d6ecde0a775dfb186e5b0b5293d8e044<BR><BR>( 9 imports ) <BR>&gt; WS2_32.dll: -, -, -, -, -, -, -, -, WSACreateEvent, WSAEventSelect, WSAEnumNetworkEvents, -, -, -, -, -, -, -, -, -, -, -<BR>&gt; VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA<BR>&gt; PSAPI.DLL: EnumProcesses<BR>&gt; KERNEL32.dll: InterlockedDecrement, lstrlenA, OutputDebugStringA, CreateEventA, CloseHandle, SetEvent, ResetEvent, WaitForSingleObject, GetTickCount, GetLastError, lstrlenW, RaiseException, InterlockedIncrement, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, lstrcmpiA, EnterCriticalSection, LeaveCriticalSection, GetCurrentThreadId, GetModuleHandleW, IsDBCSLeadByte, FreeLibrary, LoadLibraryExA, GetWindowsDirectoryA, GetCommandLineA, GetCurrentProcessId, LoadLibraryA, DeleteFileA, CopyFileA, GetTempPathA, IsBadStringPtrA, IsBadWritePtr, IsBadReadPtr, Sleep, TerminateThread, MoveFileA, FindClose, FindNextFileA, FindFirstFileA, SetLastError, ReleaseMutex, CreateMutexA, CreateDirectoryA, WideCharToMultiByte, WriteFile, SetFilePointer, ReadFile, GetFileSize, GetTimeZoneInformation, CreateFileA, OutputDebugStringW, GetShortPathNameW, LocalFree, DuplicateHandle, GetCurrentProcess, OpenProcess, MoveFileExA, GetVersionExA, TerminateProcess, HeapFree, HeapAlloc, GetProcessHeap, GetExitCodeProcess, DeleteFileW, MoveFileExW, WaitForMultipleObjects, ResumeThread, OpenEventA, SwitchToThread, CreateProcessA, SuspendThread, HeapDestroy, HeapReAlloc, HeapSize, GetStringTypeA, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, LCMapStringW, LCMapStringA, GetStartupInfoA, FindResourceExA, FindResourceA, LoadResource, LockResource, SizeofResource, DeleteCriticalSection, InitializeCriticalSection, MultiByteToWideChar, GetTimeFormatA, GetStringTypeW, HeapCreate, VirtualFree, ExitProcess, GetStdHandle, SetHandleCount, GetFileType, GetConsoleCP, GetConsoleMode, FlushFileBuffers, SetStdHandle, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, InitializeCriticalSectionAndSpinCount, GetLocaleInfoW, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileW, SetEndOfFile, CompareStringA, CompareStringW, SetEnvironmentVariableA, GetSystemTimeAsFileTime, RtlUnwind, RemoveDirectoryA, CreateThread, ExitThread, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, VirtualQuery, GetSystemInfo, VirtualAlloc, VirtualProtect, GetDateFormatA<BR>&gt; USER32.dll: CharLowerA, LoadStringW, MsgWaitForMultipleObjects, DispatchMessageA, TranslateMessage, PeekMessageA, CharNextA, PostThreadMessageA, CharNextW, GetMessageA, MessageBoxA, wsprintfA<BR>&gt; ADVAPI32.dll: OpenSCManagerA, CryptDecrypt, CryptEncrypt, CryptDestroyKey, CryptCreateHash, CryptHashData, CryptDeriveKey, CryptDestroyHash, CryptReleaseContext, CryptAcquireContextA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, AllocateAndInitializeSid, FreeSid, EqualSid, OpenProcessToken, GetTokenInformation, SetEntriesInAclA, SetSecurityInfo, LookupPrivilegeValueA, AdjustTokenPrivileges, ControlService, DeleteService, CreateServiceA, ChangeServiceConfig2A, StartServiceCtrlDispatcherA, RegisterServiceCtrlHandlerA, RegEnumKeyExA, RegisterEventSourceA, ReportEventA, DeregisterEventSource, RegQueryInfoKeyA, RegCreateKeyA, SetServiceStatus, RegSetValueExA, OpenServiceA, CloseServiceHandle, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, RegDeleteValueA, RegDeleteKeyA<BR>&gt; ole32.dll: CreateStreamOnHGlobal, OleRun, CoCreateInstance, CoInitialize, CoUninitialize, CLSIDFromProgID, CLSIDFromString, CoTaskMemAlloc, CoTaskMemRealloc, CoRevokeClassObject, CoRegisterClassObject, CoTaskMemFree, CoInitializeSecurity, CoInitializeEx, StringFromGUID2, CoReleaseMarshalData, CoUnmarshalInterface, CoMarshalInterface<BR>&gt; SHELL32.dll: SHGetFolderPathA<BR>&gt; OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -<BR><BR>( 42 exports ) <BR>__0CAuthError@ASAPSDK@@QAE@ABV01@@Z, __0CAuthError@ASAPSDK@@QAE@W4e_ASAPErrors@1@ABVasapstring@1@@Z, __0CCommError@ASAPSDK@@QAE@ABV01@@Z, __0CCommError@ASAPSDK@@QAE@W4e_ASAPErrors@1@ABVasapstring@1@@Z, __0CException@ASAPSDK@@QAE@ABV01@@Z, __0CException@ASAPSDK@@QAE@W4e_ASAPErrors@1@ABVasapstring@1@@Z, __0CGeneralError@ASAPSDK@@QAE@ABV01@@Z, __0CGeneralError@ASAPSDK@@QAE@W4e_ASAPErrors@1@ABVasapstring@1@@Z, __0CLogicError@ASAPSDK@@QAE@ABV01@@Z, __0CLogicError@ASAPSDK@@QAE@W4e_ASAPErrors@1@ABVasapstring@1@@Z, __0CMessageError@ASAPSDK@@QAE@ABV01@@Z, __0CMessageError@ASAPSDK@@QAE@W4e_ASAPErrors@1@ABVasapstring@1@@Z, __0asapstring@ASAPSDK@@QAE@ABV01@@Z, __0asapstring@ASAPSDK@@QAE@PBD@Z, __0asapstring@ASAPSDK@@QAE@XZ, __1CAuthError@ASAPSDK@@UAE@XZ, __1CCommError@ASAPSDK@@UAE@XZ, __1CException@ASAPSDK@@UAE@XZ, __1CGeneralError@ASAPSDK@@UAE@XZ, __1CLogicError@ASAPSDK@@UAE@XZ, __1CMessageError@ASAPSDK@@UAE@XZ, __1asapstring@ASAPSDK@@UAE@XZ, __4CAuthError@ASAPSDK@@QAEAAV01@ABV01@@Z, __4CCommError@ASAPSDK@@QAEAAV01@ABV01@@Z, __4CException@ASAPSDK@@QAEAAV01@ABV01@@Z, __4CGeneralError@ASAPSDK@@QAEAAV01@ABV01@@Z, __4CLogicError@ASAPSDK@@QAEAAV01@ABV01@@Z, __4CMessageError@ASAPSDK@@QAEAAV01@ABV01@@Z, __4asapstring@ASAPSDK@@QAEXABV01@@Z, __4asapstring@ASAPSDK@@QAEXPBD@Z, __Basapstring@ASAPSDK@@QAEPBDXZ, ___7CAuthError@ASAPSDK@@6B@, ___7CCommError@ASAPSDK@@6B@, ___7CException@ASAPSDK@@6B@, ___7CGeneralError@ASAPSDK@@6B@, ___7CLogicError@ASAPSDK@@6B@, ___7CMessageError@ASAPSDK@@6B@, ___7asapstring@ASAPSDK@@6B@, _Attach@asapstring@ASAPSDK@@QAEXPAD@Z, _Detach@asapstring@ASAPSDK@@QAEPADXZ, DeallocString, DuplicateString<BR>

bei datei:

Code:

ATTFilter

C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe

ANALYSEPROTOKOLL:

Code:

ATTFilter

Datei AVKWCtl.exe empfangen 2008.11.01 19:50:58 (CET)Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.11.1.0 2008.11.01 - 
AntiVir 7.9.0.10 2008.10.31 - 
Authentium 5.1.0.4 2008.11.01 - 
Avast 4.8.1248.0 2008.11.01 - 
AVG 8.0.0.161 2008.11.01 - 
BitDefender 7.2 2008.11.01 - 
CAT-QuickHeal 9.50 2008.11.01 - 
ClamAV 0.94.1 2008.11.01 - 
DrWeb 4.44.0.09170 2008.11.01 - 
eSafe 7.0.17.0 2008.10.30 - 
eTrust-Vet 31.6.6185 2008.11.01 - 
Ewido 4.0 2008.11.01 - 
F-Prot 4.4.4.56 2008.11.01 - 
F-Secure 8.0.14332.0 2008.11.01 - 
Fortinet 3.117.0.0 2008.10.31 - 
GData 19 2008.11.01 - 
Ikarus T3.1.1.44.0 2008.11.01 - 
K7AntiVirus 7.10.514 2008.11.01 - 
Kaspersky 7.0.0.125 2008.11.01 - 
McAfee 5420 2008.11.01 - 
Microsoft 1.4005 2008.11.01 - 
NOD32 3575 2008.10.31 - 
Norman 5.80.02 2008.10.31 - 
Panda 9.0.0.4 2008.11.01 - 
PCTools 4.4.2.0 2008.11.01 EICAR_Test_File 
Prevx1 V2 2008.11.01 - 
Rising 21.01.52.00 2008.11.01 - 
SecureWeb-Gateway 6.7.6 2008.11.01 - 
Sophos 4.35.0 2008.11.01 - 
Sunbelt 3.1.1767.2 2008.10.31 - 
Symantec 10 2008.11.01 - 
TheHacker 6.3.1.1.135 2008.10.31 - 
TrendMicro 8.700.0.1004 2008.10.31 - 
VBA32 3.12.8.9 2008.11.01 suspected of Win32.BrokenEmbeddedSignature  (paranoid heuristics) 
ViRobot 2008.10.31.1446 2008.10.31 - 
VirusBuster 4.5.11.0 2008.10.31 - 
 
weitere Informationen 
File size: 1185496 bytes 
MD5...: f1498b86a7da9ad5c3bdd0f604d617da 
SHA1..: bd3c486dbcd9e3c558584fad0ab45a274734d2e1 
SHA256: f97b5c8dfc81a96ceb3e928d1971928458acb3d3ed9f816d96416f29a010ecce 
SHA512: 978a14015a618114dee09525409bf9c01ffb99c397cfd65f2e100e4150099c5e<BR>df2a76ae4e8de2cfa9c498fb3992373258d801978cc3829742e3be26d7f364d2 
PEiD..: - 
TrID..: File type identification<BR>Win64 Executable Generic (59.6%)<BR>Win32 Executable MS Visual C++ (generic) (26.2%)<BR>Win32 Executable Generic (5.9%)<BR>Win32 Dynamic Link Library (generic) (5.2%)<BR>Generic Win/DOS Executable (1.3%) 
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x49507f<BR>timedatestamp.....: 0x48a303a4 (Wed Aug 13 15:54:12 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0xc2a7e 0xc3000 6.46 b9cf58a7506761cb438eaf5eda32835c<BR>.rdata 0xc4000 0x23492 0x24000 4.81 a1ec85deb3b7f1a26828fd315a883b19<BR>.data 0xe8000 0xced0 0x9000 5.16 8c34c00c6382b832f5e504db2481265a<BR>.rsrc 0xf5000 0x2ced0 0x2d000 4.63 4e41a22c6c5418a40f55bc957ed2356c<BR><BR>( 7 imports ) <BR>&gt; KERNEL32.dll: CreateProcessW, OutputDebugStringA, FileTimeToSystemTime, FileTimeToLocalFileTime, OpenEventW, CreateEventW, DebugBreak, SetThreadPriority, CreateFileA, GetVolumeInformationA, ReadFile, SetFilePointer, WriteFile, VirtualAlloc, CreateFileW, GetShortPathNameW, DeviceIoControl, GetFileInformationByHandle, GetFileType, CancelIo, GetOverlappedResult, GetFileSize, SetFileAttributesW, GetFileAttributesW, CreateDirectoryW, RemoveDirectoryW, FindNextFileW, SetLastError, GetLogicalDrives, GetDriveTypeW, GlobalFree, GlobalUnlock, GlobalLock, GlobalAlloc, LocalFree, LocalAlloc, OpenProcess, GetEnvironmentStringsW, GetShortPathNameA, GetWindowsDirectoryW, ExpandEnvironmentStringsW, DeleteFileA, SetFileAttributesA, GetFileAttributesA, SetErrorMode, SetEnvironmentVariableA, CompareStringW, CompareStringA, FlushFileBuffers, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetLocaleInfoW, GetExitCodeProcess, GetConsoleMode, GetConsoleCP, GetTickCount, QueryPerformanceCounter, GetStartupInfoA, SetHandleCount, GetCommandLineA, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStringTypeW, GetStringTypeA, IsValidLocale, EnumSystemLocalesA, GetUserDefaultLCID, LCMapStringW, LCMapStringA, GetDateFormatA, GetTimeFormatA, GetTimeZoneInformation, IsValidCodePage, GetOEMCP, GetSystemDirectoryW, ResetEvent, ResumeThread, WaitForMultipleObjects, FormatMessageW, HeapAlloc, SetEvent, TerminateThread, GetCommandLineW, GetCurrentProcess, TerminateProcess, GetCurrentProcessId, OutputDebugStringW, Sleep, GetModuleHandleW, LoadLibraryExW, FindResourceW, LoadResource, SizeofResource, GetCurrentThreadId, FreeLibrary, GetVersionExW, GetModuleFileNameW, GetTempFileNameW, LoadLibraryA, WideCharToMultiByte, ReleaseMutex, WaitForSingleObject, CloseHandle, CreateMutexW, CreateMutexA, lstrcmpiW, GetProcessHeap, HeapFree, FindFirstFileW, FindClose, GetLastError, DeleteCriticalSection, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, RaiseException, LoadLibraryW, InterlockedIncrement, GetTempPathW, DeleteFileW, CopyFileW, lstrlenA, GetCPInfo, HeapSize, GetModuleFileNameA, GetStdHandle, ExitProcess, FatalAppExitA, VirtualFree, HeapCreate, HeapDestroy, GetCurrentThread, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, GetStartupInfoW, CreateThread, ExitThread, VirtualQuery, GetSystemInfo, GetModuleHandleA, VirtualProtect, GetSystemTimeAsFileTime, HeapReAlloc, RtlUnwind, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetVersionExA, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, MultiByteToWideChar, lstrlenW, InterlockedDecrement, GetProcAddress, SetConsoleCtrlHandler<BR>&gt; USER32.dll: InsertMenuW, PostThreadMessageW, DestroyIcon, GetSystemMetrics, GetMenuStringW, GetMenuItemID, GetSubMenu, GetMenuState, GetMenuItemCount, DestroyMenu, CreatePopupMenu, GetMessageW, SetUserObjectSecurity, GetUserObjectSecurity, CloseWindowStation, UnregisterClassA, CloseDesktop, EnableMenuItem, DispatchMessageW, PeekMessageW, TranslateMessage, MessageBoxW, CharNextW, LoadStringW, SetMenuDefaultItem, DestroyWindow, LoadImageW, CharLowerW, OpenWindowStationW, GetProcessWindowStation, SetProcessWindowStation, OpenDesktopW<BR>&gt; ADVAPI32.dll: DeregisterEventSource, ControlService, CloseServiceHandle, OpenServiceW, OpenSCManagerW, RegDeleteKeyA, RegDeleteValueA, RegSetValueExA, RegCreateKeyExA, RegQueryValueExA, RegOpenKeyExA, LogonUserW, CreateProcessAsUserW, OpenProcessToken, LookupPrivilegeValueW, AdjustTokenPrivileges, AddAccessAllowedAce, InitializeSecurityDescriptor, GetSecurityDescriptorDacl, GetAclInformation, InitializeAcl, AddAce, GetAce, SetSecurityDescriptorDacl, GetTokenInformation, GetLengthSid, CopySid, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, RegisterEventSourceW, ReportEventW, CreateServiceW, ChangeServiceConfig2W, QueryServiceConfigW, RegCreateKeyW, RegEnumValueW, RegEnumKeyExW, RegQueryInfoKeyW, RegSetValueExW, RegQueryValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW, SetServiceStatus, DeleteService<BR>&gt; SHELL32.dll: SHGetMalloc, SHGetSpecialFolderLocation, SHGetFileInfoA, SHGetDesktopFolder, ExtractIconExW, ShellExecuteExW, SHGetFolderPathW<BR>&gt; ole32.dll: CoTaskMemAlloc, CoRevokeClassObject, CoTaskMemFree, CoCreateInstance, CoInitializeEx, CoSetProxyBlanket, CoUninitialize, CoInitializeSecurity, WriteClassStm, OleSaveToStream, StringFromGUID2, OleRun, CLSIDFromProgID, CLSIDFromString, StgCreateDocfile, StgOpenStorage, OleLoadFromStream, CoInitialize, ReadClassStm, CoRegisterClassObject, CoCreateInstanceEx, CoFreeUnusedLibraries, CoGetObject, CoTaskMemRealloc<BR>&gt; OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -<BR>&gt; COMCTL32.dll: ImageList_ReplaceIcon, ImageList_Destroy, ImageList_Write, ImageList_Create<BR><BR>( 0 exports ) <BR>

Silent sharK · 01.11.2008, 19:38

Hallo

Arbeite bitte folgende Punkte der Reihe nach durch:

1.)
Anleitung SmitfraudFix (by S!Ri)

Klick auf das Symbol und lies die Anleitung ->

und lass das System durchsuchen. (Option 2)

Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

2.)
MalwareBytes Anti-Malware :

Lade dir Malwarebytes Anti-Malware
Folge den Anweisungen der Anleitung
Lösche alles in der Quarantäne:

poste das entstandene Logfile

3.)
ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

4.)
Random's System Information Tool

Lade dir die RSIT.exe von random/random herunter und speichere sie auf den Desktop.
Starte RSIT mit einem Doppelklick.
Klicke auf Continue um die Nutzungsbedingungen zu akzeptieren.
Nach dem Scan werden zwei Logfiles erstellt (log.txt und info.txt)
Poste den Inhalt der beiden Logfiles in [code]-Tags:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

mfg

christoph281 · 01.11.2008, 20:46

aloah...

erst mal allerbesten dank dass du mir helfen willst. komm mir vor als würde ich grad im krieg sein ^^

also hier ist das ergebnis von smitfraudfix erstmal (rapport.txt)

Code:

ATTFilter

SmitFraudFix v2.371

Scan done at 20:22:33,89, 01.11.2008
Run from C:\Dokumente und Einstellungen\Pentium4\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINXP\Tasks\At?.job Deleted
C:\WINXP\Tasks\At??.job Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E7F61B88-8739-40B3-A89F-77FEEDD3236D}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E7F61B88-8739-40B3-A89F-77FEEDD3236D}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E7F61B88-8739-40B3-A89F-77FEEDD3236D}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

der rest kommt auch gleich...

christoph281 · 01.11.2008, 21:53

malewarebytes logdatei

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1354
Windows 5.1.2600 Service Pack 2

01.11.2008 21:50:30
mbam-log-2008-11-01 (21-50-30).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|)
Durchsuchte Objekte: 79245
Laufzeit: 55 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 21
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\asapcom.asapclass (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{bce2e826-d0f5-41c8-97be-28a6f540ceeb} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{21447c90-6ec1-4fc1-9379-bd515008aedb} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{32c97a37-e2b8-4097-9330-5f3e1125e181} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{b0c3de1b-e3ff-4dd0-9229-f452cf9c678e} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d2d94732-a74d-433c-98f7-9ed740e82ae9} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{dfd5d79b-ef2f-4a51-9821-5b469f05262e} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{286e500c-ef0a-4aa3-a94d-e495f653ef4b} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{319260ab-be0c-4025-8569-7a27ed2faab9} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8ac5bc54-b13b-4642-99f9-0baa2d116184} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9809a6b4-70b1-4bb2-b3b5-b415763a534e} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d5178f77-c5e6-4e8f-9787-48b5d7eccce8} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asapclass.1 (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asapenvelope (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asapenvelope.1 (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asapmain (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asapmain.1 (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asapmessage (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asapmessage.1 (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asaprecipients (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asaprecipients.1 (Adware.Hotbar) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\asapsdk.dll (Adware.Hotbar) -> Quarantined and deleted successfully.

Silent sharK · 01.11.2008, 22:00

Sieht bis jetzt gut aus.

christoph281 · 01.11.2008, 22:05

Zitat:

Zitat von Silent sharK

Sieht bis jetzt gut aus.

na gott sei dank...

weiter gehts...

kann man mal sehen was passiert wenn man scheiße saugt... sitz schon die
2. nacht an der mission "sauberer pc" ^^

muss bildschirmschoner wenn combo läuft auch aus???

ach egal ich schalt ihn einfach ab ^^

Silent sharK · 01.11.2008, 22:06

Zitat:

kann man mal sehen was passiert wenn man scheiße saugt...

Aus Fehlern lernt man (hoffentlich)

christoph281 · 01.11.2008, 22:59

na auf jeden fall... zum glück hab ich urlaub und zeit dafür.

hier die combofix log-datei

Code:

ATTFilter

ComboFix 08-11-01.01 - Pentium4 2008-11-01 22:43:05.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.117 [GMT 4.5:30]
ausgeführt von:: C:\Dokumente und Einstellungen\Pentium4\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINXP\system32\ieupdates.exe.tmp

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


(((((((((((((((((((((((   Dateien erstellt von 2008-10-01 bis 2008-11-01  ))))))))))))))))))))))))))))))
.

2008-11-01 22:46 . 2008-11-01 22:46	<DIR>	d--------	C:\WINXP\system32\xircom
2008-11-01 22:46 . 2008-11-01 22:46	<DIR>	d--------	C:\Programme\microsoft frontpage
2008-11-01 22:24 . 2008-11-01 22:24	<DIR>	d--------	C:\Programme\CCleaner
2008-11-01 20:08 . 2008-11-01 20:22	1,756	--a------	C:\WINXP\system32\tmp.reg
2008-11-01 20:07 . 2007-09-05 23:22	289,144	--a------	C:\WINXP\system32\VCCLSID.exe
2008-11-01 20:07 . 2006-04-27 16:49	288,417	--a------	C:\WINXP\system32\SrchSTS.exe
2008-11-01 20:07 . 2008-09-08 22:38	88,576	--a------	C:\WINXP\system32\AntiXPVSTFix.exe
2008-11-01 20:07 . 2008-10-01 14:51	87,552	--a------	C:\WINXP\system32\VACFix.exe
2008-11-01 20:07 . 2008-10-10 07:58	82,944	--a------	C:\WINXP\system32\o4Patch.exe
2008-11-01 20:07 . 2008-05-18 20:40	82,944	--a------	C:\WINXP\system32\IEDFix.exe
2008-11-01 20:07 . 2008-10-10 07:58	82,944	--a------	C:\WINXP\system32\IEDFix.C.exe
2008-11-01 20:07 . 2008-08-18 11:19	82,432	--a------	C:\WINXP\system32\404Fix.exe
2008-11-01 20:07 . 2003-06-05 20:13	53,248	--a------	C:\WINXP\system32\Process.exe
2008-11-01 20:07 . 2004-07-31 17:50	51,200	--a------	C:\WINXP\system32\dumphive.exe
2008-11-01 20:07 . 2007-10-03 23:36	25,600	--a------	C:\WINXP\system32\WS2Fix.exe
2008-11-01 17:35 . 2008-11-01 17:35	<DIR>	d--------	C:\Programme\Trend Micro
2008-11-01 16:41 . 2008-11-01 16:41	32,200	--a------	C:\WINXP\system32\drivers\HookCentre.sys
2008-11-01 16:40 . 2008-11-01 16:41	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\G DATA
2008-11-01 16:40 . 2008-11-01 16:40	<DIR>	d--------	C:\Programme\G DATA
2008-11-01 01:51 . 2008-11-01 01:51	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-11-01 01:51 . 2008-11-01 01:51	<DIR>	d--------	C:\Dokumente und Einstellungen\Pentium4\Anwendungsdaten\Malwarebytes
2008-11-01 01:51 . 2008-11-01 01:51	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-01 01:51 . 2008-10-22 16:28	38,496	--a------	C:\WINXP\system32\drivers\mbamswissarmy.sys
2008-11-01 01:51 . 2008-10-22 16:28	15,504	--a------	C:\WINXP\system32\drivers\mbam.sys
2008-10-31 23:00 . 2008-10-31 23:00	<DIR>	dr-------	C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-10-31 23:00 . 2008-11-01 17:06	<DIR>	d--------	C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\HPAppData
2008-10-31 22:53 . 2008-11-01 16:54	68,296	--a------	C:\WINXP\system32\drivers\GRD.sys
2008-10-31 22:37 . 2008-10-31 22:37	50,888	--a------	C:\WINXP\system32\drivers\MiniIcpt.sys
2008-10-31 22:36 . 2008-11-01 16:49	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
2008-10-31 22:36 . 2008-10-31 22:36	50,888	--a------	C:\WINXP\system32\drivers\GDTdiIcpt.sys
2008-10-31 20:38 . 2008-10-31 20:38	60,928	--a------	C:\WINXP\system32\G5M2yb6i.exe
2008-10-31 14:40 . 2008-10-31 16:31	<DIR>	d--------	C:\Programme\Wesnoth 1.4
2008-10-30 22:52 . 2008-10-30 22:52	<DIR>	d--------	C:\Programme\Phenix-Q7
2008-10-30 22:52 . 2004-08-03 23:10	85,376	--a------	C:\WINXP\system32\drivers\NABTSFEC.sys
2008-10-30 22:52 . 2004-08-03 23:10	19,328	--a------	C:\WINXP\system32\drivers\WSTCODEC.SYS
2008-10-30 22:52 . 2004-08-03 23:10	17,024	--a------	C:\WINXP\system32\drivers\CCDECODE.sys
2008-10-30 22:52 . 2004-08-04 00:58	16,384	--a------	C:\WINXP\system32\ipsink.ax
2008-10-30 22:52 . 2004-08-03 23:10	15,360	--a------	C:\WINXP\system32\drivers\StreamIP.sys
2008-10-30 22:52 . 2004-08-03 23:10	11,136	--a------	C:\WINXP\system32\drivers\SLIP.sys
2008-10-30 22:52 . 2004-08-03 23:10	10,880	--a------	C:\WINXP\system32\drivers\NdisIP.sys
2008-10-30 22:52 . 2004-08-03 22:58	5,504	--a------	C:\WINXP\system32\drivers\MSTEE.sys
2008-10-30 22:51 . 2004-08-04 00:58	91,136	--a------	C:\WINXP\system32\kswdmcap.ax
2008-10-30 22:51 . 2004-08-04 00:58	61,952	--a------	C:\WINXP\system32\kstvtune.ax
2008-10-30 22:51 . 2004-08-04 00:57	54,272	--a------	C:\WINXP\system32\vfwwdm32.dll
2008-10-30 22:51 . 2005-01-14 09:32	53,248	--a------	C:\WINXP\system32\PAStiSvc.exe
2008-10-30 22:51 . 2004-08-04 00:58	43,008	--a------	C:\WINXP\system32\ksxbar.ax
2008-10-30 22:51 . 2004-08-04 00:58	28,672	--a------	C:\WINXP\system32\vidcap.ax
2008-10-30 22:41 . 2008-10-30 22:52	<DIR>	d--------	C:\WINXP\Pixart
2008-10-29 22:59 . 2008-10-29 22:59	<DIR>	d--------	C:\Programme\MSXML 4.0
2008-10-29 22:32 . 2008-10-29 22:56	<DIR>	d--------	C:\WINXP\system32\CatRoot_bak
2008-10-29 22:31 . 2007-12-12 00:23	2,455,488	---------	C:\WINXP\system32\dllcache\ieapfltr.dat
2008-10-29 22:31 . 2007-12-12 00:23	1,040,384	---------	C:\WINXP\system32\dllcache\ieframe.dll.mui
2008-10-29 22:30 . 2008-08-14 18:05	2,145,280	---------	C:\WINXP\system32\dllcache\ntkrnlmp.exe
2008-10-29 22:30 . 2008-09-15 19:43	1,847,040	---------	C:\WINXP\system32\dllcache\win32k.sys
2008-10-29 22:30 . 2008-08-28 15:05	333,056	---------	C:\WINXP\system32\dllcache\srv.sys
2008-10-29 22:30 . 2008-06-14 22:27	273,024	---------	C:\WINXP\system32\drivers\bthport.sys
2008-10-29 22:30 . 2008-06-14 22:27	273,024	---------	C:\WINXP\system32\dllcache\bthport.sys
2008-10-29 22:30 . 2008-08-14 14:21	138,368	---------	C:\WINXP\system32\dllcache\afd.sys
2008-10-29 22:29 . 2008-08-14 18:06	2,188,288	---------	C:\WINXP\system32\dllcache\ntoskrnl.exe
2008-10-29 22:29 . 2008-08-14 18:06	2,065,280	---------	C:\WINXP\system32\dllcache\ntkrnlpa.exe
2008-10-29 22:29 . 2008-08-14 18:05	2,023,424	---------	C:\WINXP\system32\dllcache\ntkrpamp.exe
2008-10-29 22:29 . 2008-04-11 23:10	683,520	---------	C:\WINXP\system32\dllcache\inetcomm.dll
2008-10-29 22:29 . 2008-05-01 19:00	331,776	---------	C:\WINXP\system32\dllcache\msadce.dll
2008-10-29 22:29 . 2008-05-08 16:44	203,008	---------	C:\WINXP\system32\dllcache\rmcast.sys
2008-10-29 22:27 . 2008-10-15 21:24	339,456	---------	C:\WINXP\system32\dllcache\netapi32.dll
2008-10-29 16:16 . 2008-11-01 20:33	<DIR>	d--------	C:\Dokumente und Einstellungen\Pentium4\Anwendungsdaten\skypePM
2008-10-29 16:16 . 2008-10-29 16:16	56	--ah-----	C:\WINXP\system32\ezsidmv.dat
2008-10-29 16:13 . 2008-10-29 16:13	<DIR>	d--------	C:\Programme\Skype
2008-10-29 16:13 . 2008-10-29 16:13	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Skype
2008-10-29 16:13 . 2008-11-01 22:10	<DIR>	d--------	C:\Dokumente und Einstellungen\Pentium4\Anwendungsdaten\Skype
2008-10-29 16:13 . 2008-10-29 16:13	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-10-29 15:01 . 2008-10-29 15:01	<DIR>	d--------	C:\Dokumente und Einstellungen\Pentium4\Contacts
2008-10-29 14:57 . 2008-10-29 14:57	<DIR>	d--------	C:\Programme\MSN Messenger
2008-10-29 14:14 . 2007-01-26 01:00	4,352	--a------	C:\WINXP\system32\drivers\avmeject.sys
2008-10-29 14:13 . 2008-10-29 14:13	<DIR>	d--------	C:\WINXP\AVM_Driver
2008-10-29 14:13 . 2008-10-29 14:13	<DIR>	d--------	C:\Programme\avmwlanstick
2008-10-29 14:13 . 2008-10-29 14:13	<DIR>	d--------	C:\Dokumente und Einstellungen\Pentium4\AVM_Driver
2008-10-29 14:13 . 2007-01-26 01:00	265,088	--a------	C:\WINXP\system32\drivers\fwlanusb.sys
2008-10-29 14:13 . 2007-01-26 01:00	97,360	--a------	C:\WINXP\system32\drivers\Fwusb1b.bin
2008-10-29 14:13 . 2007-01-26 01:00	74,752	--a------	C:\WINXP\system32\fwlanci.dll
2008-10-28 01:27 . 2004-08-03 23:07	59,264	--a------	C:\WINXP\system32\drivers\USBAUDIO.sys
2008-10-28 01:16 . 2008-10-28 01:16	<DIR>	d--------	C:\Dokumente und Einstellungen\Pentium4\Anwendungsdaten\ArcSoft
2008-10-28 01:10 . 2008-10-28 01:10	<DIR>	d--------	C:\WINXP\system32\Adobe
2008-10-28 01:10 . 2008-10-28 01:10	<DIR>	d--------	C:\WINXP\Profiles
2008-10-28 01:10 . 2008-10-28 01:11	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Adobe
2008-10-28 01:10 . 2008-10-28 01:10	<DIR>	d--------	C:\Dokumente und Einstellungen\Pentium4\Anwendungsdaten\InterTrust
2008-10-28 01:10 . 1998-11-17 12:44	328,704	--a------	C:\WINXP\IsUn0407.exe
2008-10-28 01:09 . 2008-10-28 01:09	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\ArcSoft
2008-10-28 01:09 . 2008-10-31 19:51	<DIR>	d--------	C:\Programme\DivX
2008-10-28 01:09 . 2005-02-22 22:58	11,776	--a------	C:\WINXP\system32\drivers\afc.sys
2008-10-28 01:08 . 2008-10-28 01:09	<DIR>	d--h-----	C:\Programme\InstallShield Installation Information
2008-10-28 01:08 . 2008-10-30 22:41	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\InstallShield
2008-10-28 01:08 . 2008-10-28 01:09	<DIR>	d--------	C:\Programme\ArcSoft
2008-10-28 01:08 . 1995-08-01 04:44	212,480	--a------	C:\WINXP\PCDLIB32.DLL
2008-10-28 00:36 . 2008-10-31 00:50	69	--a------	C:\WINXP\NeroDigital.ini
2008-10-28 00:13 . 2008-11-01 22:21	<DIR>	d--------	C:\Dokumente und Einstellungen\Pentium4\Anwendungsdaten\HPAppData
2008-10-27 23:42 . 2008-10-27 23:42	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEBREG
2008-10-27 23:41 . 2008-10-27 23:41	<DIR>	d--------	C:\Dokumente und Einstellungen\Pentium4\Anwendungsdaten\HP
2008-10-27 23:40 . 2008-10-27 23:40	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2008-10-27 23:40 . 2008-01-25 01:53	271,704	-ra------	C:\WINXP\system32\hpzids01.dll
2008-10-27 23:40 . 2007-10-20 18:25	118,272	--a------	C:\WINXP\system32\hpz3l5mu.dll
2008-10-27 23:40 . 2008-01-25 01:52	49,920	-ra------	C:\WINXP\system32\drivers\HPZid412.sys
2008-10-27 23:40 . 2008-01-25 01:52	21,568	-ra------	C:\WINXP\system32\drivers\HPZius12.sys
2008-10-27 23:40 . 2008-01-25 01:52	16,496	-ra------	C:\WINXP\system32\drivers\HPZipr12.sys
2008-10-27 23:39 . 2008-01-25 01:52	729,088	-ra------	C:\WINXP\system32\hpowiax7.dll
2008-10-27 23:39 . 2008-01-25 01:52	581,632	-ra------	C:\WINXP\system32\hpotscl6.dll
2008-10-27 23:39 . 2008-01-25 01:52	372,736	-ra------	C:\WINXP\system32\hppldcoi.dll
2008-10-27 23:39 . 2008-01-25 01:52	309,760	-ra------	C:\WINXP\system32\difxapi.dll
2008-10-27 23:39 . 2008-01-25 01:52	303,104	-ra------	C:\WINXP\system32\hpovst15.dll
2008-10-27 23:39 . 2004-08-03 22:58	15,104	--a------	C:\WINXP\system32\drivers\usbscan.sys
2008-10-27 23:35 . 2008-10-27 23:35	<DIR>	d--------	C:\Programme\Hewlett-Packard
2008-10-27 23:35 . 2008-10-27 23:35	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\HP
2008-10-27 23:35 . 2008-10-27 23:35	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2008-10-27 23:35 . 2008-10-27 23:35	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2008-10-27 23:35 . 2008-10-27 23:36	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2008-10-27 23:34 . 2008-10-29 14:58	<DIR>	d----c---	C:\WINXP\system32\DRVSTORE
2008-10-27 23:33 . 2008-10-27 23:38	<DIR>	d--------	C:\Programme\HP
2008-10-27 23:31 . 2008-10-27 23:41	187,865	--a------	C:\WINXP\hpoins28.dat
2008-10-27 23:31 . 2008-07-01 08:32	796	---------	C:\WINXP\hpomdl28.dat
2008-10-27 23:09 . 2004-08-03 23:01	25,856	--a------	C:\WINXP\system32\drivers\usbprint.sys
2008-10-27 23:05 . 2004-08-04 00:57	21,504	--a------	C:\WINXP\system32\hidserv.dll
2008-10-27 23:05 . 2004-08-04 00:46	14,848	--a------	C:\WINXP\system32\drivers\kbdhid.sys
2008-10-27 23:05 . 2001-08-18 04:22	12,288	--a------	C:\WINXP\system32\drivers\mouhid.sys
2008-10-27 23:04 . 2004-08-03 23:08	31,616	--a------	C:\WINXP\system32\drivers\usbccgp.sys
2008-10-27 23:04 . 2001-08-17 14:02	9,600	--a------	C:\WINXP\system32\drivers\hidusb.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-27 06:25	---------	d-----w	C:\Programme\Online-Dienste
2008-10-27 06:24	---------	d-----w	C:\Programme\Gemeinsame Dateien\Dienste
2008-10-27 06:21	---------	d-----w	C:\Programme\Windows Media Connect 2
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINXP\system32\ctfmon.exe" [2004-08-04 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-09-29 21755688]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINXP\system32\NeroCheck.exe" [2001-07-09 155648]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2008-03-25 49152]
"hpqSRMon"="C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-03-13 81920]
"G DATA AntiVirus Trayapplication"="C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe" [2008-08-19 994376]
"C-Media Mixer"="Mixer.exe" [2001-09-12 C:\WINXP\mixer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINXP\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2008-08-26 C:\WINXP\system32\advpack.dll]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2008-03-25 214360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 GRD;G DATA Rootkit Detector Driver;C:\WINXP\system32\drivers\GRD.sys [2008-11-01 68296]
R2 AVKProxy;G DATA AntiVirus Proxy;C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2008-08-19 724040]
R2 AVKService;G DATA Scheduler;C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe [2008-08-19 386120]
R2 AVKWCtl;AntiVirus Wächter;C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe [2008-08-14 1185496]
R2 GDTdiInterceptor;GDTdiInterceptor;C:\WINXP\system32\drivers\GDTdiIcpt.sys [2008-10-31 50888]
R3 GDMnIcpt;GDMnIcpt;C:\WINXP\system32\drivers\MiniIcpt.sys [2008-10-31 50888]
R3 ham50;V9X HAM 1394V;C:\WINXP\system32\DRIVERS\CTXH51.sys [2002-04-23 471407]
R3 HookCentre;HookCentre;C:\WINXP\system32\drivers\HookCentre.sys [2008-11-01 32200]
R3 PAC7311;Phenix-Q8;C:\WINXP\system32\DRIVERS\PA707UCM.SYS [2005-10-18 154752]
S3 avmeject;AVM Eject;C:\WINXP\system32\drivers\avmeject.sys [2007-01-26 4352]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINXP\system32\DRIVERS\fwlanusb.sys [2007-01-26 265088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Local Page = C:\windows\system32\blank.htm
R0 -: HKLM-Main,Local Page = C:\windows\system32\blank.htm
R1 -: HKCU-Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-01 22:47:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINXP\system32\PAStiSvc.exe
C:\WINXP\system32\WgaTray.exe
C:\Programme\HP\Digital Imaging\bin\hpqste08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-01 22:54:00 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-11-01 18:23:48

Vor Suchlauf: 13 Verzeichnis(se), 53.187.878.912 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 53,230,678,016 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

241	--- E O F ---	2008-10-29 18:35:36

Silent sharK · 01.11.2008, 23:03

Gut, jetzt noch RSIT.

christoph281 · 01.11.2008, 23:10

die log datei is zu lang für den post. und nu?

Silent sharK · 01.11.2008, 23:13

Lade die Logs bei file-upload.net hoch und poste den Downloadlink.

christoph281 · 01.11.2008, 23:18

ich hab das gefühl du kennst dich aus

File-Upload.net - log.txt

christoph281 · 01.11.2008, 23:19

ach ja und info.txt

Code:

ATTFilter

info.txt logfile of random's system information tool 1.04 2008-11-01 23:04:49

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINXP\INF\PCHealth.inf
32 Bit HP CIO Components Installer-->MsiExec.exe /I{F7B0E599-C114-4493-BC4D-D8FC7CBBABBB}
Adobe Acrobat 5.0-->C:\WINXP\ISUN0407.EXE -f"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll"
ArcSoft PhotoStudio 5.5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3B755EF7-F860-4F72-9A2D-5216CB48BA7C}\setup.exe" -l0x7 
ArcSoft VideoImpression 2-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{66E0EB37-6024-4872-897A-8E83AF1C87CA}\setup.exe" -l0x7 
Battle for Wesnoth 1.4-->"C:\Programme\Wesnoth 1.4\unins000.exe"
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
G DATA AntiVirus-->MsiExec.exe /I{1EA84402-CD4F-4F19-AFED-C5C228259873}
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINXP\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINXP\$NtUninstallKB952287$\spuninst\spuninst.exe"
HP Customer Participation Program 11.0-->C:\Programme\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat -forcereboot
HP Deskjet F4200 All-In-One Driver Software 11.0 Rel .3-->C:\Programme\HP\Digital Imaging\{C3B6AEB1-390C-4792-8677-CD87F8B2C959}\setup\hpzscr01.exe -datfile hposcr28.dat -onestop
HP Imaging Device Functions 11.0-->C:\Programme\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP Photosmart Essential 3.0-->C:\Programme\HP\Digital Imaging\PhotoSmartEssential\hpzscr01.exe -datfile hpqbud13.dat -forcereboot
HP Smart Web Printing-->C:\Programme\HP\Digital Imaging\Smart Web Printing\hpzscr01.exe -datfile hpqbud15.dat
HP Solution Center 11.0-->C:\Programme\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat -forcereboot
HP Update-->MsiExec.exe /X{D063F201-FAC4-4D5C-B10B-615058ADE5A7}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
Nero 6 Ultra Edition-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
PCI Audio Driver-->cmuninst.exe
Phenix-Q7-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{89DDBE5C-F6E0-403A-87DD-BCB7F02BF4B3} /l1031 
Shop for HP Supplies-->C:\Programme\HP\Digital Imaging\HPSSupply\hpzscr01.exe -datfile hpqbud16.dat
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINXP\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINXP\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINXP\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINXP\system32\MacroMed\Flash\genuinst.exe C:\WINXP\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINXP\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINXP\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINXP\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINXP\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINXP\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINXP\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINXP\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINXP\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINXP\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINXP\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINXP\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINXP\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINXP\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINXP\$NtUninstallKB958644$\spuninst\spuninst.exe"
Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Update für Windows XP (KB951072-v2)-->"C:\WINXP\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Windows Live Messenger-->MsiExec.exe /I{279DB581-239C-4E13-97F8-0F48E40BE75C}
Windows Live Sign-in Assistant-->MsiExec.exe /I{49672EC2-171B-47B4-8CE7-50D7806360D7}

======Security center information======

AV: G DATA AntiVirus (disabled)

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 0 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=000a
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

Silent sharK · 01.11.2008, 23:25

So, führe jetzt noch das aus:

Mit HijackThis fixen:

Öffne HijackThis
Klicke auf "do a system scan only"

Setze ein Häkchen bei:

Code:

ATTFilter

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Klicke auf "fix checked"
Starte den Rechner neu

und das:

=> Besuche die Windows-Update Seite und lasse über den Button benutzerdefinierte Suche nach fehlenden Updates suchen und installiere die wichtigen Updates.

mfg

Trojan.Downloarder.Firu.H gefunden was tun?

Plagegeister aller Art und deren Bekämpfung: Trojan.Downloarder.Firu.H gefunden was tun?