Hallo zusammen,

ich habe mir trotz aktuellem AntiVir den Trojaner TR/Crypt.FKM.gen eingefangen.
Zunächst habe ich die in diesem Forum gepostete Liste von "undoreal" (vom 13.08.2008) abgearbeitet, die dankenswerterweise auch für Laien wie mich verständlich geschrieben ist. D.h. Programmupdates (habe Windows XP bis inkl. SP 2, die Installation von SP 3 hat nicht geklappt), Firewall, agressives AntiVir etc. Der Antiviren-Scan im abgesicherten Modus hat keinen Virus oder ähnliches ergeben, nur 115 Warnungen und ein logfile, das zu lang ist, um es hier zu posten.

Im Folgenden poste ich mein (anonymisiertes und um Links bereinigtes) HJT-logfile und hoffe, dass Ihr mir einen Tipp geben könnt, wie ich am besten weiter verfahre. Habe mich nicht getraut, auf eigene Faust The Avenger o.ä. zu installieren und irgendwelche Dateien zu löschen, ohne dass sich mal ein Profi mein HJT-file angeschaut hat. Ich selbst verstehe im HJT-file – trotz Recherche hier im Board – leider nicht viel.
Ich würde mich freuen und wäre sehr dankbar, wenn Ihr mir weiterhelfen könntet!! Hoffe, ich habe bis hierhin alles richtig gemacht. Beste Grüße und vielen Dank!

Hier mein HiJackThis-logfile

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:23:05, on 12.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe
C:\Programme\IBM ThinkVantage\Common\Logger\logmon.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\tp4serv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre1.5.0_16\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\FixCamera.exe
C:\Programme\ThinkPad\ConnectUtilities\Qcwizard.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\vVX1000.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ThinkVantage\AMSG\Amsg.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\IBM ThinkVantage\Client Security Solution\pwmgr.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programme\Buhl finance\tax 2008 Standard\taxaktuell.exe
C:\Programme\PC-TV\WinManager\WinManager.exe
C:\Programme\Secunia\PSI (RC4)\psi.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\This.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://surf.home-domain/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_16\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [suScheduler] C:\Programme\ThinkVantage\SystemUpdate\UCLauncher.exe /SCHEDULER
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [cssauth] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [QCTRAY] C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_16\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [Waiting1690] C:\Windows\stid1690.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [amsg] C:\Programme\ThinkVantage\AMSG\Amsg.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI (RC4).lnk = C:\Programme\Secunia\PSI (RC4)\psi.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: tax aktuell.lnk = C:\Programme\Buhl finance\tax 2008 Standard\taxaktuell.exe
O4 - Global Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_16\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_16\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Ltd. - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - Lenovo - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Unknown owner - C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
O23 - Service: ThinkVantage System Update (UCLauncherService) - Unknown owner - C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe

--
End of file - 11248 bytes
         

Hallo Hannah

Zwecks Analyse/Bereinigung, arbeite bitte folgende Schritte der Reihe nach ab:

1.)
IceSword

Hier gibt es das Tool => Klick
(Für Vista => Klick)

FileReg öffnet ein Kommandozeilenfenster, von dem aus man das Dateisystem und die Registry bearbeiten kann. Dazu gehört auch eine einfache Suchfunktion, die ähnlich wie Rootkit Revealer nach verstecken Dateien sucht . Damit lässt sich zum Beispiel Rustock-B (alias lzx32.sys) finden.

1. 
2. 

• Kopiere den Text, der im Kommandozeilenfenster steht.
• Gehe dazu wie folgt vor:

Oben rechts auf das "Schwert-Symbol" klicken => Edit => Select All => wieder auf das "Schwert-Symbol" klicken => Edit => Copy
Füge den Text bitte in Deine nächste Antwort mit ein:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

2.)
Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

3.)
MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung
• Lösche alles in der Quarantäne:

• poste das entstandene Logfile

4.)
ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

mfg

Hallo Silent Shark,

ganz herzlichen Dank, dass Du Dich meines Problems so umfassend, detailliert und verständlich beschrieben angenommen hast.

Ich habe nun meine Hausaufgaben gemacht und poste im folgenden die Logfiles. Vielen Dank schon mal fürs Anschauen. IceSword, Blacklight und Malwarebytes haben nach meinem Verständnis nichts Verdächtiges gefunden (aber das heißt nichts ), das Combofix-logfile verstehe ich nicht. Ich würde micht daher freuen, wenn Du (oder auch andere Kompetenzler in diesem Forum) Dir die Logfiles anschauen könntest und mir auf der Jagd und beim Erlegen des Virus weiterhin helfen könntest. Dafür schon im Voraus vielen Dank!

DIE LOGFILES VON ICE SWORD, BLACKLIGHT UND Malwarebytes POSTE ICH ZUERST UND IN EINEM SEPARATEN POSTING DAS COMBOFIX LOGFILE, DA ZU LANG.

1) ICE SWORD LOGFILE

Code: Alles auswählenAufklappen

ATTFilter

Hidden file: \RRbackups\C\0\Data61
Hidden file: \RRbackups\C\0\Data62
Hidden file: \RRbackups\C\0\Data63
Hidden file: \RRbackups\C\0\Data64
Hidden file: \RRbackups\C\0\Data65
Hidden file: \RRbackups\C\0\Data66
Hidden file: \RRbackups\C\0\Data67
Hidden file: \RRbackups\C\0\Data68
Hidden file: \RRbackups\C\0\Data69
Hidden file: \RRbackups\C\0\Data7
Hidden file: \RRbackups\C\0\Data70
Hidden file: \RRbackups\C\0\Data71
Hidden file: \RRbackups\C\0\Data72
Hidden file: \RRbackups\C\0\Data73
Hidden file: \RRbackups\C\0\Data74
Hidden file: \RRbackups\C\0\Data75
Hidden file: \RRbackups\C\0\Data76
Hidden file: \RRbackups\C\0\Data77
Hidden file: \RRbackups\C\0\Data78
Hidden file: \RRbackups\C\0\Data79
Hidden file: \RRbackups\C\0\Data8
Hidden file: \RRbackups\C\0\Data80
Hidden file: \RRbackups\C\0\Data81
Hidden file: \RRbackups\C\0\Data82
Hidden file: \RRbackups\C\0\Data83
Hidden file: \RRbackups\C\0\Data84
Hidden file: \RRbackups\C\0\Data85
Hidden file: \RRbackups\C\0\Data86
Hidden file: \RRbackups\C\0\Data87
Hidden file: \RRbackups\C\0\Data88
Hidden file: \RRbackups\C\0\Data89
Hidden file: \RRbackups\C\0\Data9
Hidden file: \RRbackups\C\0\Data90
Hidden file: \RRbackups\C\0\Data91
Hidden file: \RRbackups\C\0\Data92
Hidden file: \RRbackups\C\0\Data93
Hidden file: \RRbackups\C\0\Data94
Hidden file: \RRbackups\C\0\Data95
Hidden file: \RRbackups\C\0\Data96
Hidden file: \RRbackups\C\0\Data97
Hidden file: \RRbackups\C\0\Data98
Hidden file: \RRbackups\C\0\Data99
Hidden file: \RRbackups\C\0\dats\encobject.dat
Hidden file: \RRbackups\C\0\dats\hwkeys.dat
Hidden file: \RRbackups\C\0\dats\symkeys.dat
Hidden file: \RRbackups\C\0\EFSFile
Hidden file: \RRbackups\C\0\HashFile
Hidden file: \RRbackups\C\0\Info
Hidden file: \RRbackups\C\0\TOCFile
Hidden file: \RRbackups\C\MERGE\Data0
Hidden file: \RRbackups\C\MERGE\EFSFile
Hidden file: \RRbackups\C\MERGE\HashFile
Hidden file: \RRbackups\C\MERGE\Info
Hidden file: \RRbackups\C\MERGE\TOCFile
Hidden file: \RRbackups\Documents and Settings\Administrator\Anwendungsdaten\Mic
rosoft\Protect\CREDHIST
Hidden file: \RRbackups\Documents and Settings\Administrator\Anwendungsdaten\Mic
rosoft\Protect\S-1-5-21-217901724-2762260550-1828394475-500\dc068163-3f89-41d6-8
490-003ec28dc18d
Hidden file: \RRbackups\Documents and Settings\Administrator\Anwendungsdaten\Mic
rosoft\Protect\S-1-5-21-217901724-2762260550-1828394475-500\Preferred
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\04952f3f1ddbb989116e082d93674742_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\0bdb7c702ff4a39e4912d51014816aa6_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\144c3639d34b863faad731a5196702d6_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\1b2b582b68a35628bd4ed023a95f7f25_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\1e108d185dcf26ac101d42aaec9fb2ec_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\2551926e781d335d6f93a5795b3e4b05_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\2d9a595570484bb877dc29241c2de09d_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\2e22b0113471a1b87fe1d009c540cb71_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\32d2986f021482b85b0df8a591c2a219_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\341a6a6fc2e05cd7da31a2f03d293f43_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\3c3b9c4d564a57fffd30dd31fe794c69_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\41b083555ef0abbb35cec6f3b664c3ec_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\4a5a0fda4656b9f564ff686efc852def_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\5448229fa6f828e6fad0d88638624b0f_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\595e9f6de88747f2fbb5f5fce45dc824_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\605fa2a1743611aefeb26e6406a6cc2b_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\60e49c1d438ea0ee5b3f858b329b187e_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\6183e66ff12b1d4e6e7dda5e70436045_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\623ce214a26e5bbe7b839865695283a1_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\6834206e2acecdfe211c0bd8a5f6247c_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\6d2cc4a227ceb5038423d1b491530df1_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\6f4be2ca6fc75a7c952ba9f48c0ff9ec_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\7661f8642acc954bad1766b3410c9a4e_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\7c91af6a5982f780de4954b100558177_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\7ececaa159458ada7387175fdff974ec_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\88865941f5e4bb292813a461765c65b3_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\94e95021a073919331c7e4fa8abe0945_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\95a253e0f0f3ae03c96f9e976faf56f9_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\a372e49ffa579b2e2ae49dbf7f7a9227_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\a4a8cc6623f49b4558d680437c930ecc_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\a72b2c0ba0cdc16b315e693ad2871ff2_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\ab10e0744456d0c4d8cee80eaf7d7774_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\ab5b4bdf6e9485a52822fd12b602a0e8_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\b3dfbdd7cbd93365e688bef839f2e71e_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\b40556dd94928246ffde3a454fc57c49_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\b5080e85f82daa22880c7800109390f2_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\beca7bba621b0a806046a01acc32ab41_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\c1ae6102251ee011fb7af3217d98c917_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\c25f102be97e149027cf9aa3f064be82_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\c2aea9f8448ec1e00e1f828021776bde_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\c308fe6ce804910c32668e309122e130_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\c4b50ad678a96665e1b48324d7e125ca_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\d0a2a2ce22fff86d41a3af342aefafa0_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\d10fe7db5160d6c3f5a21f780178dcc8_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\d1a9e42e7e307bdb783bd8bcdbde3863_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\ea76fe7a78c5f1f1e5224bad2d012fe9_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\f0bb2271bec53d34534a0c40c44bd329_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\f1077ae142b0f083e56a565da7f3f840_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\f7de68a7b77e48ee93e072f56845428b_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\MachineKeys\f85147b5ed4d4451a24b8f928125be0d_88f726d1-19b9-4ae3-ae
f3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\Microso
ft\Crypto\RSA\S-1-5-18\d42cc0c3858a58db2db37658219e6400_88f726d1-19b9-4ae3-aef3-
f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\ThinkVa
ntage\Client Security\encobject.dat
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\ThinkVa
ntage\Client Security\hwkeys.dat
Hidden file: \RRbackups\Documents and Settings\All Users\Anwendungsdaten\ThinkVa
ntage\Client Security\symkeys.dat
Hidden file: \RRbackups\Documents and Settings\Default User\Anwendungsdaten\Micr
osoft\Protect\CREDHIST
Hidden file: \RRbackups\Documents and Settings\Default User\Anwendungsdaten\Micr
osoft\Protect\S-1-5-21-217901724-2762260550-1828394475-500\dc068163-3f89-41d6-84
90-003ec28dc18d
Hidden file: \RRbackups\Documents and Settings\Default User\Anwendungsdaten\Micr
osoft\Protect\S-1-5-21-217901724-2762260550-1828394475-500\Preferred
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Micr
osoft\Crypto\RSA\S-1-5-21-2458395705-1352393415-2689792340-1005\533145ef011ddf5c
a3983e2545a902b4_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Micr
osoft\Crypto\RSA\S-1-5-21-2458395705-1352393415-2689792340-1005\83aa4cc77f591dfc
2374580bbd95f6ba_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Micr
osoft\Crypto\RSA\S-1-5-21-2458395705-1352393415-2689792340-1005\f3c9f2b20f142a59
89ad997e144a7257_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Micr
osoft\Protect\CREDHIST
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Micr
osoft\Protect\S-1-5-21-217901724-2762260550-1828394475-500\dc068163-3f89-41d6-84
90-003ec28dc18d
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Micr
osoft\Protect\S-1-5-21-217901724-2762260550-1828394475-500\Preferred
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Micr
osoft\Protect\S-1-5-21-2458395705-1352393415-2689792340-1005\63e0559b-8325-49c2-
8a3c-b3be919a07de
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Micr
osoft\Protect\S-1-5-21-2458395705-1352393415-2689792340-1005\6645b596-7843-4bdb-
b22b-bdb2dd446435
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Micr
osoft\Protect\S-1-5-21-2458395705-1352393415-2689792340-1005\8aa263ee-45c0-496b-
8f85-9c84b05bd51f
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Micr
osoft\Protect\S-1-5-21-2458395705-1352393415-2689792340-1005\8c9519b5-2184-4d69-
a482-3772282f8fad
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Micr
osoft\Protect\S-1-5-21-2458395705-1352393415-2689792340-1005\a49b6b03-7691-4ce4-
bf54-00d32fa13035
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Micr
osoft\Protect\S-1-5-21-2458395705-1352393415-2689792340-1005\a6004b15-1157-4867-
ba76-54a542e64031
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Micr
osoft\Protect\S-1-5-21-2458395705-1352393415-2689792340-1005\b46beeb2-7247-4305-
9905-dc8b7a0edf43
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Micr
osoft\Protect\S-1-5-21-2458395705-1352393415-2689792340-1005\c716af82-8d8f-49fa-
8360-6014e97af905
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Micr
osoft\Protect\S-1-5-21-2458395705-1352393415-2689792340-1005\cafa25d0-b2b6-41cc-
8571-9b5e38b37e5e
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Micr
osoft\Protect\S-1-5-21-2458395705-1352393415-2689792340-1005\Preferred
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Thin
kVantage\Client Security\encobject.dat
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Thin
kVantage\Client Security\hibernation.dat
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Thin
kVantage\Client Security\hwkeys.dat
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Thin
kVantage\Client Security\pwdrecovery.dat
Hidden file: \RRbackups\Documents and Settings\*****\Anwendungsdaten\Thin
kVantage\Client Security\symkeys.dat
Hidden file: \RRbackups\Documents and Settings\#####\Anwendungsdaten\Mic
rosoft\Protect\CREDHIST
Hidden file: \RRbackups\Documents and Settings\#####\Anwendungsdaten\Mic
rosoft\Protect\S-1-5-21-217901724-2762260550-1828394475-500\dc068163-3f89-41d6-8
490-003ec28dc18d
Hidden file: \RRbackups\Documents and Settings\#####\Anwendungsdaten\Mic
rosoft\Protect\S-1-5-21-217901724-2762260550-1828394475-500\Preferred
Hidden file: \RRbackups\guiexcld.txt
Hidden file: \RRbackups\hints.dat
Hidden file: \RRbackups\osfilter.txt
Hidden file: \RRbackups\rr.log
Hidden file: \RRbackups\SAM
Hidden file: \RRbackups\system
Hidden file: \RRbackups\system.dat
Hidden file: \RRbackups\tvt.txt
Hidden file: \RRbackups\usersids.dat
Done.
>
         

2) BLACKLIGHT LOGFILE

Code: Alles auswählenAufklappen

ATTFilter

11/15/08 09:45:22 [Info]: BlackLight Engine 2.2.1092 initialized
11/15/08 09:45:22 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/15/08 09:45:22 [Note]: 7019 4
11/15/08 09:45:22 [Note]: 7005 0
11/15/08 09:45:36 [Note]: 7006 0
11/15/08 09:45:36 [Note]: 7011 2892
11/15/08 09:45:36 [Note]: 7035 0
11/15/08 09:45:36 [Note]: 7026 0
11/15/08 09:45:37 [Note]: 7026 0
11/15/08 09:45:41 [Note]: FSRAW library version 1.7.1024
11/15/08 11:07:10 [Note]: 7007 0
         

3) MALWAREBYTES LOGFILE

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1399
Windows 5.1.2600 Service Pack 2

15.11.2008 14:43:23
mbam-log-2008-11-15 (14-43-23).txt

Scan-Methode: Vollständiger Scan (C:\|R:\|Z:\|)
Durchsuchte Objekte: 107556
Laufzeit: 1 hour(s), 17 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Nach den eben geposteten 3 logfiles (IceSword, Blacklight, Malwarebytes) hier noch das 4. Logfile (ComboFix). Merci!!

4) COMBOFIX LOGFILE
(nach Abarbeitung von CCCleaner)

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-11-13.01 - ***** 2008-11-15 15:29:47.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.514 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\*****\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\lsprst7.dll
c:\windows\system32\ssprs.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-10-15 bis 2008-11-15  ))))))))))))))))))))))))))))))
.

2008-11-15 15:19 . 2008-11-15 15:19	<DIR>	d--------	c:\programme\CCleaner
2008-11-15 12:42 . 2008-11-15 12:42	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-11-15 12:42 . 2008-11-15 12:42	<DIR>	d--------	c:\dokumente und einstellungen\*****\Anwendungsdaten\Malwarebytes
2008-11-15 12:42 . 2008-11-15 12:42	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-15 12:42 . 2008-10-22 16:10	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-15 12:42 . 2008-10-22 16:10	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-11-14 22:14 . 2008-11-15 09:45	<DIR>	d--------	c:\programme\Blacklight
2008-11-14 21:42 . 2008-11-14 21:44	<DIR>	d--------	c:\programme\IceSwordVirenkiller
2008-11-13 18:14 . 2008-08-14 10:51	138,368	---------	c:\windows\system32\dllcache\afd.sys
2008-11-13 18:13 . 2008-05-01 15:30	331,776	---------	c:\windows\system32\dllcache\msadce.dll
2008-11-12 00:11 . 2008-11-14 00:06	<DIR>	d--------	c:\windows\system32\CatRoot_bak
2008-11-11 23:52 . 2008-11-11 23:54	<DIR>	d--------	c:\dokumente und einstellungen\*****\.SunDownloadManager
2008-11-11 23:15 . 2008-11-11 23:16	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Adobe
2008-11-11 23:07 . 2008-11-11 23:07	<DIR>	d--------	c:\programme\Secunia
2008-10-27 09:04 . 2008-10-27 09:04	7,808	--a------	c:\windows\system32\drivers\psi_mf.sys
2008-10-25 08:45 . 2008-11-08 17:08	1,512	--a------	c:\windows\system32\c_749932.nls

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-14 21:08	---------	d-----w	c:\programme\FreePDF_XP
2008-11-11 22:56	---------	d-----w	c:\programme\Java
2008-11-11 22:02	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-08 23:07	5,427	----a-w	c:\windows\system32\EGATHDRV.SYS
2008-11-05 13:15	---------	d-----w	c:\dokumente und einstellungen\*****\Anwendungsdaten\U3
2008-10-24 11:10	453,632	------w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-24 11:10	453,632	------w	c:\windows\system32\dllcache\mrxsmb.sys
2008-10-23 21:12	---------	d-----w	c:\programme\dm
2008-10-19 08:13	---------	d-----w	c:\dokumente und einstellungen\*****\Anwendungsdaten\Skype
2008-10-19 07:54	---------	d-----w	c:\dokumente und einstellungen\*****\Anwendungsdaten\skypePM
2008-10-15 16:57	332,800	------w	c:\windows\system32\dllcache\netapi32.dll
2008-09-30 15:43	1,286,152	----a-w	c:\windows\system32\msxml4.dll
2008-09-29 09:11	---------	d-----w	c:\dokumente und einstellungen\*****\Anwendungsdaten\WinEdt
2008-09-15 15:13	1,847,040	------w	c:\windows\system32\win32k.sys
2008-09-15 15:13	1,847,040	------w	c:\windows\system32\dllcache\win32k.sys
2008-09-04 16:43	1,106,944	----a-w	c:\windows\system32\msxml3.dll
2008-09-04 16:43	1,106,944	------w	c:\windows\system32\dllcache\msxml3.dll
2008-08-28 10:04	333,056	------w	c:\windows\system32\dllcache\srv.sys
2008-08-19 09:38	18,432	------w	c:\windows\system32\dllcache\iedw.exe
2008-02-27 09:19	32	------w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-04-21 21:26	92,064	------w	c:\dokumente und einstellungen\*****\mqdmmdm.sys
2007-04-21 21:26	9,232	------w	c:\dokumente und einstellungen\*****\mqdmmdfl.sys
2007-04-21 21:26	79,328	------w	c:\dokumente und einstellungen\*****\mqdmserd.sys
2007-04-21 21:26	66,656	------w	c:\dokumente und einstellungen\*****\mqdmbus.sys
2007-04-21 21:26	6,208	------w	c:\dokumente und einstellungen\*****\mqdmcmnt.sys
2007-04-21 21:26	5,936	------w	c:\dokumente und einstellungen\*****\mqdmwhnt.sys
2007-04-21 21:26	4,048	------w	c:\dokumente und einstellungen\*****\mqdmcr.sys
2007-04-21 21:26	25,600	------w	c:\dokumente und einstellungen\*****\usbsermptxp.sys
2007-04-21 21:26	22,768	------w	c:\dokumente und einstellungen\*****\usbsermpt.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"amsg"="c:\programme\ThinkVantage\AMSG\Amsg.exe" [2005-08-01 475136]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-03 68856]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-07-30 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-07-30 118784]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-08-23 864256]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2005-08-31 237568]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2005-08-29 94208]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"suScheduler"="c:\programme\ThinkVantage\SystemUpdate\UCLauncher.exe" [2005-08-01 40960]
"LPManager"="c:\progra~1\THINKV~1\PrdCtr\LPMGR.exe" [2005-08-31 98304]
"UpdateManager"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-03-07 122939]
"cssauth"="c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" [2005-08-02 1988144]
"PDService.exe"="c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" [2005-07-07 49152]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2005-08-31 139264]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2005-08-31 208896]
"StatusClient"="c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 36864]
"TomcatStartup"="c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" [2003-03-31 155648]
"DataLayer"="c:\progra~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" [2004-05-06 1159168]
"PCSuiteTrayApplication"="c:\progra~1\Nokia\NOKIAP~1\TRAYAP~1.EXE" [2004-03-23 147968]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-12 1005303]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-12 118784]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_16\bin\jusched.exe" [2008-05-28 75256]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-26 266497]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"FixCamera"="c:\windows\FixCamera.exe" [2007-02-12 20480]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-07 185896]
"LifeCam"="c:\programme\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
"VX1000"="c:\windows\vVX1000.exe" [2007-04-10 709992]
"QCTray"="c:\progra~1\ThinkPad\CONNEC~1\QCTray.exe" [2005-08-10 745472]
"TrackPointSrv"="tp4serv.exe" [2005-07-13 c:\windows\system32\tp4serv.exe]
"TpShocks"="TpShocks.exe" [2005-08-22 c:\windows\system32\TpShocks.exe]
"TP4EX"="tp4ex.exe" [2005-08-24 c:\windows\system32\TP4EX.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\*****\Startmen�\Programme\Autostart\
Secunia PSI (RC4).lnk - c:\programme\Secunia\PSI (RC4)\psi.exe [2008-10-29 695656]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-09-14 24576]
tax aktuell.lnk - c:\programme\Buhl finance\tax 2008 Standard\taxaktuell.exe [2008-06-07 479232]
WinManager.lnk - c:\programme\PC-TV\WinManager\WinManager.exe [2008-07-30 69632]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\QConGina]
2005-08-10 02:08 262144 c:\windows\system32\QConGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 22:45 28672 c:\windows\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-06-16 21:23 24576 c:\windows\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= c_749856.nls
"mixer1"= c_749856.nls
"wave2"= c_749856.nls
"mixer2"= c_749856.nls
"aux2"= c_749856.nls
"midi1"= c_749856.nls
"aux1"= c_749856.nls
"midi2"= c_749856.nls

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli csspwntfy

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\ThinkVantage\\SystemUpdate\\jre\\bin\\javaw.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Shockprf;Shockprf;c:\windows\system32\drivers\Shockprf.sys [2005-06-06 59904]
R1 ANC;ANC;c:\windows\system32\drivers\ANC.SYS [2005-08-10 11520]
R1 IBMTPCHK;IBMTPCHK;c:\windows\system32\drivers\IBMBLDID.SYS [2005-08-10 2432]
R1 ShockMgr;ShockMgr;c:\windows\system32\drivers\ShockMgr.sys [2005-06-06 4736]
R1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\Tppwrif.sys [2005-08-31 4442]
R2 ibmfilter;ibmfilter;c:\windows\system32\drivers\ibmfilter.sys [2005-08-02 13184]
R2 MSCamSvc;MSCamSvc;c:\programme\Microsoft LifeCam\MSCamS32.exe [2007-05-17 271720]
R2 PrivateDisk;PrivateDisk;c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\PrivateDiskM.sys [2005-06-28 46142]
R2 smi2;smi2;c:\programme\SMI2\smi2.sys [2005-08-02 3968]
R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2008-10-27 7808]
R3 Tp4Track;PS/2 TrackPoint Driver;c:\windows\system32\DRIVERS\tp4track.sys [2005-07-13 13840]
S3 CAM1690;USB PC Camera;c:\windows\system32\Drivers\cam1690.sys [2007-11-21 181888]
S3 QCNDISIF;QCNDISIF;c:\windows\system32\drivers\qcndisif.SYS [2005-08-10 12288]
S3 UDTT2BDA;Twinhan USB2 DVB-T receiver;c:\windows\system32\Drivers\UDTT2BDA.sys [2004-07-22 36736]
S3 VX1000;VX-1000;c:\windows\system32\DRIVERS\VX1000.sys [2007-04-10 1966312]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2008-11-15 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2005-08-31 00:10]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-NavLogon - (no file)


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\f0wj9swm.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/webhp?hl=de
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\Java\jre1.5.0_16\bin\NPJava11.dll
FF -: plugin - c:\programme\Java\jre1.5.0_16\bin\NPJava12.dll
FF -: plugin - c:\programme\Java\jre1.5.0_16\bin\NPJava13.dll
FF -: plugin - c:\programme\Java\jre1.5.0_16\bin\NPJava14.dll
FF -: plugin - c:\programme\Java\jre1.5.0_16\bin\NPJava32.dll
FF -: plugin - c:\programme\Java\jre1.5.0_16\bin\NPJPI150_16.dll
FF -: plugin - c:\programme\Java\jre1.5.0_16\bin\NPOJI610.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-15 15:45:44
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: c:\windows\system32\winlogon.exe
-> c:\windows\system32\tphklock.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\IPSSVC.EXE
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\QCONSVC.EXE
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\TPHDEXLG.exe
c:\windows\system32\TpKmpSvc.exe
c:\programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
c:\programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
c:\programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
c:\programme\ThinkVantage\SystemUpdate\UCLauncherService.exe
c:\programme\IBM ThinkVantage\Common\Logger\logmon.exe
c:\windows\system32\acs.exe
c:\programme\ThinkPad\Utilities\EZEJMNAP.EXE
c:\programme\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
c:\programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
c:\programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
c:\windows\system32\rundll32.exe
c:\programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
c:\progra~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
c:\windows\system32\rundll32.exe
c:\programme\IBM ThinkVantage\Client Security Solution\pwmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-15 15:50:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-11-15 14:50:06

Vor Suchlauf: 8.015.278.080 Bytes frei
Nach Suchlauf: 8,053,985,280 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

238	--- E O F ---	2008-11-14 06:06:20
         

Ende meines Beitrags

Hi,

die sicherste Variante ist in jedem Fall das Neuaufsetzen und es wird dir wahrscheinlich letztenendes nichts anderes übrig bleiben.
Es wäre allerdings toll, wenn du noch 2-3 posts lang mitmachst, ich würde gerne etwas versuchen, um die malware zu entfernen.

Du solltest aber auf jedenfall sobald wie möglich all deine Passwörter von einem sauberen Rechner aus ändern, um den Verursachern deiner Infektion keine Möglichkeit zu geben, die geklauten Passwörter auszuntzen.

Weißt du zufällig wie du dir die Malware eingefangen hast? Bzw wann du die dir eignefangen hast?

Wenn du helfen möchtest, arbeite bitte folgendes ab:
ein FileListing mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

lg myrtille

Bonsoir myrtille,

hab vielen Dank dafür dass Du Dich meines Problems annimmst.
Ich habe die Datei listing.txt verlinkt unter:
http://www.file-upload.net/download-...sting.txt.html

Besten Dank schon mal fürs Ansehen!

Ich habe leider keine Ahnung, wie ich mir die malware eingefangen habe. Muss etwa in der ersten Novemberwoche gewesen sein.
Mein Avira ist immer aktiv und mit Verzögerung von max. 7 Tagen up to date. Ich öffne nie Mails von Absendern, die ich nicht kenne (habe auch seit langem keine erhalten) und lade auch selten was ausm Netz runter (zuletzt meine O2-Telefonrechnung und einige Hörproben-soundfiles bei Amazon). Ansonsten schaue ich regelmäßig bei gmx und Spiegel online rein... da poppen ja auch allerhand Fenster auf.
Hoffe, wir können die Malware auch ohne völliges Neuaufsetzen des Rechners beseitigen. Aber für den schlimmsten Fall hätte ich auch ein (wenn auch ein halbes Jahr altes System-backup auf meiner externen Festplatte).

LG,
hannah

Hallo myrtille,
vielen Dank auch für Deinen Hinweis mit den Passwörtern. Noch eine Frage: Sollte ich sicherheitshalber generell jetzt erst mal die Internet gar nicht mehr (oder nur noch so wenig wie unbedingt nötig) nutzen? D.h. muss ich befürchten, dass bei aktiver Internetverbindung alle Schleusen offen sind und ich mir noch mehr Schaden/Schädlinge einfange?
Danke schon mal und beste Grüße
Hannah

Hi,
ja bitte so weing wie möglich ins Internet gehen. (Allerdings brauchen die nächsten 2 schritte internet )

versuch bitte mal folgendes:
.Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

killall::
file::
C:\windows\system32\c_749867.nls 
C:\windows\system32\c_749876.nls
c:\windows\system32\c_749932.nls
c:\windows\system32\c_749856.nls

registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"=-
"mixer1"=-
"wave2"=-
"mixer2"=-
"aux2"=-
"midi1"=-
"aux1"=-
"midi2"=-
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Kaspersky - Onlinescanner
Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.
---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren
=> Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK
=> Link "Arbeitsplatz" anklicken => Scan beginnt automatisch
=> Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern
=> Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Mache bitte auch einen Scan mit Antivir und poste das Log hier.

Die Bereinigung ist eher ein Experiment. Es kann sein, dass sie klappt. Es kann sein dass sie nicht klappt.
Wenn du wirklich ganz sicher sein willst (und zb OnlineBanking betreibst) solltest du wahrscheinlich das Image noch einspielen.

Ich würd vorher nur gern sehen, ob der Befall nach den obigen Schritten wieder erscheint oder nicht.

lg myrtille

Hallo,

ich habe genau das gleiche Problem.


[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.


Danke.

[/edit]

Hallo Myrtille,

vielen Dank für die schnelle Antwort. Tagsüber war ich bei der Arbeit und konnte nicht weiter am Virenproblem arbeiten. Nun ist sowohl Feierabend als auch meine Kleine im Bett und ich kann mich wieder dem hartnäckigen Virus widmen.

Ich habe die cfscript.txt erstellt und mit der rechten Maustaste auf das ComboFix-Icon auf dem Desktop gezogen. Dabei hat sich das "Öffnen mit"-Element geöffnet und ich habe in dem sich dann öffnenden Warnfenster für combofix.exe auf Ausführen geklickt. Hoffe das war der richtige Weg, ComboFix auszuführen. Während Combofix ausgeführt wurde, hat Avira einige neue Virenfunde gemeldet, deren screenshots ich hier verlinke:

HTML-Code:

http://www.file-upload.net/download-1264677/Avira.doc.html

Weiteres Problem: Die ComboFix.txt hat sich nicht - wie beim letzten Lauf am 15.11.08 - selbst geöffnet und ich habe nach dem Neustart unter C:\ nur die alte ComboFix.txt vom 15.11.08 gefunden, nicht die von eben. Beim Neustart sind auch wieder die bekannten Virenmeldungen aufgetaucht. Soll ich ComboFix nun nochmal ausführen?

Thanks, viele Grüße und nochmals Danke!!!


(Kaspersky habe ich einstweilen noch nicht laufen lassen.)

Hi,

deaktiviere bitte Avira während Combofix läuft. Ziehe die Textdatei dann mit der linken Maustaste auf Combofix.exe um sie auszuführen. (Mein Fehler)
lg myrtille

Hallo Myrtille,

OK, jetzt hats geklappt.
Im Folgenden poste ich das neue ComboFix logfile (und mache mich dann gleich an die Scans mit Kaspersky und Avira -> diese poste ich sobald ich fertig bin).

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-11-13.01 - ***** 2008-11-19 21:26:58.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.541 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\*****\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\*****\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\system32\c_749856.nls
c:\windows\system32\c_749867.nls
c:\windows\system32\c_749876.nls
c:\windows\system32\c_749932.nls
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\c_749867.nls
c:\windows\system32\c_749876.nls
c:\windows\system32\c_749932.nls

.
(((((((((((((((((((((((   Dateien erstellt von 2008-10-19 bis 2008-11-19  ))))))))))))))))))))))))))))))
.

2008-11-19 21:31 . 2008-11-19 21:31	124,416	--a------	c:\windows\system32\c_749856.nls
2008-11-15 15:19 . 2008-11-15 15:19	<DIR>	d--------	c:\programme\CCleaner
2008-11-15 12:42 . 2008-11-15 12:42	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-11-15 12:42 . 2008-11-15 12:42	<DIR>	d--------	c:\dokumente und einstellungen\*****\Anwendungsdaten\Malwarebytes
2008-11-15 12:42 . 2008-11-15 12:42	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-15 12:42 . 2008-10-22 16:10	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-15 12:42 . 2008-10-22 16:10	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-11-14 22:14 . 2008-11-15 09:45	<DIR>	d--------	c:\programme\Blacklight
2008-11-14 21:42 . 2008-11-14 21:44	<DIR>	d--------	c:\programme\IceSwordVirenkiller
2008-11-13 18:14 . 2008-08-14 10:51	138,368	---------	c:\windows\system32\dllcache\afd.sys
2008-11-13 18:13 . 2008-05-01 15:30	331,776	---------	c:\windows\system32\dllcache\msadce.dll
2008-11-12 00:11 . 2008-11-14 00:06	<DIR>	d--------	c:\windows\system32\CatRoot_bak
2008-11-11 23:52 . 2008-11-11 23:54	<DIR>	d--------	c:\dokumente und einstellungen\*****\.SunDownloadManager
2008-11-11 23:15 . 2008-11-11 23:16	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Adobe
2008-11-11 23:07 . 2008-11-11 23:07	<DIR>	d--------	c:\programme\Secunia
2008-10-27 09:04 . 2008-10-27 09:04	7,808	--a------	c:\windows\system32\drivers\psi_mf.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-19 18:01	---------	d-----w	c:\dokumente und einstellungen\*****\Anwendungsdaten\WinEdt
2008-11-18 22:18	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-14 21:08	---------	d-----w	c:\programme\FreePDF_XP
2008-11-11 22:56	---------	d-----w	c:\programme\Java
2008-11-05 13:15	---------	d-----w	c:\dokumente und einstellungen\*****\Anwendungsdaten\U3
2008-10-24 11:10	453,632	------w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 21:12	---------	d-----w	c:\programme\dm
2008-10-19 08:13	---------	d-----w	c:\dokumente und einstellungen\*****\Anwendungsdaten\Skype
2008-10-19 07:54	---------	d-----w	c:\dokumente und einstellungen\*****\Anwendungsdaten\skypePM
2008-02-27 09:19	32	------w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-04-21 21:26	92,064	------w	c:\dokumente und einstellungen\*****\mqdmmdm.sys
2007-04-21 21:26	9,232	------w	c:\dokumente und einstellungen\*****\mqdmmdfl.sys
2007-04-21 21:26	79,328	------w	c:\dokumente und einstellungen\*****\mqdmserd.sys
2007-04-21 21:26	66,656	------w	c:\dokumente und einstellungen\*****\mqdmbus.sys
2007-04-21 21:26	6,208	------w	c:\dokumente und einstellungen\*****\mqdmcmnt.sys
2007-04-21 21:26	5,936	------w	c:\dokumente und einstellungen\*****\mqdmwhnt.sys
2007-04-21 21:26	4,048	------w	c:\dokumente und einstellungen\*****\mqdmcr.sys
2007-04-21 21:26	25,600	------w	c:\dokumente und einstellungen\*****\usbsermptxp.sys
2007-04-21 21:26	22,768	------w	c:\dokumente und einstellungen\*****\usbsermpt.sys
.

(((((((((((((((((((((((((((((   snapshot@2008-11-15_15.49.39.89   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-11-08 23:07:53	5,427	----a-w	c:\windows\system32\EGATHDRV.SYS
+ 2008-11-16 09:54:19	5,427	----a-w	c:\windows\system32\EGATHDRV.SYS
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"amsg"="c:\programme\ThinkVantage\AMSG\Amsg.exe" [2005-08-01 475136]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-03 68856]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-07-30 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-07-30 118784]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-08-23 864256]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2005-08-31 237568]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2005-08-29 94208]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"suScheduler"="c:\programme\ThinkVantage\SystemUpdate\UCLauncher.exe" [2005-08-01 40960]
"LPManager"="c:\progra~1\THINKV~1\PrdCtr\LPMGR.exe" [2005-08-31 98304]
"UpdateManager"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-03-07 122939]
"cssauth"="c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" [2005-08-02 1988144]
"PDService.exe"="c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" [2005-07-07 49152]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2005-08-31 139264]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2005-08-31 208896]
"StatusClient"="c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 36864]
"TomcatStartup"="c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" [2003-03-31 155648]
"DataLayer"="c:\progra~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" [2004-05-06 1159168]
"PCSuiteTrayApplication"="c:\progra~1\Nokia\NOKIAP~1\TRAYAP~1.EXE" [2004-03-23 147968]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-12 1005303]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-12 118784]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_16\bin\jusched.exe" [2008-05-28 75256]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-26 266497]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"FixCamera"="c:\windows\FixCamera.exe" [2007-02-12 20480]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-07 185896]
"LifeCam"="c:\programme\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
"VX1000"="c:\windows\vVX1000.exe" [2007-04-10 709992]
"QCTray"="c:\progra~1\ThinkPad\CONNEC~1\QCTray.exe" [2005-08-10 745472]
"TrackPointSrv"="tp4serv.exe" [2005-07-13 c:\windows\system32\tp4serv.exe]
"TpShocks"="TpShocks.exe" [2005-08-22 c:\windows\system32\TpShocks.exe]
"TP4EX"="tp4ex.exe" [2005-08-24 c:\windows\system32\TP4EX.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\*****\Startmen�\Programme\Autostart\
Secunia PSI (RC4).lnk - c:\programme\Secunia\PSI (RC4)\psi.exe [2008-10-29 695656]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-09-14 24576]
tax aktuell.lnk - c:\programme\Buhl finance\tax 2008 Standard\taxaktuell.exe [2008-06-07 479232]
WinManager.lnk - c:\programme\PC-TV\WinManager\WinManager.exe [2008-07-30 69632]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\QConGina]
2005-08-10 02:08 262144 c:\windows\system32\QConGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 22:45 28672 c:\windows\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-06-16 21:23 24576 c:\windows\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli csspwntfy

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\ThinkVantage\\SystemUpdate\\jre\\bin\\javaw.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Shockprf;Shockprf;c:\windows\system32\drivers\Shockprf.sys [2005-06-06 59904]
R1 ANC;ANC;c:\windows\system32\drivers\ANC.SYS [2005-08-10 11520]
R1 IBMTPCHK;IBMTPCHK;c:\windows\system32\drivers\IBMBLDID.SYS [2005-08-10 2432]
R1 ShockMgr;ShockMgr;c:\windows\system32\drivers\ShockMgr.sys [2005-06-06 4736]
R1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\Tppwrif.sys [2005-08-31 4442]
R2 ibmfilter;ibmfilter;c:\windows\system32\drivers\ibmfilter.sys [2005-08-02 13184]
R2 MSCamSvc;MSCamSvc;c:\programme\Microsoft LifeCam\MSCamS32.exe [2007-05-17 271720]
R2 PrivateDisk;PrivateDisk;c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\PrivateDiskM.sys [2005-06-28 46142]
R2 smi2;smi2;c:\programme\SMI2\smi2.sys [2005-08-02 3968]
R3 Tp4Track;PS/2 TrackPoint Driver;c:\windows\system32\DRIVERS\tp4track.sys [2005-07-13 13840]
S3 CAM1690;USB PC Camera;c:\windows\system32\Drivers\cam1690.sys [2007-11-21 181888]
S3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2008-10-27 7808]
S3 QCNDISIF;QCNDISIF;c:\windows\system32\drivers\qcndisif.SYS [2005-08-10 12288]
S3 UDTT2BDA;Twinhan USB2 DVB-T receiver;c:\windows\system32\Drivers\UDTT2BDA.sys [2004-07-22 36736]
S3 VX1000;VX-1000;c:\windows\system32\DRIVERS\VX1000.sys [2007-04-10 1966312]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2008-11-19 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2005-08-31 00:10]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-19 21:35:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: c:\windows\system32\winlogon.exe
-> c:\windows\system32\tphklock.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\IPSSVC.EXE
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\QCONSVC.EXE
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\TPHDEXLG.exe
c:\windows\system32\TpKmpSvc.exe
c:\programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
c:\programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
c:\programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
c:\programme\ThinkVantage\SystemUpdate\UCLauncherService.exe
c:\programme\IBM ThinkVantage\Common\Logger\logmon.exe
c:\windows\system32\acs.exe
c:\programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
c:\programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
c:\programme\IBM ThinkVantage\Client Security Solution\pwmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-19 21:41:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-11-19 20:41:16
ComboFix2.txt  2008-11-15 14:50:11

Vor Suchlauf: 8.058.318.848 Bytes frei
Nach Suchlauf: 8,045,223,936 Bytes frei

202	--- E O F ---	2008-11-14 06:06:20
         

Danke fürs Ansehen!

Hallo Myrtille,

endlich hat es geklappt, Kaspersky laufen zu lassen (hatte erst ziemliche Probleme mit dem Internet Explorer). Das Programm hat aber keine Malware gefunden.
Das Kaspersky logfile poste ich im Folgenden:

Code: Alles auswählenAufklappen

ATTFilter

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Donnerstag, 20. November 2008 19:19:01
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken: 20/11/2008
 Anzahl der Einträge in den Antiviren-Datenbanken: 1253782
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	C:\
	R:\
	Z:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 69526
	Viren gefunden: 0
	Infizierte Objekte gefunden: 0
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 02:30:28

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\LOGFILES\AVSCAN-20081119-225050-2E7533A2.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lenovo\messages\logs\lf000.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\04952f3f1ddbb989116e082d93674742_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\0bdb7c702ff4a39e4912d51014816aa6_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\144c3639d34b863faad731a5196702d6_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\1b2b582b68a35628bd4ed023a95f7f25_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\2551926e781d335d6f93a5795b3e4b05_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\2e22b0113471a1b87fe1d009c540cb71_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\32d2986f021482b85b0df8a591c2a219_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\341a6a6fc2e05cd7da31a2f03d293f43_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\3c3b9c4d564a57fffd30dd31fe794c69_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\41b083555ef0abbb35cec6f3b664c3ec_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\4a5a0fda4656b9f564ff686efc852def_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\5448229fa6f828e6fad0d88638624b0f_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\595e9f6de88747f2fbb5f5fce45dc824_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\605fa2a1743611aefeb26e6406a6cc2b_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\60e49c1d438ea0ee5b3f858b329b187e_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\6183e66ff12b1d4e6e7dda5e70436045_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\623ce214a26e5bbe7b839865695283a1_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\6834206e2acecdfe211c0bd8a5f6247c_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\6d2cc4a227ceb5038423d1b491530df1_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\6f4be2ca6fc75a7c952ba9f48c0ff9ec_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\7661f8642acc954bad1766b3410c9a4e_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\7c91af6a5982f780de4954b100558177_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\7ececaa159458ada7387175fdff974ec_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\88865941f5e4bb292813a461765c65b3_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\94e95021a073919331c7e4fa8abe0945_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\95a253e0f0f3ae03c96f9e976faf56f9_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\a372e49ffa579b2e2ae49dbf7f7a9227_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\a4a8cc6623f49b4558d680437c930ecc_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\a72b2c0ba0cdc16b315e693ad2871ff2_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\ab10e0744456d0c4d8cee80eaf7d7774_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\ab5b4bdf6e9485a52822fd12b602a0e8_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\b3dfbdd7cbd93365e688bef839f2e71e_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\b40556dd94928246ffde3a454fc57c49_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\b5080e85f82daa22880c7800109390f2_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\beca7bba621b0a806046a01acc32ab41_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\c1ae6102251ee011fb7af3217d98c917_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\c25f102be97e149027cf9aa3f064be82_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\c2aea9f8448ec1e00e1f828021776bde_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\c308fe6ce804910c32668e309122e130_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\c4b50ad678a96665e1b48324d7e125ca_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\d0a2a2ce22fff86d41a3af342aefafa0_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\d10fe7db5160d6c3f5a21f780178dcc8_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\d1a9e42e7e307bdb783bd8bcdbde3863_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\ea76fe7a78c5f1f1e5224bad2d012fe9_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\f0bb2271bec53d34534a0c40c44bd329_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\f1077ae142b0f083e56a565da7f3f840_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\f7de68a7b77e48ee93e072f56845428b_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\f85147b5ed4d4451a24b8f928125be0d_88f726d1-19b9-4ae3-aef3-f8e4b5ce1bc6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Vorlagen\Normal.dot	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Word\AutoWiederherstellen-Speicherung von Dokument1.asd	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\f0wj9swm.default\cert8.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\f0wj9swm.default\content-prefs.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\f0wj9swm.default\cookies.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\f0wj9swm.default\downloads.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\f0wj9swm.default\formhistory.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\f0wj9swm.default\key3.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\f0wj9swm.default\parent.lock	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\f0wj9swm.default\permissions.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\f0wj9swm.default\places.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\f0wj9swm.default\places.sqlite-journal	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\f0wj9swm.default\search.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Eigene Dateien\SecureDrive.vol	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\f0wj9swm.default\urlclassifier3.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\etilqs_pDXYQm9wdQ9zztSaXmIF	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\jar_cache55676.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\~DFB203.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\~DFBD9F.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\~DFBEB5.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\~DFC10F.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\~DFD845.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\~WRD0000.doc	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008112020081121\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP291\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\DEFAULT	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SOFTWARE	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SYSTEM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\temp\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\temp\History\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\temp\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiaservc.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.
         

Beim Hochfahren heute früh (nachdem ich gestern ComboFix hatte laufen lassen), hatte ich übrigens keine Avira-Meldung mehr bezüglich des Trojaners. Allerdings ist sie vorhin beim Avira-Komplettscan wieder aufgetaucht (C:\Windows\system32\c_749856.nls Ist das Trojanische Pferd TR/Crypt.FKM.Gen). Ich konnte auch "Löschen" anklicken, was bisher nie gegangen war.

Daneben hatte ich beim Avira-Scan ziemlich viele Meldungen der Art "C:\System Volume Information\...\A0050513.exe Enthält Erkennungsmuster der Anwendung APPL/Nircmd.E.2.B" Einige davon waren im Ordner ComboFix, so dass ich vermute, dass es unbedenkliche Programmteile von ComboFix waren.

Mein Avira Logfile ist riesengroß (über 23 MB! Ist das normal? Oder soll ich lieber bestimmte Auszüge posten/verlinken?). Ich verlinke hier mal das gesamte Logfile:
File-Upload.net - AVSCAN-20081119-225050-2E7533A2_ed.LOG


Wäre nett, wenn Du drüberschauen könntest.
VIELEN VIELEN DANK schon mal.

Beste Grüße
Hannah

Hi,

ja die Datei wurde leider direkt wieder erstellt. Dein Rechner ist daher noch nicht sauber.

Versuch bitte mal Folgendes:

• Lade dir SDFix herunter und speichere es auf deinem Desktop.
• Starte SDFix.exe per Doppelklick, wähle installieren, um das Programm in seinen eigenen Ordner unter C:\ zu entpacken.
• Wechsle in den abgesicherten Modus
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Wenn dich das Skript dazu auffordert, drücke bitte eine Taste, um den Rechner neuzustarten.
• Wenn der Rechner hochgefahren ist, wird das Programm zuende laufen.
• Zum Schluss muss nochmal eine Taste gedrückt werden, um das Skript zu beenden und den explorer zu starten.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.

Eine bebilderte Anleitung für den abgesicherten Modus gibt es hier

Außerdem würde mich auch ein (Quick)Scan mit Malwarebytes interessieren und führe bitte auch folgende Datei aus und poste das erstellte Log: mbr.exe.

Könntest du wohl den Ordner C:\qoobox zippen und mit einem Passwort versehen und mir per Mail zuschicken?

lg myrtille

Hallo,

Ok, habe alles ausgeführt: 1. SDFix, 2. MalwareBytes Quickscan
und 3. mbr.exe habe ich ausgeführt.
Beim Hochfahren (nach dem Malwarebytes Quickscan) bekam ich keine Virenmeldung mehr. Darf ich die leise Hoffnung hegen, dass der Virus weg ist? Oder muss ich damit rechnen, dass er noch irgendwo im Verborgenen schlummert und wiederaufersteht?

Im Folgenden poste ich die Logfiles:

1. SDFix - Report.txt

Code: Alles auswählenAufklappen

ATTFilter

[
SDFix: Version 1.240 
Run by ***** on 21.11.2008 at 11:47

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files : 

No Trojan Files Found






Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-21 11:55:24
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0020e07ed010]
"00119f4c56fd"=hex:b2,cd,6e,2f,d7,b9,35,1a,d5,64,07,9a,fd,aa,49,b5
"0012d2130172"=hex:ae,c8,19,d2,34,2a,f2,b1,5e,b8,cb,3d,5a,6c,c8,a1
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0020e07ed010]
"00119f4c56fd"=hex:b2,cd,6e,2f,d7,b9,35,1a,d5,64,07,9a,fd,aa,49,b5
"0012d2130172"=hex:ae,c8,19,d2,34,2a,f2,b1,5e,b8,cb,3d,5a,6c,c8,a1

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Programme\\ThinkVantage\\SystemUpdate\\jre\\bin\\javaw.exe"="C:\\Programme\\ThinkVantage\\SystemUpdate\\jre\\bin\\javaw.exe:*:Enabled:ThinkVantage System Update"
"C:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"="C:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe:*:Disabled:javaw"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Microsoft LifeCam\\LifeCam.exe"="C:\\Programme\\Microsoft LifeCam\\LifeCam.exe:*:Enabled:LifeCam.exe"
"C:\\Programme\\Microsoft LifeCam\\LifeExp.exe"="C:\\Programme\\Microsoft LifeCam\\LifeExp.exe:*:Enabled:LifeExp.exe"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ThinkVantage\\SystemUpdate\\jre\\bin\\javaw.exe"="C:\\Programme\\ThinkVantage\\SystemUpdate\\jre\\bin\\javaw.exe:*:Enabled:ThinkVantage System Update"

Remaining Files :



Files with Hidden Attributes :

Mon  7 Jan 2008        29,696 ...H. --- "C:\Dokumente und Einstellungen\*****\Eigene Dateien\Briefe\~WRL3501.tmp"
Tue  8 Jan 2008             0 ...H. --- "C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\Word\~WRL2537.tmp"
Thu  7 Dec 2006     3,096,576 A..H. --- "C:\Dokumente und Einstellungen\*****\Anwendungsdaten\U3\temp\Launchpad Removal.exe"
Wed 21 May 2008         1,604 ..SH. --- "C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Roxio\Dragon\DiscInfoCache\MATSHITA_UJDA755yDVD_CDRW_1.72_300_DICV018_DRGV2050108.TMP"
Wed 31 Jan 2007        24,064 ...H. --- "C:\Dokumente und Einstellungen\*****\Eigene Dateien\2-DISS-DOKUMENTATION\PUBLIKATION\Organisatorisches\Anschreiben Doktorpr�fung\~WRL0001.tmp"
Tue  6 Mar 2007        24,064 ...H. --- "C:\Dokumente und Einstellungen\*****\Eigene Dateien\2-DISS-DOKUMENTATION\PUBLIKATION\Organisatorisches\Anschreiben Doktorpr�fung\~WRL0003.tmp"

Finished!
         

2. MalwareBytes QuickScan

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1399
Windows 5.1.2600 Service Pack 2

21.11.2008 12:27:48
mbam-log-2008-11-21 (12-27-48).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 53003
Laufzeit: 6 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

3. mbr.exe

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

VIELEN VIELEN DANK schon mal fürs Anschauen !!!
Beste Grüße