Probleme mit TR/Hijack.AE.2

Maxell · 15.11.2008, 11:14

Hallo zusammen,

Antivir zeigt mir seit einer Woche an, ich hätte das Trojanische Pferd TR/Hijack.AE.2 ich habe es darauf hin in Quarantäne verschoben.
Dannach brach mein PC allerdings völlig ein und ich konnte nur noch meinen Deskop-Hinterfrund sehen und sonst nix.

Ein Kumpel von mir, der sich eig ganz gut mit solchen Sachen auskennt, aht mir dann geholfen und letztendlich hat er mir mein System auf einen Sicherungspunkt zurückgesetzt (sorry, wenn ich mich unverständlich ausdrücke, aber kenn mich nich wirklich gut aus). Zuvor haben etliche verschiedene Antivien Programme keinen Befall feststellen können, außer Spyware Doctor, den ich allerdings nur als Demoversion hatte und die Befälle nicht löschen konnte.

Die ganze Sache sah auch erst gut aus, ich hatte wieder Zugriff auf alles, aber sobald ich den PC einschalte kommt wieder eine Antivir Meldung über den gleichen Trojaner. Wenn ich Antivir allerdings das System überprüfen lasse, zeigt es keine Funde an.
Auf der jetzigen Meldung kann ich wählen zwischen 'In Quarantäne verschieben' 'Löschen' 'Umbenennen' 'Zugriff verweigern' und 'Ignorieren'.
Beim ersten Auftreten vor einer Woche waren die Optionen 'Löschen' und 'Umbenennen' noch nicht vorhanden.

Allerdings erscheint die Meldung alle paar Minuten bis Sekunden wieder, egal was ich damit mache. Weder Quarantäne noch Löschen helfen da was.

Die Quelle wurde übrigens angegeben mit WINDOWS/system32/dicpsapi.dll

Jetzt hab ich HijackThis mal suchen lassen und das ist das Protokoll:

Vielen Dank schon mal für die Hilfe.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:51:13, on 15.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\COMODO\SafeSurf\cssurf.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: TBSB04045 - {C6BFC16B-D6FF-47EB-B5D7-F91FB78F94CE} - C:\Programme\IEToolbar\Amazon Toolbar\amazon.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Amazon Toolbar - {EEB30C11-DF11-46DF-B763-BAF798CA65F3} - C:\Programme\IEToolbar\Amazon Toolbar\amazon.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Programme\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\cssdll32.dll C:\WINDOWS\system32\guard32.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

--
End of file - 10525 bytes

nochdigger · 15.11.2008, 13:48

Hallo und

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Dann deaktiviere bitte den Teatimer von SpyBot S&D

Zitat:

Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.

Deinstalliere über
Start -> Einstellungen -> Systemsteuerung -> Software
bitte das Programm AskBar.

Lade bitte diese Datei
C:\WINDOWS\System32\dicpsapi.dll
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

Führe Malwarebytes aus, lass alles gefundene löschen und poste anschließend bitte das Log hierher.

MFG

Maxell · 15.11.2008, 14:39

Hi, also danke schonmal.

Hab das jetzt alles gemacht.

Ich hab C:\WINDOWS\System32\dicpsapi.dll
bei allen 3 von dir genannten Seiten hochgeladen.
Bei VirScan konnte sie nicht geladen werden.
Bei den anderen 2 kam das heraus:
Virustotal: 0 bytes size received / Se ha recibido un archivo vacio
Jotti: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Weiß nicht ob es was hilft, aber immer wenn ich einen Systemdurchlauf starte (egal mit welchem Programm) kommt eine neue Fund-Meldung.
Und wenn eine Meldung während eines Suchlaufs erscheint, hält der Suchlauf an, bis ich gelöscht oder in Quarantäne verschoben hab.

Der Malwarebytes Log lautet wie folgt:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1399
Windows 5.1.2600 Service Pack 3

15.11.2008 14:32:45
mbam-log-2008-11-15 (14-32-45).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 64697
Laufzeit: 21 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 21
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{673a860d-47ec-48c8-a135-9373c88ad578} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{61bb3b9a-7c7b-405b-82ac-1547b88be9d0} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f85c64ae-16b0-44c3-ba8b-ba0e08e54303} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c6bfc16b-d6ff-47eb-b5d7-f91fb78f94ce} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c6bfc16b-d6ff-47eb-b5d7-f91fb78f94ce} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c6bfc16b-d6ff-47eb-b5d7-f91fb78f94ce} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{eeb30c11-df11-46df-b763-baf798ca65f3} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{eeb30c11-df11-46df-b763-baf798ca65f3} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{eeb30c11-df11-46df-b763-baf798ca65f3} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{eeb30c11-df11-46df-b763-baf798ca65f3} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\IEToolbar (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
C:\Programme\IEToolbar\Amazon Toolbar (Adware.DosPopToolbar) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\Programme\IEToolbar\Amazon Toolbar\tbhelper.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Programme\IEToolbar\Amazon Toolbar\amazon.bmp (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
C:\Programme\IEToolbar\Amazon Toolbar\amazon.crc (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
C:\Programme\IEToolbar\Amazon Toolbar\amazon.dll (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
C:\Programme\IEToolbar\Amazon Toolbar\basis.xml (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
C:\Programme\IEToolbar\Amazon Toolbar\icons.bmp (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
C:\Programme\IEToolbar\Amazon Toolbar\info.txt (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
C:\Programme\IEToolbar\Amazon Toolbar\uninstall.exe (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
C:\Programme\IEToolbar\Amazon Toolbar\update.exe (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
C:\Programme\IEToolbar\Amazon Toolbar\version.txt (Adware.DosPopToolbar) -> Quarantined and deleted successfully.

nochdigger · 15.11.2008, 15:13

Hallo

Zitat:

Ich hab C:\WINDOWS\System32\dicpsapi.dll
bei allen 3 von dir genannten Seiten hochgeladen.
Bei VirScan konnte sie nicht geladen werden.
Bei den anderen 2 kam das heraus:
Virustotal: 0 bytes size received / Se ha recibido un archivo vacio
Jotti: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Hm, arbeite bitte diese Programme durch

Killbox

Installiere das Programm auf deinem Desktop -> http://download.bleepingcomputer.com/spyware/KillBox.exe]Pocket KILLBOX

-Starte es mit Doppelklick
-klick die Funktion -> "delete on reboot"

-kopiere diesen Dateipfad in das weiße Feld unter: Full Path

Code:

ATTFilter

C:\WINDOWS\System32\dicpsapi.dll

-dann auf das rote X klicken, die Frage "... want to reboot" mit Yes beantworten!
-nach dem Neustart diesen Ordner aufsuchen -> C:\!KillBox
und die dort befindliche Datei bitte nochmal auswerten lassen.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Die Logs kannst du in Codetags posten (die Raute in der Antwortbox #)

HTML-Code:

[CODE]Logfiles hier zwischen[/CODE]

MFG

Maxell · 15.11.2008, 17:17

Ok.

Killbox:
Erledigt. Was meinst du mit nochmal auswerten? Habs mal mit Malewarebytes überprüft, wenn du das gemeint haben solltes (sorry):

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1399
Windows 5.1.2600 Service Pack 3

15.11.2008 17:14:31
mbam-log-2008-11-15 (17-14-31).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 1
Laufzeit: 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

ComboFix:

Code:

ATTFilter

ComboFix 08-11-13.01 - Chris 2008-11-15 16:13:25.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.598 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Chris\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML

.
(((((((((((((((((((((((   Dateien erstellt von 2008-10-15 bis 2008-11-15  ))))))))))))))))))))))))))))))
.

2008-11-15 15:58 . 2008-11-15 15:58	<DIR>	d--------	c:\programme\CCleaner
2008-11-15 15:40 . 2008-11-15 15:40	<DIR>	d----c---	C:\!KillBox
2008-11-15 14:09 . 2008-11-15 14:09	<DIR>	d--------	c:\dokumente und einstellungen\Chris\Anwendungsdaten\Malwarebytes
2008-11-15 14:09 . 2008-10-22 16:10	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-15 14:09 . 2008-10-22 16:10	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-11-15 14:08 . 2008-11-15 14:09	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-11-15 14:08 . 2008-11-15 14:08	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-15 10:50 . 2008-11-15 10:50	<DIR>	d--------	c:\programme\Trend Micro
2008-11-15 00:24 . 2008-11-15 00:27	<DIR>	d--------	c:\programme\Spybot - Search & Destroy
2008-11-15 00:24 . 2008-11-15 16:07	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-14 23:18 . 2008-11-14 23:15	143,096	--a------	c:\windows\system32\guard32.dll
2008-11-14 23:00 . 2008-11-14 23:00	<DIR>	d--------	c:\dokumente und einstellungen\Chris\Anwendungsdaten\Comodo
2008-11-14 23:00 . 2008-11-14 23:04	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\comodo
2008-11-14 23:00 . 2008-11-14 23:15	99,856	--a------	c:\windows\system32\drivers\cmdguard.sys
2008-11-14 23:00 . 2008-11-14 23:15	31,504	--a------	c:\windows\system32\drivers\cmdhlp.sys
2008-11-14 22:54 . 2008-11-14 22:54	<DIR>	d--------	c:\programme\Avira
2008-11-14 22:54 . 2008-11-14 22:54	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-11-14 22:47 . 2008-11-14 22:47	249,592	--a------	c:\windows\system32\cssdll32.dll
2008-11-14 22:46 . 2008-11-14 23:03	<DIR>	d--------	c:\programme\COMODO
2008-11-14 21:59 . 2008-10-24 12:21	455,296	---------	c:\windows\system32\dllcache\mrxsmb.sys
2008-11-14 21:58 . 2008-09-04 18:15	1,106,944	---------	c:\windows\system32\dllcache\msxml3.dll
2008-11-14 21:33 . 2008-11-14 22:37	<DIR>	d-a------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-14 21:16 . 2008-11-14 21:16	<DIR>	d--------	c:\programme\Lavasoft
2008-11-14 21:16 . 2008-11-14 21:16	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-11-14 21:15 . 2008-11-14 21:15	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-11-14 20:47 . 2008-11-14 20:47	<DIR>	d--------	c:\programme\Alwil Software
2008-11-14 20:40 . 2008-11-14 20:40	<DIR>	d--------	c:\programme\AxBx
2008-11-14 20:39 . 2008-11-14 20:39	<DIR>	d--------	c:\windows\system32\drivers\Avg(2)
2008-11-14 20:39 . 2008-11-14 21:09	<DIR>	d--------	c:\programme\AVG(2)
2008-11-14 20:39 . 2008-11-14 21:09	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8(2)
2008-11-14 20:39 . 2008-11-14 20:39	10,520	--a------	c:\windows\system32\avgrsstx(2).dll
2008-11-14 17:19 . 2008-11-14 21:09	<DIR>	d----c---	C:\Alles
2008-10-24 12:22 . 2008-10-15 17:35	337,408	---------	c:\windows\system32\dllcache\netapi32.dll
2008-10-17 12:07 . 2008-03-05 14:56	3,786,760	--a------	c:\windows\system32\D3DX9_37.dll
2008-10-17 12:07 . 2007-07-19 17:14	3,727,720	--a------	c:\windows\system32\d3dx9_35.dll
2008-10-17 12:07 . 2007-05-16 15:45	3,497,832	--a------	c:\windows\system32\d3dx9_34.dll
2008-10-17 12:07 . 2007-04-04 17:53	81,768	--a------	c:\windows\system32\xinput1_3.dll
2008-10-17 12:06 . 2007-03-12 15:42	3,495,784	--a------	c:\windows\system32\d3dx9_33.dll
2008-10-17 12:06 . 2006-11-29 12:06	3,426,072	--a------	c:\windows\system32\d3dx9_32.dll
2008-10-17 12:06 . 2006-09-28 15:05	2,414,360	--a------	c:\windows\system32\d3dx9_31.dll
2008-10-17 12:06 . 2005-05-26 14:34	2,297,552	--a------	c:\windows\system32\d3dx9_26.dll
2008-10-17 12:01 . 2008-10-17 12:05	<DIR>	d--------	C:\FIFA 09 Demo

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-15 13:32	---------	d-----w	c:\programme\ICQToolbar
2008-11-14 20:23	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-11-14 20:09	---------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2008-10-24 11:21	455,296	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-17 11:07	---------	d-----w	c:\programme\EA SPORTS
2008-10-03 17:21	---------	d-----w	c:\programme\Picasa2
2008-10-03 16:58	6,066,176	------w	c:\windows\system32\dllcache\ieframe.dll
2008-10-01 14:53	---------	d-----w	c:\programme\NCH Swift Sound
2008-09-24 11:40	---------	d-----w	c:\programme\ICQ6
2008-09-15 15:24	1,846,528	----a-w	c:\windows\system32\win32k.sys
2008-09-15 15:24	1,846,528	------w	c:\windows\system32\dllcache\win32k.sys
2008-09-10 01:13	1,307,648	------w	c:\windows\system32\msxml6.dll
2008-09-10 01:13	1,307,648	------w	c:\windows\system32\dllcache\msxml6.dll
2008-09-08 10:41	333,824	------w	c:\windows\system32\dllcache\srv.sys
2008-09-05 21:31	267,304	------w	c:\windows\system32\dllcache\wgaLogon.dll
2008-09-05 21:30	952,360	------w	c:\windows\system32\dllcache\WgaTray.exe
2008-09-04 17:15	1,106,944	----a-w	c:\windows\system32\msxml3.dll
2008-08-27 08:57	3,593,216	----a-w	c:\windows\system32\dllcache\mshtml.dll
2008-08-25 08:38	13,824	------w	c:\windows\system32\dllcache\ieudinit.exe
2008-08-25 08:37	70,656	----a-w	c:\windows\system32\dllcache\ie4uinit.exe
2008-08-23 05:56	635,848	----a-w	c:\windows\system32\dllcache\iexplore.exe
2008-08-23 05:54	161,792	----a-w	c:\windows\system32\dllcache\ieakui.dll
2007-03-08 11:15	14,730,232	----a-w	c:\programme\DivXInstaller.exe
2006-11-27 19:16	6,051,840	----a-w	c:\programme\icq5_1_german_setup.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2005-02-10 1937408]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-26 68856]
"PhonostarAgent"="c:\programme\phonostar\ps_agent.exe" [2008-07-14 98304]
"PhonostarTimer"="c:\programme\phonostar\ps_timer.exe" [2008-07-14 126976]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-03-22 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-03-22 126976]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 98394]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 688218]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"OdTray.exe"="c:\programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe" [2005-05-18 1015871]
"EPSON Stylus D68 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE" [2005-01-25 98304]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-02-07 71216]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 54832]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-03-28 413696]
"COMODO SafeSurf"="c:\programme\COMODO\SafeSurf\cssurf.exe" [2008-11-14 278264]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"COMODO Firewall Pro"="c:\programme\COMODO\Firewall\cfp.exe" [2008-11-14 1797880]
"COMODO Internet Security"="c:\programme\COMODO\Firewall\cfp.exe" [2008-11-14 1797880]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
"SMSERIAL"="sm56hlpr.exe" [2005-04-26 c:\windows\sm56hlpr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OdysseyClient]
2006-10-17 22:18 106496 c:\windows\system32\odyEvent.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv31"= c:\windows\system32\ir32_32.dll
"vidc.iv32"= c:\windows\system32\ir32_32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=

R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys [2008-11-14 99856]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\DRIVERS\cmdhlp.sys [2008-11-14 31504]
R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};c:\programme\CyberLink\PowerDVD\000.fcl [2006-11-02 15:51 13560]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R3 odysseyIM4;Odyssey Network Agent Miniport;c:\windows\system32\DRIVERS\odysseyIM4.sys [2005-05-18 173056]
S3 Usblink;Usblink Driver;c:\windows\system32\Drivers\ulink.sys [2003-06-02 40060]
.
Inhalt des "geplante Tasks" Ordners

2008-11-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\52zg6syv.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF -: plugin - c:\programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF -: plugin - c:\programme\Picasa2\npPicasa2.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-15 16:24:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD\000.fcl"
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
c:\programme\Lavasoft\Ad-Aware\aawservice.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\COMODO\Firewall\cmdagent.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programme\CyberLink\Shared files\RichVideo.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-15 16:48:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-11-15 15:44:24

Vor Suchlauf: 15 Verzeichnis(se), 12.994.191.360 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 13,856,464,896 Bytes frei

184	--- E O F ---	2008-11-14 23:44:10

Maxell · 15.11.2008, 17:18

Silentrunner:

Code:

ATTFilter

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"NBJ" = ""C:\Programme\Ahead\Nero BackItUp\NBJ.exe"" ["Ahead Software AG"]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"PhonostarAgent" = "C:\Programme\phonostar\ps_agent.exe" ["phonostar"]
"PhonostarTimer" = "C:\Programme\phonostar\ps_timer.exe" ["phonostar"]
"ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite" = "HDAShCut.exe" ["Windows (R) Server 2003 DDK provider"]
"SMSERIAL" = "sm56hlpr.exe" ["Motorola Inc."]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"OdTray.exe" = ""C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"" ["Funk Software, Inc."]
"EPSON Stylus D68 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"" ["SEIKO EPSON CORPORATION"]
"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"LanguageShortcut" = "C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [null data]
"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"COMODO SafeSurf" = ""C:\Programme\COMODO\SafeSurf\cssurf.exe" -s" ["COMODO"]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"COMODO Firewall Pro" = ""C:\Programme\COMODO\Firewall\cfp.exe" -h" ["COMODO"]
"COMODO Internet Security" = ""C:\Programme\COMODO\Firewall\cfp.exe" -h" ["COMODO"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{22BF413B-C6D2-4d91-82A9-A0F997BA588C}\(Default) = "Skype add-on (mastermind)"
  -> {HKLM...CLSID} = "Skype add-on (mastermind)"
                   \InProcServer32\(Default) = "C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL" ["Skype Technologies S.A."]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Google Toolbar Helper"
                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
                   \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll" ["Google Inc."]
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "EpsonToolBandKicker Class"
                   \InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
  -> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
  -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
  -> {HKLM...CLSID} = "MCLiteShellExt Class"
                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
  -> {HKLM...CLSID} = "WPDShServiceObj Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]
<<!>> igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]
<<!>> OdysseyClient\DLLName = "odyEvent.dll" ["Funk Software, Inc."]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
  -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
  -> {HKLM...CLSID} = "MCLiteShellExt Class"
                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Secure Eraser\(Default) = "{2A8DEC8D-934E-4FF8-825A-05A800047649}"
  -> {HKLM...CLSID} = "Secure Eraser"
                   \InProcServer32\(Default) = "C:\Programme\ASCOMP Software\Secure Eraser\SecEraser.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
  -> {HKLM...CLSID} = "MCLiteShellExt Class"
                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
Secure Eraser\(Default) = "{2A8DEC8D-934E-4FF8-825A-05A800047649}"
  -> {HKLM...CLSID} = "Secure Eraser"
                   \InProcServer32\(Default) = "C:\Programme\ASCOMP Software\Secure Eraser\SecEraser.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Default executables:
--------------------

<<!>> HKLM\SOFTWARE\Classes\.com\(Default) = "ComFile"


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

EpsonCreativitySuite\
"Provider" = "FileManager"
"InvokeProgID" = "EpsonCreativitySuite"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\EpsonCreativitySuite\shell\Play\DropTarget\CLSID = "{7720BCC1-4F11-4f17-A80F-0BB69EF9788F}"
  -> {HKLM...CLSID} = (no title provided)
                   \LocalServer32\(Default) = "C:\Programme\EPSON\Creativity Suite\File Manager\eppqcom.exe" [null data]

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
  -> {HKLM...CLSID} = "WPDShextAutoplay"
                   \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]

PDVDPlayCDAudioOnArrival\
"Provider" = "PowerDVD"
"InvokeProgID" = "AudioCD"
"InvokeVerb" = "PlayWithPowerDVD"
HKLM\SOFTWARE\Classes\AudioCD\shell\PlayWithPowerDVD\Command\(Default) = ""C:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%L"" ["CyberLink Corp."]

PDVDPlayDVDMovieOnArrival\
"Provider" = "PowerDVD"
"InvokeProgID" = "DVD"
"InvokeVerb" = "PlayWithPowerDVD"
HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerDVD\Command\(Default) = ""C:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%l"" ["CyberLink Corp."]

PDVDPlayVCDMovieOnArrival\
"Provider" = "PowerDVD"
"InvokeProgID" = "VCD"
"InvokeVerb" = "PlayWithPowerDVD"
HKLM\SOFTWARE\Classes\VCD\shell\PlayWithPowerDVD\Command\(Default) = ""C:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%l"" ["CyberLink Corp."]

Picasa2ImportPicturesOnArrival\
"Provider" = "Picasa2"
"InvokeProgID" = "picasa2.autoplay"
"InvokeVerb" = "import"
HKLM\SOFTWARE\Classes\picasa2.autoplay\shell\import\command\(Default) = "C:\Programme\Picasa2\Picasa2.exe "%1"" ["Google Inc."]

PSASE30ImportPicturesOnArrival\
"Provider" = "Adobe Photoshop Album Starter Edition"
"InvokeProgID" = "PSASE30.autoplay"
"InvokeVerb" = "launch"
HKLM\SOFTWARE\Classes\PSASE30.autoplay\shell\launch\command\(Default) = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\psaproxy.exe"  -v  %1\" ["Adobe Systems Incorporated"]

VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda:%1" ["VideoLAN Team"]

VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1" ["VideoLAN Team"]


Startup items in "Chris" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]
"Critical Battery Alarm Program" -> WARNING -- The file "Critical Battery Alarm Program.job" is corrupt! (no executable)


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
  -> {HKLM...CLSID} = "ICQToolBar"
                   \InProcServer32\(Default) = "C:\Programme\ICQ6Toolbar\ICQToolBar.dll" ["ICQ"]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
  -> {HKLM...CLSID} = "&Google"
                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}"
  -> {HKLM...CLSID} = "EPSON Web-To-Page"
                   \InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
  -> {HKLM...CLSID} = "ICQToolBar"
                   \InProcServer32\(Default) = "C:\Programme\ICQ6Toolbar\ICQToolBar.dll" ["ICQ"]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
  -> {HKLM...CLSID} = "&Google"
                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}" = (no title provided)
  -> {HKLM...CLSID} = "EPSON Web-To-Page"
                   \InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQToolBar"
  -> {HKLM...CLSID} = "ICQToolBar"
                   \InProcServer32\(Default) = "C:\Programme\ICQ6Toolbar\ICQToolBar.dll" ["ICQ"]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
  -> {HKLM...CLSID} = "&Google"
                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_07"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_07"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll" ["Sun Microsystems, Inc."]

{77BF5300-1474-4EC7-9980-D32B190E9B07}\
"ButtonText" = "Skype"
"CLSIDExtension" = "{77BF5300-1474-4EC7-9980-D32B190E9B07}"
  -> {HKLM...CLSID} = "Skype add-on (button)"
                   \InProcServer32\(Default) = "C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL" ["Skype Technologies S.A."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" [file not found]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
  -> {HKLM...CLSID} = "ICQToolBar"
                   \InProcServer32\(Default) = "C:\Programme\ICQ6Toolbar\ICQToolBar.dll" ["ICQ"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
Avira AntiVir Personal - Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Personal - Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
COMODO Internet Security Helper Service, cmdAgent, ""C:\Programme\COMODO\Firewall\cmdagent.exe"" ["COMODO"]
Cyberlink RichVideo Service(CRVS), RichVideo, ""C:\Programme\CyberLink\Shared files\RichVideo.exe"" [empty string]
Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]
ICQ Service, ICQ Service, "C:\Programme\ICQ6Toolbar\ICQ Service.exe" [empty string]
Lavasoft Ad-Aware Service, aawservice, "C:\Programme\Lavasoft\Ad-Aware\aawservice.exe" ["Lavasoft"]
Odyssey Client for Fujitsu Siemens Computers, odClientService, ""C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe"" ["Funk Software, Inc."]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
EPSON Stylus D68 Series 2KMonitor5E\Driver = "E_FLMAAE.DLL" ["SEIKO EPSON CORPORATION"]


---------- (launch time: 2008-11-15 16:54:10)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 42 seconds, including 15 seconds for message boxes)

Maxell · 15.11.2008, 17:20

Filelist:

Code:

ATTFilter

Datenträger in Laufwerk C: ist System
 Volumeseriennummer: 6457-FB20

 Verzeichnis von C:\

15.11.2008  16:48            13.158 ComboFix.txt
15.11.2008  16:23     1.063.440.384 hiberfil.sys
15.11.2008  16:23     1.598.029.824 pagefile.sys
09.10.2008  12:38           251.712 ntldr

Code:

ATTFilter

Datenträger in Laufwerk C: ist System
 Volumeseriennummer: 6457-FB20

 Verzeichnis von C:\WINDOWS\system32

15.11.2008  16:24             1.158 wpa.dbl
14.11.2008  23:15           143.096 guard32.dll
14.11.2008  22:47           249.592 cssdll32.dll
14.11.2008  21:35            53.098 perfc009.dat
14.11.2008  21:35            63.976 perfc007.dat
14.11.2008  21:35           391.574 perfh007.dat
14.11.2008  21:35           380.684 perfh009.dat
14.11.2008  21:35           897.778 PerfStringBackup.INI
14.11.2008  20:47             3.002 CONFIG.NT
14.11.2008  20:39            10.520 avgrsstx(2).dll
04.11.2008  01:10        17.318.336 MRT.exe
15.10.2008  18:10           125.320 FNTCACHE.DAT
15.10.2008  17:35           337.408 netapi32.dll
12.10.2008  14:14            16.832 amcompat.tlb
12.10.2008  14:14            23.392 nscompat.tlb
10.10.2008  13:18                90 spupdwxp.log
03.10.2008  17:58         6.066.176 ieframe.dll

Code:

ATTFilter

Datenträger in Laufwerk C: ist System
 Volumeseriennummer: 6457-FB20

 Verzeichnis von C:\WINDOWS\Prefetch

15.11.2008  16:56            52.168 WINRAR.EXE-3588DFE8.pf
15.11.2008  16:55            17.670 NOTEPAD.EXE-336351A9.pf
15.11.2008  16:55            18.538 VERCLSID.EXE-3667BD89.pf
15.11.2008  16:54            83.824 WMIPRVSE.EXE-28F301A9.pf
15.11.2008  16:49           113.554 FIREFOX.EXE-1D57670A.pf
15.11.2008  16:44            53.570 IMAPI.EXE-0BF740A4.pf
15.11.2008  16:44            79.862 EXPLORER.EXE-082F38A9.pf
15.11.2008  16:26            90.110 WUAUCLT.EXE-399A8E72.pf
15.11.2008  16:26            12.518 PS_TIMER.EXE-0EADA93A.pf
15.11.2008  16:26         1.855.598 NTOSBOOT-B00DFAAD.pf
15.11.2008  15:56           113.652 WINWORD.EXE-0AEA99D4.pf
15.11.2008  15:45            96.540 SVCHOST.EXE-3530F672.pf
15.11.2008  15:42            20.794 LOGONUI.EXE-0AF22957.pf
15.11.2008  15:18            76.040 DFRGNTFS.EXE-269967DF.pf
15.11.2008  15:18            18.030 DEFRAG.EXE-273F131E.pf
15.11.2008  15:18           994.258 Layout.ini
15.11.2008  14:09            23.852 REGSVR32.EXE-25EEFE2F.pf
15.11.2008  13:16           157.692 VLC.EXE-29851A71.pf
15.11.2008  12:47            46.552 AD-AWARE.EXE-2B8B58D1.pf
15.11.2008  12:47            70.610 DWWIN.EXE-30875ADC.pf
15.11.2008  12:47           147.086 DUMPREP.EXE-1B46F901.pf
15.11.2008  12:47            20.440 TASKMGR.EXE-20256C55.pf
15.11.2008  11:58            15.404 RUNDLL32.EXE-451FC2C0.pf
15.11.2008  11:34            48.758 DIVXSM.EXE-3407AB62.pf
15.11.2008  11:32            73.382 NERO.EXE-32314E31.pf
15.11.2008  11:18            68.836 NEROSTARTSMART.EXE-280EC446.pf
15.11.2008  10:33            22.226 OSA9.EXE-07EC1F61.pf
14.11.2008  23:05            82.672 ICQ.EXE-3425F561.pf
14.11.2008  22:38            30.490 AVWSC.EXE-2F6C3C95.pf
14.11.2008  22:36            48.420 AVCENTER.EXE-37584419.pf
14.11.2008  22:35            13.606 PCTSAUXS.EXE-248177B2.pf
14.11.2008  22:35            62.826 PCTSTRAY.EXE-19D5DE12.pf
14.11.2008  22:35            78.150 PCTSSVC.EXE-0922220E.pf
14.11.2008  22:35            69.662 PCTSGUI.EXE-1D6925CB.pf
14.11.2008  22:32            17.742 DRWTSN32.EXE-2B4B52AC.pf
14.11.2008  22:32            60.962 UPDATE.EXE-0C3CBDEF.pf
14.11.2008  22:24            26.830 RUNDLL32.EXE-1687FC74.pf
14.11.2008  21:57            46.248 ODCLIENTMGR.EXE-15F7DEB5.pf
14.11.2008  21:57            11.528 ODTRAY.EXE-2A86AEA3.pf
14.11.2008  21:34            33.356 WMIADAP.EXE-2DF425B2.pf
14.11.2008  21:23            31.482 GOOGLEUPDATER.EXE-36CE3796.pf
14.11.2008  21:16            23.316 LSUPDATEMANAGER.EXE-15358094.pf
14.11.2008  21:16            21.744 AAWLIC.EXE-0B74EF31.pf
14.11.2008  21:16            24.130 AAWSERVICE.EXE-1E1DE6D1.pf
14.11.2008  21:15           106.264 MSIEXEC.EXE-2F8A8CAE.pf
14.11.2008  21:15            12.294 AAW2008_11N.EXE-17032728.pf
14.11.2008  21:14            14.582 RUNDLL32.EXE-123FE521.pf
14.11.2008  21:14            52.374 AVSCAN.EXE-05AECC0E.pf
14.11.2008  21:13            13.628 PDVDSERV.EXE-15757141.pf
14.11.2008  21:13            10.582 JUSCHED.EXE-07D7A15E.pf
14.11.2008  21:13            14.836 SYNTPENH.EXE-3967AE36.pf
14.11.2008  21:13            13.442 MSMSGS.EXE-32066BA5.pf
14.11.2008  21:13            10.730 SYNTPLPR.EXE-0AB61C3B.pf
14.11.2008  21:13            10.180 IGFXTRAY.EXE-3391579A.pf
14.11.2008  21:13            16.050 HKCMD.EXE-1D05234B.pf
14.11.2008  21:13            14.586 SM56HLPR.EXE-354818CA.pf
14.11.2008  21:13            10.982 CTFMON.EXE-0E17969B.pf
14.11.2008  21:13             6.754 NEROCHECK.EXE-092C6DFA.pf
14.11.2008  21:13            12.952 HDASHCUT.EXE-1B000CA9.pf
14.11.2008  17:10            21.090 RUNDLL32.EXE-319B095C.pf
14.11.2008  17:09            36.106 WGATRAY.EXE-0ED38BED.pf
14.11.2008  17:09            18.330 USERINIT.EXE-30B18140.pf
14.11.2008  16:42            15.958 RUNDLL32.EXE-2916863D.pf
14.11.2008  16:41            79.454 UPDATE.EXE-13D57D76.pf
14.11.2008  16:41            19.322 PREUPD.EXE-358AA1C1.pf
10.11.2008  22:26             8.596 MSCONFIG.EXE-35E4DAE9.pf
10.11.2008  22:22            12.528 WINLOGON.EXE-32C57D49.pf
10.11.2008  22:22            55.076 CSRSS.EXE-12B63473.pf
10.11.2008  21:43            52.066 UNZIP.EXE-32783F55.pf
10.11.2008  21:42            43.780 AVCONFIG.EXE-3B8B9C26.pf
10.11.2008  21:41            41.480 SDSETUP.TMP-3AEA457E.pf
10.11.2008  21:41            15.400 SDSETUP.EXE-24A8568F.pf
10.11.2008  21:32            59.904 AVNOTIFY.EXE-22AE9451.pf
10.11.2008  21:25            29.054 GUARDGUI.EXE-1BD45C30.pf
10.11.2008  21:24            30.066 SETUP_WM.EXE-19AC5A9B.pf
10.11.2008  21:24            93.962 WMPLAYER.EXE-09969333.pf
10.11.2008  21:08            51.952 SSMYPICS.SCR-01C62024.pf
10.11.2008  20:32           256.846 HELPSVC.EXE-2878DDA2.pf
10.11.2008  18:05            18.370 E_FARNAAE.EXE-0B452111.pf
10.11.2008  18:05            35.504 E_FAMTAAE.EXE-0CD55C71.pf
10.11.2008  18:05            17.344 E_FBSRAAE.EXE-02DB0F43.pf
10.11.2008  18:05            64.582 ACRORD32.EXE-153330F0.pf
10.11.2008  18:04            70.820 ACRORD32INFO.EXE-19D979CC.pf
10.11.2008  15:55            80.264 GOOGLEEARTH.EXE-0978F2AD.pf
10.11.2008  15:22            39.318 AVGNT.EXE-36CA4640.pf
09.11.2008  18:03            19.852 WAVEPAD.EXE-0E37EF25.pf
09.11.2008  17:26            62.994 SNDVOL32.EXE-383480B7.pf
09.11.2008  14:25            61.056 SNDREC32.EXE-309776A8.pf
08.11.2008  20:06            72.482 FIFA09.EXE-025F97D2.pf
07.11.2008  22:35           128.848 EXCEL.EXE-0D2E9C6C.pf
06.11.2008  23:33            65.370 SOFTWAREUPDATE.EXE-1E90DF1F.pf
06.11.2008  23:33            18.296 DLLHOST.EXE-205D880D.pf
06.11.2008  22:04            36.476 ANTIVIR_WORKSTATION_WIN7U703_-2D5DFDC0.pf
06.11.2008  22:03            32.570 PICASAWEB-CURRENT-SETUP.EXE-2B33797E.pf
06.11.2008  22:03            31.982 PICASAUPDATE_876.EXE-11B2C411.pf
06.11.2008  22:03            29.414 PICASAUPDATE_145.EXE-31AF0AB3.pf
06.11.2008  22:00            69.198 HTMLSTUDIO.EXE-07C296C2.pf
06.11.2008  21:59            12.214 HTMLSTUDIO.EXE-130ABC1C.pf
06.11.2008  21:59            19.074 INS2D4.TMP-140C16BD.pf
06.11.2008  18:22            58.318 FIFA2002.EXE-2272F0E2.pf
06.11.2008  18:22            19.276 AUTORUN.EXE-055703AF.pf
06.11.2008  17:59            51.264 ADOBEUPDATER.EXE-370FC314.pf
06.11.2008  16:37            30.774 NTVDM.EXE-1A10A423.pf
05.11.2008  22:34            29.186 LM98FREE.EXE-0FF3BDD2.pf
05.11.2008  20:51            61.876 EXPORTCONTROLLER.EXE-2AE60AF2.pf
05.11.2008  20:51            94.660 QUICKTIMEPLAYER.EXE-1683395B.pf
04.11.2008  16:04            58.350 HELPCTR.EXE-3862B6F5.pf
04.11.2008  16:04            18.988 MSINFO32.EXE-20B2F2A1.pf
02.11.2008  19:07            71.504 RUNDLL32.EXE-2576181F.pf
02.11.2008  19:06            16.246 RUNDLL32.EXE-49A346FD.pf
02.11.2008  13:14            72.568 GP5.EXE-27A0382F.pf
31.10.2008  21:58            22.114 RUNDLL32.EXE-12E27DD0.pf
31.10.2008  19:20            84.576 CLEANMGR.EXE-1F86EA8E.pf
30.10.2008  20:24            28.634 MSPAINT.EXE-11CBB631.pf
30.10.2008  20:22            52.034 MSOHELP.EXE-1EDF2DDC.pf
30.10.2008  20:20            20.092 AGENTSVR.EXE-002E45AB.pf
28.10.2008  21:13            73.484 IEXPLORE.EXE-2CA9778D.pf
27.10.2008  21:13            33.536 MULTIDECODER.EXE-03536F86.pf
24.10.2008  14:26            85.568 UPDATE.EXE-10631781.pf
24.10.2008  12:25            18.224 SCHED.EXE-236A886F.pf
24.10.2008  12:24            49.772 AVGUARD.EXE-3490B18B.pf
21.10.2008  18:22            39.722 OUTLOOK.EXE-179DEC04.pf
19.10.2008  19:04            22.958 RUNDLL32.EXE-13F6A0BF.pf
19.10.2008  19:03            24.026 RUNDLL32.EXE-251BCF56.pf
19.10.2008  18:20            15.962 QUIZ.EXE-2D836186.pf
19.10.2008  18:20            17.806 FIFA2002.EXE-029488A4.pf
17.10.2008  12:06             6.312 DXDLLREG.EXE-087FAF0B.pf
17.10.2008  12:05            13.472 EASETUP.EXE-060B7B2A.pf
17.10.2008  12:05            15.350 AUTORUN.EXE-15FD24E5.pf
17.10.2008  12:01            39.278 FIFA09_DEMO_EU.EXE-223A21C3.pf
             130 Datei(en)      8.567.892 Bytes
               0 Verzeichnis(se), 13.862.006.784 Bytes frei

Code:

ATTFilter

Datenträger in Laufwerk C: ist System
 Volumeseriennummer: 6457-FB20

 Verzeichnis von C:\WINDOWS

15.11.2008  16:24         1.875.687 WindowsUpdate.log
15.11.2008  16:24               274 system.ini
15.11.2008  16:23                 0 0.log
15.11.2008  16:23             2.048 bootstat.dat
15.11.2008  16:22                50 wiaservc.log
15.11.2008  16:22               214 wiadebug.log
15.11.2008  16:12            32.602 SchedLgU.Txt
08.11.2008  16:42            54.156 QTFont.qfn
31.10.2008  21:20               116 NeroDigital.ini
27.10.2008  20:11            12.862 EPISMG00.SWB
17.10.2008  14:24             1.650 boxworld.ini
06.10.2008  14:07             1.409 QTFont.for

Code:

ATTFilter

Datenträger in Laufwerk C: ist System
 Volumeseriennummer: 6457-FB20

 Verzeichnis von C:\WINDOWS\tasks

15.11.2008  16:23                 6 SA.DAT
06.11.2008  23:33               276 AppleSoftwareUpdate.job

Code:

ATTFilter

Datenträger in Laufwerk C: ist System
 Volumeseriennummer: 6457-FB20

 Verzeichnis von C:\DOKUME~1\Chris\LOKALE~1\Temp

15.11.2008  16:57           132.116 filelist.txt
15.11.2008  16:49                 0 etilqs_jNgz0rvKyWd05JM2wS6o
               2 Datei(en)        132.116 Bytes
               0 Verzeichnis(se), 13.862.002.688 Bytes frei

Code:

ATTFilter

Datenträger in Laufwerk C: ist System
 Volumeseriennummer: 6457-FB20

 Verzeichnis von C:\WINDOWS\temp

nochdigger · 15.11.2008, 18:19

Hallo

Zitat:

Killbox:
Erledigt. Was meinst du mit nochmal auswerten? Habs mal mit Malewarebytes überprüft, wenn du das gemeint haben solltes (sorry):

Neee ich hatte nochmal ne Onlineauswertung im Sinn

Wie stehts mit dem Problem?

Die Logs werde ich mir noch genauer ansehen (heute Nacht oder morgen)

MFG

Maxell · 15.11.2008, 18:55

Du verwirrst mich.
Ich versteh Onleinauswertung genausowenig wie das andere. Mit was für nem Programm denn?

Also Antivir hat den Trojaner auch weiterhin angezeigt, wenn auch nich mehr so oft. Keine Ahnung ob das jetzt ne gute Nachricht ist.

nochdigger · 16.11.2008, 14:18

Hallo

Zitat:

Du verwirrst mich.

Du bist nicht allein

Zitat:

Ich versteh Onleinauswertung genausowenig wie das andere. Mit was für nem Programm denn?

Damit habe ich das hochladen der Datei bei Virustotal, Virscanorg oder Jotti gemeint.
Bei der Gelegenheit werte bitte diese Dateien mit aus
(müssten gesucht werden)
GP5.EXE
INS2D4.TMP

Zitat:

Also Antivir hat den Trojaner auch weiterhin angezeigt, wenn auch nich mehr so oft.

Wo wird der Schädling gemeldet bitte genaue Pfadangabe (Pfad/Dateiname).

Habt ihr Antivir von der Herstellerseite runtergeladen?

MFG

Maxell · 16.11.2008, 16:37

Hallo,

ok jetzt hab ichs auch verstanden.

Das hier kam raus bei der Killbox Datei:

http://www.virustotal.com/de/analisi...dfc54ef116923e

http://www.virscan.org/report/245a6f...67d79f03b.html

Die anderen 2 Dateine GP5.EXE und INS2D4.TMP find ich nicht.
Wobei GP5 Guitar Pro 5 ist und eigentlich ungefährlich sein sollte.
Ich hab aber GP5 mal da hochgeladen und dabei kam dann das raus:

Code:

ATTFilter

Die Datei wurde bereits analysiert:
MD5: 	98dc124872bf52d65c8caaf2429ea008
First received: 	-
Datum 	2008.05.19 02:48:19 (CET) [>181D]
Ergebnisse 	0/32
Permalink: 	analisis/646e61ad1d2286faa60b69487d2fa99d

Gemeldet wird der Schädling in

C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP265\A0081500.dll

und zwar mehrfach, wobei der hintere Teil "A0081500" variiert.

C:\ComboFix\N_\26712

C:\WINDOWS\system32\dicpsapi.dll (der kommt mehrfach vor)

Allerdings waren das jetzt die, die ich in Quarantäne verschoben hab.
Ich hab jetzt nochmal n Durchlauf machen lassen von Antivir und da waren 5 Funde, die ich glöscht hab.
Auszug aus dem Report:

Code:

ATTFilter

Beginne mit der Suche in 'C:\' <System>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP265\A0081500.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP265\A0081501.dll
    [FUND]      Ist das Trojanische Pferd TR/Killav.28714
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP265\A0081502.exe
    [FUND]      Ist das Trojanische Pferd TR/Drop.Softomat.AN
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP265\A0081503.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP265\A0081505.dll
    [FUND]      Ist das Trojanische Pferd TR/Hijack.AE.2
    [HINWEIS]   Die Datei wurde gelöscht.

Ansonsten kamen heute noch keine Warnhinweise.

Runtergeladen hab ich Antivir von der Herstellerseite (http://www.free-av.de/de/index.html) und dann als Downloadpartner Chip Online

MfG

nochdigger · 16.11.2008, 17:21

Hallo

Zitat:

ok jetzt hab ichs auch verstanden.

Du hast das Log der Killbox auswerten lassen nicht die gelöschte Datei

Deaktiviere bitte die Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.
Dann Antivir updaten und im abgesicherten Modus eine kompletten scan hinlegen, anschließend berichte bitte ob etwas gefunden wurde.

MFG

Maxell · 17.11.2008, 17:17

Und ein erneutes hallo

Zitat:

Du hast das Log der Killbox auswerten lassen nicht die gelöschte Datei

Ja, klingt dämlich, aber du hast geschrieben ich soll die Datei in C:\!KillBox auswerten lassen. Und da war nur der Log drin.

Wie dem auch sein, das andere hab ich gemacht und im abgesicherten Modus wurde nix gefunden, nur eine Warnung:

Code:

ATTFilter

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Ist es normal, dass Antivir automatisch nochmal nen Suchlauf startet, als ich wieder in den normalen Modus gewechselt hab?

Gruß

Edit: Auch die Systemprüfung im normalen Modus ergab keine Funde.
Heißt das jetzt ich bin befreit?

nochdigger · 17.11.2008, 18:18

Hallo

Zitat:

Ja, klingt dämlich, aber du hast geschrieben ich soll die Datei in C:\!KillBox auswerten lassen. Und da war nur der Log drin.

OK, dann ist es so.

Zitat:

Ist es normal, dass Antivir automatisch nochmal nen Suchlauf startet, als ich wieder in den normalen Modus gewechselt hab?

Ist bei mir auch der Fall.

Zitat:

Wie dem auch sein, das andere hab ich gemacht und im abgesicherten Modus wurde nix gefunden, nur eine Warnung:

Diese Warnung ist i.O., wenn nix mehr angemeckert wird, dann würde ich sagen lass dein System zum Abschluss bitte hier überprüfen
Free Virus Scan - Kaspersky Lab
und
BitDefender Online Scanner - Free Online Virus Scan

Poste bitte noch ein HijackThis Log, es muss noch ein wenig was aufgeräumt werden.

MFG

Maxell · 17.11.2008, 20:58

So, Kaspersky Lab ergab keine Treffer.
Bei BitDefender war ich mir nicht ganz sicher, wie ich das jetzt mach bzw. was ich da erst bestellen muss, um den Download starten zu können (*verwirrt*)

Das ist dann noch das HijackThis Logergebnis:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:52:11, on 17.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\COMODO\SafeSurf\cssurf.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Programme\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

--
End of file - 9301 bytes

Probleme mit TR/Hijack.AE.2

Log-Analyse und Auswertung: Probleme mit TR/Hijack.AE.2