Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Zlob, Virtumonde - Trojaner lassen sich nicht löschen

Zlob, Virtumonde - Trojaner lassen sich nicht löschen


Log-Analyse und Auswertung: Zlob, Virtumonde - Trojaner lassen sich nicht löschen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 16.12.2008, 16:48   #1
proud.mommie
 
Zlob, Virtumonde - Trojaner lassen sich nicht löschen - Standard

Zlob, Virtumonde - Trojaner lassen sich nicht löschen


Hallo an Alle,
ich habe seit ein paar Tagen einige Trojaner, wie Virtumonde, Zlob.downloader, win32 rootkit-gen, dyfuca und einiges an Spyware auf meinem Laptop, wobei sich manche nicht löschen lassen.
Am ersten Tag oder gleich nachdem mein Avast einen Wurm gemeldet hatte, wurden lauter windows von IE aufgemacht und mein Computer lies sich erstmal auch nicht mehr hochfahren also er blieb nach dem Windows XP logo haengen und ich hatte nur einen schwarzen Bildschirm.
Bin dann auf F8 und habe im letzten funktionierenden Modus hochgeladen, was dann geklappt hat.
Dann habe ich erstmal gegoogelt und einige Programme ausgeführt die vorgeschlagen wurden als erstes mein SuperAntiSpyware, dann Spybot, dann Malwarebytes. So jetzt läuft mein Computer wieder ganz gut keine Internetseiten die von selbst aufgehen und langsam läuft mein Computer auch nicht eigentlich läuft er so wie immer... aber Spybot und Malwarebytes finden immer noch die Trojaner und Spyware. Dann habe ich wie hier auf anderen threads empfohlen, CCleaner und Combofix im safemode laufen lassen. Aber ist immer noch alles da.

Jetzt hier mal das HJT log
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:53:29, on 16.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Comcast\Desktop Doctor\bin\sprtcmd.exe
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :0
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RegKillElbyCheck] "C:\Programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" /L RegKill
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ddoctorv2] "C:\Programme\Comcast\Desktop Doctor\bin\sprtcmd.exe" /P ddoctorv2
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\RunOnce: [ Malwarebytes Anti-Malware  (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {9E958ACA-8CB9-414B-B5C6-2F044D71F7B2} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://w*w.businessonline.t-online.de
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://w*w.snapfish.com/SnapfishActivia.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - h**p://picasaweb.google.de/s/v/30.62/uploader2.cab
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - h**p://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://mysoldiermy1love.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - h**p://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - h**p://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - h**p://meinefamilie.myphotoalbum.com/EasyUploadTool.cab
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - h**ps://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.lokalisten.de/iup/ImageUploader4.cab
O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} - h**p://www.nick.com/common/groove/gx/GrooveAX27.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-d5f0a3992c2a1ca1.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: ypubsj.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SupportSoft Sprocket Service (ddoctorv2) (sprtsvc_ddoctorv2) - SupportSoft, Inc. - C:\Programme\Comcast\Desktop Doctor\bin\sprtsvc.exe
O24 - Desktop Component 0: (no name) - C:\Dokumente und Einstellungen\Doro\Eigene Dateien\Deployment\Anniversary.html

--
End of file - 9917 bytes
Hier das log von Malwarebytes
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.31
Database version: 1456
Windows 5.1.2600 Service Pack 3

16.12.2008 10:30:54
mbam-log-2008-12-16 (10-30-40).txt

Scan type: Full Scan (C:\|)
Objects scanned: 125052
Time elapsed: 59 minute(s), 30 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{8cba1b49-8144-4721-a7b1-64c578c9eed7} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a3fdd654-a057-4971-9844-4ed8e67dbbb8} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2ab289ae-4b90-4281-b2ae-1f4bb034b647} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{86227d9c-0efe-4f8a-aa55-30386a3f5686} (Adware.ISTBar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
Vielen Dank schon mal an alle die sich die Mühe gemacht haben mein Post zu lesen und im voraus auch schonmal Danke für Eure Hilfe.

-proud.mommie-

Alt 16.12.2008, 17:09   #2
Argus
 
Zlob, Virtumonde - Trojaner lassen sich nicht löschen - Standard

Zlob, Virtumonde - Trojaner lassen sich nicht löschen


Update MBAM und scanne nochmal
__________________
Alt 16.12.2008, 17:22   #3
proud.mommie
 
Zlob, Virtumonde - Trojaner lassen sich nicht löschen - Standard

Zlob, Virtumonde - Trojaner lassen sich nicht löschen


Updated MBAM, leider beim scannen gleiches Resultat, wieder die 5 registry keys infected.

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.31
Database version: 1506
Windows 5.1.2600 Service Pack 3

16.12.2008 11:19:44
mbam-log-2008-12-16 (11-19-36).txt

Scan type: Quick Scan
Objects scanned: 51776
Time elapsed: 6 minute(s), 20 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{8cba1b49-8144-4721-a7b1-64c578c9eed7} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a3fdd654-a057-4971-9844-4ed8e67dbbb8} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2ab289ae-4b90-4281-b2ae-1f4bb034b647} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{86227d9c-0efe-4f8a-aa55-30386a3f5686} (Adware.ISTBar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
__________________
Alt 16.12.2008, 17:24   #4
proud.mommie
 
Zlob, Virtumonde - Trojaner lassen sich nicht löschen - Standard

Zlob, Virtumonde - Trojaner lassen sich nicht löschen


sorry das kam jetzt leider doppelt, habe die 2 Antwort dann raus genommen.

Alt 16.12.2008, 17:43   #5
Argus
 
Zlob, Virtumonde - Trojaner lassen sich nicht löschen - Standard

Zlob, Virtumonde - Trojaner lassen sich nicht löschen


Hast du sie durch MBAM auch entfernen lassen?

SDFix für Windows 2000 und Windows XP
Download link 1 SDFix zum Desktop
Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte

Kopiere den Inhalt des Berichts SophosReport.txt in diesen Thread

Scanne danach in Normal Modus via SDFix mit Norman Malwarescanner
Alt 16.12.2008, 20:37   #6
proud.mommie
 
Zlob, Virtumonde - Trojaner lassen sich nicht löschen - Standard

Zlob, Virtumonde - Trojaner lassen sich nicht löschen


Hallo, hier der Report vom SDFix
Der Norman scan läuft noch schaut so aus als ob das was dauert, werde dann die Ergebnisse posten. Danke Dir!

Code:
ATTFilter
SDFix: Version 1.240 
Run by Doro on 16.12.2008 at 13:33

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

AUTOEXEC.NT Restored from backups

Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files : 

No Trojan Files Found






Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 13:41:05
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Programme\\BuddyW\\BuddyW.exe"="C:\\Programme\\BuddyW\\BuddyW.exe:*:Enabled:BuddyW"
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"="C:\\Programme\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Disabled:Windows Messenger"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Sat 26 Apr 2008            72 ..SH. --- "C:\WINDOWS\SFA56C7BD.tmp"
Wed 15 Oct 2008       633,632 A.SH. --- "C:\Programme\Internet Explorer\iexplore.exe"
Tue 17 Oct 2006       622,080 A.SH. --- "C:\Programme\Internet Explorer\SET55F4.tmp"
Sun 13 Apr 2008     1,695,232 A.SH. --- "C:\Programme\Messenger\msmsgs.exe"
Sun 13 Apr 2008        60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Sun 31 Jul 2005            56 ..SHR --- "C:\WINDOWS\system32\BF4A0DBFE2.sys"
Sun 31 Jul 2005         3,766 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Sun 17 Apr 2005         4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Thu 19 Jul 2007             0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv03.tmp"
Sun 17 Apr 2005         4,348 ...H. --- "C:\Dokumente und Einstellungen\Doro\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Sun 17 Apr 2005            20 A..H. --- "C:\Dokumente und Einstellungen\Doro\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Sun 17 Apr 2005           400 A.SH. --- "C:\Dokumente und Einstellungen\Doro\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"

Finished!

Alt 17.12.2008, 13:45   #7
proud.mommie
 
Zlob, Virtumonde - Trojaner lassen sich nicht löschen - Standard

Zlob, Virtumonde - Trojaner lassen sich nicht löschen


Hier ist der Report von Norman und zu Deiner Frage ich habe MBAM schon immer die gefundenen Sachen fixen lassen, hat halt immer gesagt es wird beim reboot gelöscht.

Code:
ATTFilter
Norman Malware Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/12/16 05:28:45

Norman Scanner Engine Version: 5.93.01
Nvcbin.def Version: 5.93.00, Date: 2008/12/16 05:28:45, Variants: 2316442

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Home 5.1.2600 Service Pack 3
Logged on user: ******\***

Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = "ypubsj.dll" -> ""
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDrives = 0x00000000
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDrives = 0x00000000

Scan started: 16/12/2008 14:03:55


Scanning running processes and process memory...

Number of processes/threads found: 2109
Number of processes/threads scanned: 2109
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 1m 38s


Scanning file system...

Scanning: C:\*.*

C:\Dokumente und Einstellungen\*******\Desktop\SmitfraudFix.exe (Infected with IEDefender.E.dropper)
Deleted file

C:\Dokumente und Einstellungen\Doro\Desktop\SmitfraudFix\Agent.OMZ.Fix.exe (Infected with W32/Zlob.gen123)
Deleted file

C:\Dokumente und Einstellungen\Doro\Desktop\SmitfraudFix\VACFix.exe (Infected with W32/Smalldrp.APNN)
Deleted file

C:\Dokumente und Einstellungen\Doro\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\538uob3x.default\Cache\63329BDCd01 (Infected with IEDefender.E.dropper)
Deleted file

C:\Qoobox\Quarantine\C\WINDOWS\system32\VACFix.exe.vir (Infected with W32/Smalldrp.APNN)
Deleted file

C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP1245\A0443807.sys (Infected with W32/Agent.HHSF)
Deleted file

C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP1257\A0445463.exe (Infected with IEDefender.E.dropper)
Deleted file

C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP1257\A0445464.exe (Infected with W32/Zlob.gen123)
Deleted file

C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP1257\A0445465.exe (Infected with W32/Smalldrp.APNN)
Deleted file

C:\WINDOWS\system32\Agent.OMZ.Fix.exe (Infected with W32/Zlob.gen123)
Deleted file

Scanning: c:\System Volume Information\*.*

c:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP1257\A0445466.exe (Infected with W32/Zlob.gen123)
Deleted file


Running post-scan cleanup routine:

Number of files found: 172037
Number of archives unpacked: 8833
Number of files scanned: 171952
Number of files not scanned: 85
Number of files skipped due to exclude list: 0
Number of infected files found: 11
Number of infected files repaired/deleted: 11
Number of infections removed: 11
Total scanning time: 1h 2m 41s
Leider zeigt MBAM wenn ich es laufen lasse immer noch die selben Trojaner wie oben genannt an, stimmt da was mit MBAM nicht oder sind die wirklich noch drauf?

Lg, proud.mommie

Alt 17.12.2008, 14:36   #8
undoreal
/// AVZ-Toolkit Guru
 
Zlob, Virtumonde - Trojaner lassen sich nicht löschen - Standard

Zlob, Virtumonde - Trojaner lassen sich nicht löschen


Halli hallo.

Ich übernehme mal an dieser Stelle.

Vergiss alles was du bisher so gemacht hast..



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.



Poste danach bitte ein frisches HJT log.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 17.12.2008, 21:24   #9
proud.mommie
 
Zlob, Virtumonde - Trojaner lassen sich nicht löschen - Standard

Zlob, Virtumonde - Trojaner lassen sich nicht löschen


Hallo undoreal hier der combofix log habe alles nach den Angaben ausgeführt.... hoffe das hilft

Code:
ATTFilter
ComboFix 08-12-14.04 - Doro 2008-12-17 15:03:29.4 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.494.214 [GMT -5:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
.

(((((((((((((((((((((((   Dateien erstellt von 2008-11-17 bis 2008-12-17  ))))))))))))))))))))))))))))))
.

2008-12-16 13:31 . 2008-12-16 13:31	580,096	--a--c---	c:\windows\system32\dllcache\user32.dll
2008-12-16 13:28 . 2008-12-16 13:29	<DIR>	d--------	c:\windows\ERUNT
2008-12-16 13:28 . 2001-08-18 12:00	1,688	--a------	c:\windows\system32\AUTOEXEC.NT
2008-12-16 13:25 . 2008-12-16 14:00	<DIR>	d--------	C:\SDFix
2008-12-15 19:01 . 2008-04-13 13:45	26,112	--a------	c:\windows\system32\drivers\usbser.sys
2008-12-15 19:01 . 2008-04-13 13:45	26,112	--a--c---	c:\windows\system32\dllcache\usbser.sys
2008-12-15 18:37 . 2008-12-15 18:37	<DIR>	d--------	c:\programme\Trend Micro
2008-12-14 22:13 . 2008-12-14 22:13	<DIR>	d--------	c:\programme\CCleaner
2008-12-14 21:36 . 2008-12-14 23:28	<DIR>	d--------	c:\programme\Enigma Software Group
2008-12-14 20:02 . 2008-12-14 20:02	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-12-14 20:02 . 2008-12-14 20:02	<DIR>	d--------	c:\dokumente und einstellungen\Doro\Anwendungsdaten\Malwarebytes
2008-12-14 20:02 . 2008-12-14 20:02	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-14 20:02 . 2008-12-03 19:54	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-14 20:02 . 2008-12-03 19:54	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-12-14 14:48 . 2008-12-14 23:14	<DIR>	d--------	c:\programme\Spybot - Search & Destroy
2008-12-14 14:48 . 2008-12-16 17:29	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-14 11:41 . 2008-12-14 11:41	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-12-14 11:40 . 2008-12-14 11:40	<DIR>	d--------	c:\programme\SUPERAntiSpyware
2008-12-14 11:40 . 2008-12-14 11:40	<DIR>	d--------	c:\dokumente und einstellungen\Doro\Anwendungsdaten\SUPERAntiSpyware.com
2008-12-14 11:38 . 2008-12-14 11:38	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-12-05 01:09 . 2008-09-15 10:24	1,846,528	-----c---	c:\windows\system32\dllcache\win32k.sys
2008-12-05 01:09 . 2008-09-08 05:41	333,824	-----c---	c:\windows\system32\dllcache\srv.sys
2008-12-05 01:09 . 2008-06-14 12:32	273,024	-----c---	c:\windows\system32\dllcache\bthport.sys
2008-12-05 01:09 . 2008-08-14 05:04	138,496	-----c---	c:\windows\system32\dllcache\afd.sys
2008-12-05 01:08 . 2008-08-14 08:19	2,191,488	-----c---	c:\windows\system32\dllcache\ntoskrnl.exe
2008-12-05 01:08 . 2008-08-14 08:19	2,147,840	-----c---	c:\windows\system32\dllcache\ntkrnlmp.exe
2008-12-05 01:08 . 2008-08-14 08:19	2,068,352	-----c---	c:\windows\system32\dllcache\ntkrnlpa.exe
2008-12-05 01:08 . 2008-08-14 08:19	2,026,496	-----c---	c:\windows\system32\dllcache\ntkrpamp.exe
2008-12-05 01:08 . 2008-04-11 14:04	691,712	-----c---	c:\windows\system32\dllcache\inetcomm.dll
2008-12-05 01:08 . 2008-10-24 06:21	455,296	-----c---	c:\windows\system32\dllcache\mrxsmb.sys
2008-12-05 01:08 . 2008-05-08 09:02	203,136	-----c---	c:\windows\system32\dllcache\rmcast.sys
2008-12-05 01:07 . 2008-10-15 11:35	337,408	-----c---	c:\windows\system32\dllcache\netapi32.dll
2008-12-04 07:27 . 2008-12-04 07:27	<DIR>	d--------	c:\windows\system32\de
2008-12-04 07:27 . 2008-12-04 07:27	<DIR>	d--------	c:\windows\system32\bits
2008-12-04 07:27 . 2008-12-04 07:27	<DIR>	d--------	c:\windows\l2schemas
2008-12-04 07:23 . 2008-12-04 07:29	<DIR>	d--------	c:\windows\ServicePackFiles
2008-12-04 07:11 . 2008-12-04 07:11	<DIR>	d--------	c:\windows\EHome
2008-12-03 10:20 . 2008-12-03 10:20	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\hps
2008-12-03 10:05 . 2008-12-15 18:57	<DIR>	d--------	c:\programme\dm
2008-12-03 09:23 . 2008-12-03 09:23	410,976	--a------	c:\windows\system32\deploytk.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-16 01:32	---------	d-----w	c:\dokumente und einstellungen\Doro\Anwendungsdaten\Skype
2008-12-16 01:12	---------	d-----w	c:\programme\Java
2008-12-16 01:11	---------	d-----w	c:\programme\Hewlett-Packard
2008-12-16 01:07	---------	d-----w	c:\programme\Elaborate Bytes
2008-12-16 01:06	---------	d-----w	c:\programme\SlySoft
2008-12-16 00:00	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-12-15 23:58	---------	d-----w	c:\programme\Google
2008-12-14 22:13	---------	d-----w	c:\programme\Gemeinsame Dateien\GMT
2008-12-14 15:36	---------	d-----w	c:\dokumente und einstellungen\Doro\Anwendungsdaten\Slide
2008-12-05 12:16	---------	d-----w	c:\dokumente und einstellungen\Doro\Anwendungsdaten\ICQ
2008-11-30 14:06	---------	d-----w	c:\programme\ICQ6
2008-11-12 08:00	---------	d-----w	c:\programme\MSXML 4.0
2008-10-24 11:21	455,296	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 12:36	286,720	----a-w	c:\windows\system32\gdi32.dll
2008-10-16 20:04	826,368	----a-w	c:\windows\system32\wininet.dll
2008-10-16 19:13	202,776	----a-w	c:\windows\system32\wuweb.dll
2008-10-16 19:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 19:12	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 19:12	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 19:09	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 19:09	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 19:09	43,544	----a-w	c:\windows\system32\wups2.dll
2008-10-16 19:08	34,328	----a-w	c:\windows\system32\wups.dll
2008-10-16 19:06	268,648	----a-w	c:\windows\system32\mucltui.dll
2008-10-16 19:06	208,744	----a-w	c:\windows\system32\muweb.dll
2008-10-03 10:03	247,326	----a-w	c:\windows\system32\strmdll.dll
2008-09-30 21:43	1,286,152	----a-w	c:\windows\system32\msxml4.dll
2008-07-23 22:43	92,064	----a-w	c:\dokumente und einstellungen\Doro\mqdmmdm.sys
2008-07-23 22:43	9,232	----a-w	c:\dokumente und einstellungen\Doro\mqdmmdfl.sys
2008-07-23 22:43	79,328	----a-w	c:\dokumente und einstellungen\Doro\mqdmserd.sys
2008-07-23 22:43	66,656	----a-w	c:\dokumente und einstellungen\Doro\mqdmbus.sys
2008-07-23 22:43	6,208	----a-w	c:\dokumente und einstellungen\Doro\mqdmcmnt.sys
2008-07-23 22:43	5,936	----a-w	c:\dokumente und einstellungen\Doro\mqdmwhnt.sys
2008-07-23 22:43	4,048	----a-w	c:\dokumente und einstellungen\Doro\mqdmcr.sys
2008-07-23 22:43	25,600	----a-w	c:\dokumente und einstellungen\Doro\usbsermptxp.sys
2008-07-23 22:43	22,768	----a-w	c:\dokumente und einstellungen\Doro\usbsermpt.sys
2005-07-31 23:54	56	-csh--r	c:\windows\system32\BF4A0DBFE2.sys
2005-07-31 23:54	3,766	-csha-w	c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((((   snapshot@2008-12-14_22.53.41.55   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 20:27:04	163,328	----a-w	c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2008-12-16 18:29:29	9,191,424	----a-w	c:\windows\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2008-12-16 18:29:30	3,174,400	----a-w	c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-08-07 20:27:04	163,328	----a-w	c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-12-16 18:29:13	9,191,424	----a-w	c:\windows\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2008-12-16 18:29:14	3,174,400	----a-w	c:\windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
- 2008-11-11 11:35:25	63,778	----a-w	c:\windows\system32\perfc007.dat
+ 2008-12-15 22:19:34	63,778	----a-w	c:\windows\system32\perfc007.dat
- 2008-11-11 11:35:26	52,962	----a-w	c:\windows\system32\perfc009.dat
+ 2008-12-15 22:19:34	52,962	----a-w	c:\windows\system32\perfc009.dat
- 2008-11-11 11:35:26	391,244	----a-w	c:\windows\system32\perfh007.dat
+ 2008-12-15 22:19:34	391,244	----a-w	c:\windows\system32\perfh007.dat
- 2008-11-11 11:35:26	380,548	----a-w	c:\windows\system32\perfh009.dat
+ 2008-12-15 22:19:34	380,548	----a-w	c:\windows\system32\perfh009.dat
+ 2008-12-16 18:37:52	16,384	----atw	c:\windows\temp\Perflib_Perfdata_5a8.dat
+ 2008-12-16 21:14:43	16,384	----atw	c:\windows\temp\Perflib_Perfdata_d4.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-12-04 1809648]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 65536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
"PadTouch"="c:\programme\TOSHIBA\Touch and Launch\PadExe.exe" [2004-11-17 1077327]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2004-11-15 118784]
"Toshiba Hotkey Utility"="c:\programme\Toshiba\Windows Utilities\Hotkey.exe" [2004-12-01 1089536]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2006-06-13 127036]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-03 136600]
"RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-31 385024]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-02-19 267048]
"ddoctorv2"="c:\programme\Comcast\Desktop Doctor\bin\sprtcmd.exe" [2008-04-24 202560]
"Creative WebCam Tray"="c:\programme\Creative\Shared Files\CAMTRAY.EXE" [2004-07-30 245760]
"CFSServ.exe"="CFSServ.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

c:\dokumente und einstellungen\Doro\Startmen\Programme\Autostart\
Microsoft Office OneNote 2003 Schnellstart.lnk - c:\programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 64864]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= c:\dokumente und einstellungen\Doro\Eigene Dateien\Deployment\Anniversary.html
FriendlyName= 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-03 14:56 352256 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programme\\BuddyW\\BuddyW.exe"=
"c:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"c:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-31 111184]
R1 SASDIFSV;SASDIFSV;\??\c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2008-12-04 8944]
R1 SASKUTIL;SASKUTIL;\??\c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2008-12-04 55024]
R1 SMBHC;Microsoft SM Bus-Hostcontrollertreiber;c:\windows\system32\DRIVERS\SMBHC.sys [2004-11-24 6784]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-31 20560]
R3 IPN2220;INPROCOMM IPN2220 Wireless LAN Card Driver;c:\windows\system32\DRIVERS\i2220ntx.sys [2004-11-25 155392]
R3 RegKill;RegKill;c:\windows\system32\Drivers\RegKill.sys [2007-02-15 11984]
R3 SASENUM;SASENUM;\??\c:\programme\SUPERAntiSpyware\SASENUM.SYS [2008-12-04 7408]
R3 SMBBATT;Microsoft Smart Battery-Treiber;c:\windows\system32\DRIVERS\SMBBATT.sys [2004-11-24 16000]
S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\DRIVERS\motccgp.sys [2008-07-23 17792]
S3 motccgpfl;MotCcgpFlService;c:\windows\system32\DRIVERS\motccgpfl.sys [2008-07-23 7680]
S3 motport;Motorola USB Diagnostic Port;c:\windows\system32\DRIVERS\motport.sys [2008-07-23 21504]
S3 V0090VID;Creative WebCam Vista Plus;c:\windows\system32\DRIVERS\V0090Vid.sys [2005-07-19 138112]
S4 Sysdfu9uerv;Sysdfu9uerv; []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b41d09d6-93c2-11dc-bc05-00c09f7acb86}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL h**p://www.mgae.com/keylauncher/?code=3654406265443444

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cdf8a290-6391-11dc-bbe0-00c09f7acb86}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = w*w.yahoo.com/
mWindow Title = Windows Internet Explorer provided by Comcast

c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\ImageUploader3.ocx
O16 -: {5F8A33E7-6A32-4EE0-887A-134C627CB052}
hxxp://meinefamilie.myphotoalbum.com/EasyUploadTool.cab
c:\windows\Downloaded Program Files\ImageUploader3.inf
FF - ProfilePath - c:\dokumente und einstellungen\Doro\Anwendungsdaten\Mozilla\Firefox\Profiles\538uob3x.default\
FF - user.js: yahoo.homepage.dontask - trueFF - prefs.js: browser.startup.homepage - hxxps://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl&bsv=1k96igf4806cy&ltmpl=default&ltmplcache=2&hl=en|http://www.incredimail.com/german/gifts/christmas-2008-player.aspx?mid=1
FF - plugin: c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF - plugin: c:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeploytk.dll
FF - plugin: c:\programme\Yahoo!\Shared\npYState.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-17 15:07:08
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(636)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2008-12-17 15:09:03
ComboFix-quarantined-files.txt  2008-12-17 20:08:39
ComboFix2.txt  2008-12-16 04:15:04
ComboFix3.txt  2008-12-15 16:56:30
ComboFix4.txt  2008-12-15 03:55:13

Vor Suchlauf: 28 Verzeichnis(se), 34.131.947.520 Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), 34,116,960,256 Bytes frei

231	--- E O F ---	2008-12-12 08:08:33

Alt 17.12.2008, 21:27   #10
proud.mommie
 
Zlob, Virtumonde - Trojaner lassen sich nicht löschen - Standard

Zlob, Virtumonde - Trojaner lassen sich nicht löschen


und der Hjt log
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:15:51, on 17.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Comcast\Desktop Doctor\bin\sprtcmd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :0
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RegKillElbyCheck] "C:\Programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" /L RegKill
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ddoctorv2] "C:\Programme\Comcast\Desktop Doctor\bin\sprtcmd.exe" /P ddoctorv2
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {9E958ACA-8CB9-414B-B5C6-2F044D71F7B2} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.businessonline.t-online.de
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www.snapfish.com/SnapfishActivia.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.de/s/v/30.62/uploader2.cab
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://mysoldiermy1love.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - http://meinefamilie.myphotoalbum.com/EasyUploadTool.cab
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} - http://www.nick.com/common/groove/gx/GrooveAX27.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-d5f0a3992c2a1ca1.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SupportSoft Sprocket Service (ddoctorv2) (sprtsvc_ddoctorv2) - SupportSoft, Inc. - C:\Programme\Comcast\Desktop Doctor\bin\sprtsvc.exe
O24 - Desktop Component 0: (no name) - C:\Dokumente und Einstellungen\Doro\Eigene Dateien\Deployment\Anniversary.html

--
End of file - 9565 bytes
Ich kann von den beiden logs nicht viel ablesen also dass Du Dir die Mühe machst da mal rein zu schauen!

Alt 17.12.2008, 21:55   #11
undoreal
/// AVZ-Toolkit Guru
 
Zlob, Virtumonde - Trojaner lassen sich nicht löschen - Standard

Zlob, Virtumonde - Trojaner lassen sich nicht löschen


Überprüfe das System noch mit SuperAntiPSyware und poste das log.

Wie geht's dem Rechner? Gibt es noch Probleme?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 18.12.2008, 11:47   #12
proud.mommie
 
Zlob, Virtumonde - Trojaner lassen sich nicht löschen - Standard

Zlob, Virtumonde - Trojaner lassen sich nicht löschen


Hi Sorry das ich jetzt erst antworte hatte gestern einen busy day. Also dem Rechner geht es glaub ich ganz gut läuft eigentlich wie immer. Habe gestern dann noch SUPERAntiSpyware laufen lassen. Hat leider wieder was gefunden... Vielen Dank fuer die Hilfe.

Code:
ATTFilter
SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com

Generated 12/17/2008 at 09:53 PM

Application Version : 4.23.1006

Core Rules Database Version : 3674
Trace Rules Database Version: 1653

Scan type       : Complete Scan
Total Scan Time : 01:07:15

Memory items scanned      : 464
Memory threats detected   : 0
Registry items scanned    : 5411
Registry threats detected : 67
File items scanned        : 26896
File threats detected     : 6

Unclassified.Unknown Origin
	HKLM\Software\Classes\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}
	HKCR\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}
	HKCR\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}
	HKCR\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}\InprocServer32
	HKCR\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}\InprocServer32#ThreadingModel
	HKCR\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}\KeyPhrasesFileName
	HKCR\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}\ProgID
	HKCR\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}\VersionIndependentProgID
	HKCR\RXResult.RXResultFilter.1
	HKCR\RXResult.RXResultFilter
	C:\PROGRA~1\RXTOOL~1\SFCONT.DLL
	HKLM\Software\Classes\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
	HKCR\CLSID\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}
	HKCR\CLSID\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\InprocServer32
	HKCR\CLSID\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\InprocServer32#ThreadingModel
	C:\WINDOWS\SYSTEM32\DDCCTNOH.DLL
	HKCR\CLSID\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}

Adware.RX Toolbar
	HKLM\Software\Classes\CLSID\{59879FA4-4790-461c-A1CC-4EC4DE4CA483}
	HKCR\CLSID\{59879FA4-4790-461C-A1CC-4EC4DE4CA483}
	HKCR\CLSID\{59879FA4-4790-461C-A1CC-4EC4DE4CA483}
	HKCR\CLSID\{59879FA4-4790-461C-A1CC-4EC4DE4CA483}\InprocServer32
	HKCR\CLSID\{59879FA4-4790-461C-A1CC-4EC4DE4CA483}\InprocServer32#ThreadingModel
	HKCR\CLSID\{59879FA4-4790-461C-A1CC-4EC4DE4CA483}\ProgID
	HKCR\CLSID\{59879FA4-4790-461C-A1CC-4EC4DE4CA483}\VersionIndependentProgID
	HKCR\RXResult.RXResultTracker.1
	HKCR\RXResult.RXResultTracker

Trojan.Homepage
	HKLM\Software\Classes\CLSID\{5f4c3d09-b3b9-4f88-aa82-31332fee1c08}
	HKCR\CLSID\{5F4C3D09-B3B9-4F88-AA82-31332FEE1C08}
	HKCR\CLSID\{5F4C3D09-B3B9-4F88-AA82-31332FEE1C08}\InprocServer32
	HKCR\CLSID\{5F4C3D09-B3B9-4F88-AA82-31332FEE1C08}\InprocServer32#ThreadingModel

Adware.IST/YourSiteBar
	HKLM\Software\Classes\CLSID\{86227D9C-0EFE-4f8a-AA55-30386A3F5686}
	HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}
	HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}
	HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\Implemented Categories
	HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}
	HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}
	HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\InprocServer32
	HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\InprocServer32#ThreadingModel
	HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\ProgID
	HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\Programmable
	HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\TypeLib
	HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\VersionIndependentProgID
	HKCR\Ysb.YsbObj.1
	HKCR\Ysb.YsbObj
	HKCR\TypeLib\{86227D9C-0EFE-4f8a-AA55-30386A3F5686}
	C:\PROGRA~1\YOURSI~1\YSB.DLL

Adware.IST/SideFind
	HKLM\Software\Classes\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}
	HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}
	HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}
	HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\Implemented Categories
	HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\Implemented Categories\{00021493-0000-0000-C000-000000000046}
	HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}
	HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}
	HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\InprocServer32
	HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\InprocServer32#ThreadingModel
	HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\ProgID
	HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\Programmable
	HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\TypeLib
	HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\VersionIndependentProgID
	HKCR\SideFind.Finder.1
	HKCR\SideFind.Finder
	HKCR\TypeLib\{58634367-D62B-4C2C-86BE-5AAC45CDB671}
	C:\PROGRAMME\SIDEFIND\SIDEFIND.DLL
	HKLM\Software\Classes\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}
	HKCR\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}
	HKCR\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}\InprocServer32
	HKCR\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}\InprocServer32#ThreadingModel
	HKCR\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}\ProgID
	HKCR\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}\Programmable
	HKCR\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}\TypeLib
	HKCR\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}\VersionIndependentProgID

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Doro\Cookies\doro@atwola[2].txt
	C:\Dokumente und Einstellungen\Doro\Cookies\doro@atwola[1].txt

Alt 18.12.2008, 15:41   #13
undoreal
/// AVZ-Toolkit Guru
 
Zlob, Virtumonde - Trojaner lassen sich nicht löschen - Standard

Zlob, Virtumonde - Trojaner lassen sich nicht löschen


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:



Folders to delete:
C:\PROGRA~1\RXTOOL~1
C:\PROGRA~1\YOURSI~1
C:\PROGRAMME\SIDEFIND
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.



CureIT Dr.Web
  • Downloade Dr.Web CureIt!
  • Speichere es auf deinem Desktop.
  • Entpacke es in einen eigenen Ordner.
  • Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.
  • Lass alle Malware in den Quarantaene Ordner verschieben.
  • Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
  • Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.
  • Speichere das Logfile - siehe Anleitung - und poste es.



Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Und überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Antwort

Themen zu Zlob, Virtumonde - Trojaner lassen sich nicht löschen
adobe, adware.istbar, antivirus, avast!, bho, combofix, computer, desktop, ebay, einstellungen, hijack, hijackthis, hkus\s-1-5-18, internet explorer, langsam, launch, logfile, malwarebytes anti-malware, malwarebytes' anti-malware, object, plug-in, software, spyware, superantispyware, symantec, system, trojaner, virtumonde, von selbst, windows, windows xp, windows xp sp3, wrapper, wurm, xp sp3, zlob


« Virenbefall nach Download | Unerwünschte Pop-up Fenster sowie verlinkung auf skurile Seiten »


Ähnliche Themen: Zlob, Virtumonde - Trojaner lassen sich nicht löschen


  1. Trojaner lassen sich trotz Malwarebytes nicht löschen, was soll ich tun ?
    Plagegeister aller Art und deren Bekämpfung - 20.10.2012 (22)
  2. Trojaner lassen sich mit Malwarebytes nicht löschen, was tun?
    Plagegeister aller Art und deren Bekämpfung - 20.07.2012 (29)
  3. 4 Trojaner und keine Ende, sind in Quarantäne, lassen sich aber nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 04.12.2010 (23)
  4. mehrere Trojaner, die sich nicht löschen lassen
    Plagegeister aller Art und deren Bekämpfung - 23.01.2010 (14)
  5. Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen
    Plagegeister aller Art und deren Bekämpfung - 18.01.2009 (15)
  6. Trojaner und andere adware, usw gefunden --> lassen sich nicht löschen
    Log-Analyse und Auswertung - 15.01.2009 (0)
  7. Virtumonde, Virtumonde.generic und Smitfraud-C. lassen sich nicht entfernen
    Log-Analyse und Auswertung - 22.12.2008 (1)
  8. Virtumonde und andere Trojander lassen sich einfach nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.10.2008 (2)
  9. Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu
    Log-Analyse und Auswertung - 20.08.2008 (15)
  10. Zwei Trojaner die sich nicht löschen lassen wollen ...??
    Plagegeister aller Art und deren Bekämpfung - 17.07.2008 (7)
  11. Trojaner: efcBqNDt.dll und jkkJdCuK.dll lassen sich nicht löschen.
    Plagegeister aller Art und deren Bekämpfung - 17.06.2008 (13)
  12. Trojaner/ geede.dll und urqqrqo.dll lassen sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 29.02.2008 (8)
  13. Trojaner Virtumonde & zlock.uc lassen sich nicht entfernen
    Log-Analyse und Auswertung - 16.01.2008 (4)
  14. 147 Trojaner die sich nicht löschen lassen!!!
    Plagegeister aller Art und deren Bekämpfung - 15.07.2007 (6)
  15. Trojaner lassen sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 15.06.2007 (8)
  16. Zlob lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 16.02.2007 (11)
  17. nooob fragen! Dateien lassen sich nicht löschen.. ein trojaner?
    Plagegeister aller Art und deren Bekämpfung - 30.01.2004 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Zlob, Virtumonde - Trojaner lassen sich nicht löschen - Hallo an Alle, ich habe seit ein paar Tagen einige Trojaner, wie Virtumonde, Zlob.downloader, win32 rootkit-gen, dyfuca und einiges an Spyware auf meinem Laptop, wobei sich manche nicht löschen lassen. - Zlob, Virtumonde - Trojaner lassen sich nicht löschen...
Archiv
Du betrachtest: Zlob, Virtumonde - Trojaner lassen sich nicht löschen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55