Trojaner? Nicht sicher...

Viren-Hasser · 19.11.2008, 20:33

Hallo zusammen!

Mein AntiVir zeigte mir vor kurzer Zeit einen Trojaner an (Fehlermeldung: Die Datei 'C:\Temp\dghue2.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Exchange.1' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '498b1a65.qua' verschoben!
und
Die Datei 'C:\System Volume Information\_restore{BFC5E466-0D66-4588-8604-82D5EF9226E1}\RP81\A0031892.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.DF.20' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49531a27.qua' verschoben!
außerdem:
Die Datei 'C:\Programme\ICQLite\DelFiles.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.DF.20' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '498f161f.qua' verschoben!)
und mein PC läuft auch mit verlangsamter Geschiwindigkeit. Hier der HijackThis Log-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:19:15, on 19.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Programme\Cyberlink\Shared Files\brs.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe
C:\Programme\SweetIM\Messenger\SweetIM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl8] C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programme\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219079849788
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe

--
End of file - 8562 bytes

Ich würde mich über eine Antwort freuen!

Allen noch einen schönen Abend!
MfG,
Viren-Hasser

Silent sharK · 19.11.2008, 21:07

Hallo,

arbeite mal bitte folgende zwei Punkte durch:

1.)
MalwareBytes Anti-Malware :

Lade dir Malwarebytes Anti-Malware
Folge den Anweisungen der Anleitung
Lösche alles in der Quarantäne:

poste das entstandene Logfile

2.)
ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Viren-Hasser · 20.11.2008, 17:13

Hallo!
Vielen Dank erst einmal!

Also, hier das Logfile von Malwarebytes Anti-Malware:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1412
Windows 5.1.2600 Service Pack 3

20.11.2008 15:44:37
mbam-log-2008-11-20 (15-44-37).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 66081
Laufzeit: 20 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Save (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\Save\ACM.dll (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\ffext.mod (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\save.cch (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\save.db (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\Save.exe (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\save.htm (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\SaveUninst.exe (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\store.db (Adware.WhenUSave) -> Quarantined and deleted successfully.

Dann habe ich leider Mist gebaut

Habe nämlich erst ComboFix und dann CCleaner laufen lassen. Bisher hat mein PC noch nichts gesagt, aber ich weiß ja nicht, inwiefern sich das auswirken wird

Hier das Ergebnis von ComboFix:

ComboFix 08-11-19.08 - User 2008-11-20 16:35:32.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.627 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\temp\1cb
c:\temp\1cb\syscheck.log
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-20 bis 2008-11-20 ))))))))))))))))))))))))))))))
.

2008-11-19 21:16 . 2008-11-19 21:16 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-19 21:16 . 2008-11-19 21:16 <DIR> d----c--- c:\dokumente und einstellungen\User\Anwendungsdaten\Malwarebytes
2008-11-19 21:16 . 2008-11-19 21:16 <DIR> d----c--- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2008-11-19 21:16 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-19 21:16 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-17 17:57 . 2008-11-17 17:57 <DIR> d-------- C:\Phenomedia AG
2008-11-16 22:48 . 2004-08-04 13:00 221,184 --a------ c:\windows\system32\wmpns.dll
2008-11-16 15:54 . 2008-11-16 15:54 <DIR> d-------- c:\windows\system32\de-de
2008-11-16 15:54 . 2008-11-16 15:54 <DIR> d-------- c:\windows\system32\de
2008-11-16 15:54 . 2008-11-16 15:54 <DIR> d-------- c:\windows\system32\bits
2008-11-16 15:54 . 2008-11-16 15:54 <DIR> d-------- c:\windows\l2schemas
2008-11-15 17:03 . 2008-11-15 17:03 <DIR> d-------- c:\programme\PDFCreator Toolbar
2008-11-15 17:03 . 2008-11-15 17:03 253,139 --a------ c:\windows\PDFCreator_Toolbar_Uninstaller_6656.exe
2008-11-15 17:02 . 2008-11-15 17:03 <DIR> d-------- c:\programme\PDFCreator
2008-11-15 17:02 . 2004-03-09 01:00 662,288 --a------ c:\windows\system32\MSCOMCT2.OCX
2008-11-15 17:02 . 1998-06-24 01:00 137,000 --a------ c:\windows\system32\MSMAPI32.OCX
2008-11-15 17:02 . 2001-10-28 17:42 116,224 --a------ c:\windows\system32\pdfcmnnt.dll
2008-11-15 17:02 . 1998-07-06 18:55 64,512 --a------ c:\windows\system32\MSCC2DE.DLL
2008-11-15 17:02 . 1998-07-06 01:00 23,552 --a------ c:\windows\system32\MSMPIDE.DLL
2008-11-12 18:14 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-12 18:14 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-07 18:43 . 2008-11-10 16:56 <DIR> d-------- C:\DVDVideoSoft
2008-11-07 18:23 . 2008-11-07 18:23 <DIR> d-------- c:\programme\AskBarDis
2008-11-07 18:22 . 2008-11-07 18:23 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-11-07 18:22 . 2008-11-07 18:22 <DIR> d-------- c:\programme\DVDVideoSoft
2008-11-07 18:04 . 2008-11-07 18:04 <DIR> d-------- c:\programme\Xilisoft
2008-11-07 17:22 . 2008-11-07 17:22 <DIR> d----c--- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NCH Software
2008-11-07 17:21 . 2008-11-07 17:22 <DIR> d-------- c:\programme\NCH Software
2008-11-07 17:20 . 2008-11-07 17:20 <DIR> d----c--- c:\dokumente und einstellungen\User\Anwendungsdaten\gtk-2.0
2008-11-07 16:21 . 2008-11-07 16:21 <DIR> d----c--- c:\dokumente und einstellungen\User\Anwendungsdaten\avidemux
2008-11-07 16:20 . 2008-11-07 16:21 <DIR> d-------- c:\programme\Avidemux 2.4
2008-11-07 16:15 . 2008-11-07 16:20 <DIR> d-------- c:\programme\Free Video Converter
2008-11-07 16:08 . 2008-11-07 16:12 <DIR> d-------- c:\programme\GXTranscoder v2
2008-11-07 16:08 . 2008-11-07 16:12 118,116 --a------ c:\windows\GXTranscoder v2 Uninstaller.exe
2008-11-06 18:09 . 2008-11-06 18:09 268 --ah----- C:\sqmdata02.sqm
2008-11-06 18:09 . 2008-11-06 18:09 244 --ah----- C:\sqmnoopt02.sqm
2008-10-28 21:45 . 2008-10-28 21:45 <DIR> d-------- c:\programme\MSXML 6.0
2008-10-25 15:01 . 2008-10-25 15:01 <DIR> d----c--- c:\dokumente und einstellungen\User\Anwendungsdaten\Sony
2008-10-25 15:01 . 2008-10-25 15:01 <DIR> d----c--- c:\dokumente und einstellungen\User\Anwendungsdaten\Publish Providers
2008-10-25 14:56 . 2008-10-25 14:56 <DIR> d----c--- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Sony
2008-10-25 14:55 . 2008-10-25 14:55 <DIR> d-------- c:\programme\Sony
2008-10-25 14:54 . 2008-10-25 14:54 <DIR> d-------- c:\programme\MSBuild
2008-10-25 14:50 . 2008-10-25 14:50 <DIR> d-------- c:\windows\system32\XPSViewer
2008-10-25 14:50 . 2008-10-25 14:50 <DIR> d-------- c:\programme\Reference Assemblies
2008-10-25 14:49 . 2006-06-29 12:07 14,048 --------- c:\windows\system32\spmsg2.dll
2008-10-25 14:42 . 2008-10-25 14:42 <DIR> d-------- c:\programme\Sony Setup
2008-10-25 14:42 . 2008-10-25 14:42 <DIR> d----c--- c:\dokumente und einstellungen\User\Anwendungsdaten\Sony Setup
2008-10-24 15:20 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-21 16:07 . 2008-10-21 16:08 <DIR> d-------- c:\windows\uninstall\ComTuneDemo
2008-10-21 16:07 . 2008-10-21 16:07 <DIR> d-------- c:\windows\uninstall
2008-10-21 16:07 . 2008-10-21 17:08 <DIR> d-------- c:\programme\ComTuneDemo
2008-10-21 15:52 . 2008-10-21 15:52 <DIR> d----c--- c:\dokumente und einstellungen\User\Anwendungsdaten\Sibelius Software

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-18 19:21 --------- d-----w c:\programme\ICQLite
2008-11-17 16:57 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-07 16:58 --------- d-----w c:\programme\Kate's Video Converter
2008-10-28 17:11 --------- d-----w c:\programme\Latein-Wörterbuch
2008-10-26 15:10 --------- dc--a-w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Temp
2008-10-25 13:56 --------- d-----w c:\programme\VstPlugins
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-21 13:10 --------- dc----w c:\dokumente und einstellungen\User\Anwendungsdaten\ICQ
2008-10-18 11:29 18,312 -c--a-w c:\dokumente und einstellungen\User\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-10-16 15:22 --------- d-----w c:\programme\Packet Tracer 5.0
2008-10-12 15:19 --------- d-----w c:\programme\VDOWNLOADER
2008-10-08 08:04 --------- d-----w c:\programme\Microsoft CAPICOM 2.1.0.2
2008-10-07 20:15 --------- dc----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\SweetIM
2008-10-07 20:15 --------- d-----w c:\programme\SweetIM
2008-10-07 13:03 --------- d-----w c:\programme\Windows Live
2008-10-07 13:02 --------- dcsh--w c:\programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-10-07 12:59 --------- dc----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\WLInstaller
2008-10-07 12:50 --------- dc----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Logitech
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-25 16:44 --------- dc----w c:\dokumente und einstellungen\User\Anwendungsdaten\CyberLink
2008-09-25 16:28 --------- dc----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\CyberLink
2008-09-25 16:28 --------- d-----w c:\programme\Gemeinsame Dateien\CyberLink
2008-09-25 16:28 --------- d-----w c:\programme\CyberLink
2008-09-25 16:26 353,576 ----a-w c:\windows\system32\msvcr71.dll
2008-09-25 16:26 29,480 ----a-w c:\windows\system32\msxml3a.dll
2008-09-25 15:31 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-09-24 12:46 --------- d-----w c:\programme\ICQ6
2008-09-23 18:11 --------- dc----w c:\dokumente und einstellungen\User\Anwendungsdaten\PCF-VLC
2008-09-23 17:40 --------- dc----w c:\dokumente und einstellungen\User\Anwendungsdaten\Apple Computer
2008-09-23 17:19 --------- dc----w c:\dokumente und einstellungen\User\Anwendungsdaten\Participatory Culture Foundation
2008-09-23 17:18 --------- d-----w c:\programme\Participatory Culture Foundation
2008-09-23 15:51 --------- dc----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer
2008-09-23 15:50 --------- dc----w c:\dokumente und einstellungen\User\Anwendungsdaten\ArcSoft
2008-09-21 14:17 --------- d-----w c:\programme\Steinberg
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:13 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-20 05:08 671,744 ----a-w c:\windows\system32\wininet.dll
2008-07-21 21:10 57,240 -c--a-w c:\dokumente und einstellungen\Internet\Anwendungsdaten\wklnhst.dat
2007-12-23 11:39 88,432 -c--a-w c:\dokumente und einstellungen\Internet\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-07-22 11:44 208 -c--a-w c:\dokumente und einstellungen\Johanna Schule\Anwendungsdaten\wklnhst.dat
2007-04-17 15:56 72,000 -c--a-w c:\dokumente und einstellungen\Johanna Schule\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-08-10 14:03 6,275,816 -c--a-w c:\programme\mozilla firefox\plugins\ScorchPDFWrapper.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2008-09-07 173368]

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 10:32 279944 --a------ c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2008-09-07 17:06 1172792 --a------ c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-09-07 1172792]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-09-07 1172792]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]
"MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-12-28 1454080]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-03 344064]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"RemoteControl8"="c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240]
"PDVD8LanguageShortcut"="c:\programme\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"BDRegion"="c:\programme\Cyberlink\Shared Files\brs.exe" [2008-06-27 91432]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 284184]
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam10\QuickCam10.exe" [2006-11-15 746520]
"LVCOMSX"="c:\programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe" [2006-11-15 244512]
"SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2008-09-28 111928]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-09-25 110592]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\\Dokumente und Einstellungen\\All Users.WINDOWS\\Anwendungsdaten\\TuneUp Software\\TuneUp WinStyler\\WinStyler\\tu_logonui.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\CyberLink\\PowerDVD8\\PowerDVD8.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Packet Tracer 5.0\\bin\\PacketTracer5.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\DRIVERS\avgntmgr.sys [2008-08-18 22336]
R1 Asapi;Asapi;c:\windows\system32\drivers\Asapi.sys [2008-09-21 10240]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2008-08-18 45376]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};\??\c:\programme\CyberLink\PowerDVD8\000.fcl [2008-06-27 15:50:32 61424]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2008-09-13 222456]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2008-08-18 265088]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2008-08-18 4352]
S4 hpt3xx;hpt3xx; []

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-11-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl

.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\yueicjhb.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://search.sweetim.com/search.asp?src=2&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de

fficial
FF -: plugin - c:\programme\Mozilla Firefox\plugins\np_gp.dll
FF -: plugin - c:\programme\mozilla firefox\plugins\np_gp.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\NPAdbESD.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npstrlnk.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-20 16:38:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\windows\TEMP\mc21.tmp"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD8\000.fcl"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: c:\windows\system32\winlogon.exe
-> c:\programme\TuneUp WinStyler\WinStylerThemeHelper.dll

Prozess: c:\windows\system32\lsass.exe
-> c:\programme\TuneUp WinStyler\WinStylerThemeHelper.dll

Prozess: c:\windows\system32\csrss.exe
-> c:\programme\TuneUp WinStyler\WinStylerThemeHelper.dll
.
Zeit der Fertigstellung: 2008-11-20 16:40:25
ComboFix-quarantined-files.txt 2008-11-20 15:39:50

Vor Suchlauf: 20 Verzeichnis(se), 39.576.907.776 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 40,004,706,304 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

232 --- E O F --- 2008-11-16 21:44:16

Vielen Dank nochmal für die schnelle und super Antwort!!
LG,
Viren-Hasser

Viren-Hasser · 22.11.2008, 15:15

Hallo!
Also seit meinem letzten Eintrag läuft eigentlich alles soweit gut, keine Störungen aufgetreten. Weiß aber aus Erfahrung, dass das oft nicht viel heißen will... könnte sich das vielleicht jemand ansehen und mir kurz antworten?

Vielen herzlichen Dank schon mal für die Hilfe bisher!
MfG,
Viren-Hasser

Silent sharK · 22.11.2008, 20:57

Sieht soweit gut aus, erstell bitte noch ein frisches HijackThis Logfile.

Trojaner? Nicht sicher...

Log-Analyse und Auswertung: Trojaner? Nicht sicher...