Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner:Dropper, Downloader, Buzus

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.02.2009, 23:51   #16
john.doe
 
Trojaner:Dropper, Downloader, Buzus - Standard

Trojaner:Dropper, Downloader, Buzus



Verdammt, da ist ein Downloader aktiv.

1.) GMER - Rootkit Detection
  • Lade GMER von hier
  • entpacke es auf den Dektop
  • Doppelklick auf gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Blacklight ausführen und Logfile posten.

4.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
5.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

ciao, andreas

Alt 03.02.2009, 00:00   #17
hudilla
 
Trojaner:Dropper, Downloader, Buzus - Standard

Trojaner:Dropper, Downloader, Buzus



GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-02 23:55:45
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT F7BAA8CC ZwCreateThread
SSDT F7BAA8B8 ZwOpenProcess
SSDT F7BAA8BD ZwOpenThread
SSDT F7BAA8C7 ZwTerminateProcess
SSDT F7BAA8C2 ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 02: copy of MBR

---- EOF - GMER 1.0.14 ----
__________________


Alt 03.02.2009, 00:02   #18
hudilla
 
Trojaner:Dropper, Downloader, Buzus - Standard

Trojaner:Dropper, Downloader, Buzus



Blacklight findet nichts!
__________________

Alt 03.02.2009, 00:24   #19
hudilla
 
Trojaner:Dropper, Downloader, Buzus - Standard

Trojaner:Dropper, Downloader, Buzus



Panda läuft! zwischendurch kam 2 Mal so eine Art DFÜ-Verbindung mit der headline: Verbindung mit "i-connect" herstellen. Im Textfeld waren 3 oder 4 Nullen. Hilft euch das weiter, hat das was damit zu tun?

Soll ich in Avira die Funde löschen oder parallel besser nicht anderes machen ?

Panda ist bei 28% das wird noch länger dauern, da ich morgen arbeiten muss, wollte ich fragen, ob man dann morgen abend weitermachen kann!?
Wie sähe das mit einer Datensicherung und Formatierung aus?

Danke bis hier hin!

Geändert von hudilla (03.02.2009 um 00:41 Uhr)

Alt 03.02.2009, 01:34   #20
hudilla
 
Trojaner:Dropper, Downloader, Buzus - Standard

Trojaner:Dropper, Downloader, Buzus



Herzlichen Glückwunsch!

Ihr PC ist momentan nicht infiziert.

Als Meldung von Panda.


Alt 03.02.2009, 17:15   #21
john.doe
 
Trojaner:Dropper, Downloader, Buzus - Standard

Trojaner:Dropper, Downloader, Buzus



Zitat:
Wie sähe das mit einer Datensicherung und Formatierung aus?
Das ist der einzige sichere Weg: http://www.trojaner-board.de/51262-a...sicherung.html
Zitat:
Panda ist bei 28% das wird noch länger dauern, da ich morgen arbeiten muss, wollte ich fragen, ob man dann morgen abend weitermachen kann!?
Klar, ich warte.

ciao, andreas

Alt 03.02.2009, 17:25   #22
hudilla
 
Trojaner:Dropper, Downloader, Buzus - Standard

Trojaner:Dropper, Downloader, Buzus



Ok zurück von der Maloche an den PC .

Folgendes vom AVP-Tool:

Scan
----
Scanned: 595450
Detected: 0
Untreated: 0
Start time: 03.02.2009 08:08:25
Duration: 02:37:28
Finish time: 03.02.2009 10:45:53


Detected
--------
Status Object
------ ------


Events
------
Time Name Status Reason
---- ---- ------ ------
03.02.2009 08:09:43 Running module: SMSS.EXE\smss.exe ok scanned
03.02.2009 08:09:45 File: C:\WINDOWS\System32\smss.exe ok scanned
03.02.2009 08:09:46 Running module: SMSS.EXE\ntdll.dll ok scanned
03.02.2009 08:09:46 File: C:\WINDOWS\system32\ntdll.dll ok scanned
03.02.2009 08:09:47 Running module: CSRSS.EXE\csrss.exe ok scanned
03.02.2009 08:09:47 File: C:\WINDOWS\system32\csrss.exe ok scanned
03.02.2009 08:09:47 Running module: CSRSS.EXE\ntdll.dll ok scanned
03.02.2009 08:09:47 File: C:\WINDOWS\system32\ntdll.dll ok scanned
03.02.2009 08:09:47 Running module: CSRSS.EXE\CSRSRV.dll ok scanned
03.02.2009 08:09:47 File: C:\WINDOWS\system32\CSRSRV.dll ok scanned
03.02.2009 08:09:47 Running module: CSRSS.EXE\basesrv.dll ok scanned
03.02.2009 08:09:47 File: C:\WINDOWS\system32\basesrv.dll ok scanned
03.02.2009 08:09:47 Running module: CSRSS.EXE\winsrv.dll ok scanned
03.02.2009 08:09:48 File: C:\WINDOWS\system32\winsrv.dll ok scanned
03.02.2009 08:09:48 Running module: CSRSS.EXE\GDI32.dll ok scanned
03.02.2009 08:09:49 File: C:\WINDOWS\system32\GDI32.dll ok scanned
03.02.2009 08:09:49 Running module: CSRSS.EXE\KERNEL32.dll ok scanned
03.02.2009 08:09:50 File: C:\WINDOWS\system32\KERNEL32.dll ok scanned
03.02.2009 08:09:50 Running module: CSRSS.EXE\USER32.dll ok scanned
03.02.2009 08:09:51 File: C:\WINDOWS\system32\USER32.dll ok scanned
03.02.2009 08:09:51 Running module: CSRSS.EXE\sxs.dll ok scanned
03.02.2009 08:09:51 File: C:\WINDOWS\system32\sxs.dll ok scanned
03.02.2009 08:09:51 Running module: CSRSS.EXE\ADVAPI32.dll ok scanned


Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------


Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----


Ist es problematisch die Daten zu brennen und neu aufzuspielen?

PrevXCSi sagt alles clean!

Soll ich nochmal Avira laufen lassen, wie siehts mit aktivieren der System-Wiederherstellung aus?

Was sich verändert hat: Festplattenzugriff, keine rezidivierenden Avira-Virus-Pop-ups

gruss

Geändert von hudilla (03.02.2009 um 17:33 Uhr)

Alt 03.02.2009, 17:40   #23
john.doe
 
Trojaner:Dropper, Downloader, Buzus - Standard

Trojaner:Dropper, Downloader, Buzus



Zitat:
Ist es problematisch die Daten zu brennen und neu aufzuspielen?
Das kommt auf die Daten an. Als ungefährlich gilt alles, das nicht ausführbar ist (gibt auch da schon wieder Einschränkungen). Wenn du brennst und die Dateien von einem sauberen Rechner mit mehreren aktuellen Scannern scannst, dann ist das Risiko gering.

Mich wundert, wo die AskBar herkommt. Kann es sein, dass du in der Zwischenzeit irgendetwas installiert oder auf "seltsamen" Seiten warst?

Systemdetails mit RSIT prüfen
  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas

p.s.:
Zitat:
Was sich verändert hat: Festplattenzugriff
Weniger, mehr, ständig?
Zitat:
keine rezidivierenden Avira-Virus-Pop-ups
Äh, wie bitte?

Alt 03.02.2009, 18:32   #24
hudilla
 
Trojaner:Dropper, Downloader, Buzus - Standard

Trojaner:Dropper, Downloader, Buzus



habe nur die vorgeschlagenen Programme genutzt, war auch nicht wild surfen. Ich denke das ist vielleicht durch die Installation von Foxit, hab dadurch auch eine Verknüpfung zu ebay(adon-demand) auf dem Desktop erhalten.

Der Festplatten Zuriff funktioniert durchgehend bisher.

Bevor ich angefangen habe hier im Forum nachzufragen, hat Avira Antivir ständig Virusmeldungen wiederkehrend produziert. Dem ist nicht mehr so...



Hier die Logfile:


Logfile of random's system information tool 1.05 (written by random/random)
Run by Judy at 2009-02-03 18:12:58
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 14 GB (28%) free of 48 GB
Total RAM: 447 MB (37% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:13:04, on 03.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\BlazeVideo\BlazeDTV 2.5a\MediaDetector.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Judy\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Judy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ****go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = *****.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [BlazeServoTool] "C:\Programme\BlazeVideo\BlazeDTV 2.5a\MediaDetector.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RC.exe.lnk = C:\Programme\DTV\DVB-T USB 2.0\RC.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

--
End of file - 5347 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\HPpromotions journeysoftware.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
AskBar BHO - C:\Programme\AskBarDis\bar\bin\askBar.dll [2008-11-18 333192]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-02-02 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-02-02 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-02-02 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{3041d03e-fd4b-44e0-b742-2d9b88305f98} - Foxit Toolbar - C:\Programme\AskBarDis\bar\bin\askBar.dll [2008-11-18 333192]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"=C:\WINDOWS\system32\VTTimer.exe [2004-09-01 53248]
"SynTPLpr"=C:\Programme\Synaptics\SynTP\SynTPLpr.exe [2004-08-12 102400]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2004-08-12 684032]
"AGRSMMSG"=C:\WINDOWS\AGRSMMSG.exe [2004-12-20 88358]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [2003-10-31 32768]
"HP Software Update"=C:\Programme\HP\HP Software Update\HPWuSchd2.exe [2005-05-11 49152]
"WinampAgent"=C:\Programme\Winamp\Winampa.exe [2006-03-10 35328]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-02-02 136600]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"BlazeServoTool"=C:\Programme\BlazeVideo\BlazeDTV 2.5a\MediaDetector.exe [2006-12-01 286720]
"SUPERAntiSpyware"=C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-01-15 1830128]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

C:\Dokumente und Einstellungen\Judy\Startmenü\Programme\Autostart
RC.exe.lnk - C:\Programme\DTV\DVB-T USB 2.0\RC.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Java\jre1.6.0_01\bin\javaw.exe"="C:\Programme\Java\jre1.6.0_01\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1089bcc0-93b8-11dc-a777-001060603c5e}]
shell\AutoRun\command - setupSNK.exe


======List of files/folders created in the last 1 months======

2009-02-03 18:12:58 ----D---- C:\rsit
2009-02-03 17:18:05 ----D---- C:\Programme\Prevx
2009-02-03 17:18:01 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-02-03 17:18:01 ----A---- C:\WINDOWS\wininit.ini
2009-02-02 23:59:09 ----D---- C:\Programme\Panda Security
2009-02-02 23:51:34 ----A---- C:\WINDOWS\gmer.ini
2009-02-02 23:51:33 ----A---- C:\WINDOWS\gmer_uninstall.cmd
2009-02-02 23:51:33 ----A---- C:\WINDOWS\gmer.exe
2009-02-02 23:51:33 ----A---- C:\WINDOWS\gmer.dll
2009-02-02 22:22:38 ----D---- C:\Programme\Avira
2009-02-02 22:22:38 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-02-02 22:21:50 ----D---- C:\Programme\AskBarDis
2009-02-02 22:21:29 ----D---- C:\Dokumente und Einstellungen\Judy\Anwendungsdaten\Foxit
2009-02-02 22:21:16 ----D---- C:\Programme\Foxit Software
2009-02-02 22:17:40 ----A---- C:\WINDOWS\system32\javaws.exe
2009-02-02 22:17:40 ----A---- C:\WINDOWS\system32\javaw.exe
2009-02-02 22:17:40 ----A---- C:\WINDOWS\system32\java.exe
2009-02-02 22:17:40 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-02-02 22:17:19 ----D---- C:\Programme\Java
2009-02-02 22:15:56 ----D---- C:\Dokumente und Einstellungen\Judy\Anwendungsdaten\Sun
2009-02-02 22:13:23 ----A---- C:\WINDOWS\OEWABLog.txt
2009-02-02 22:12:35 ----D---- C:\WINDOWS\Prefetch
2009-02-02 22:04:50 ----A---- C:\WINDOWS\setuplog.txt
2009-02-02 22:03:46 ----D---- C:\WINDOWS\system32\de-de
2009-02-02 22:03:45 ----D---- C:\WINDOWS\l2schemas
2009-02-02 22:03:44 ----D---- C:\WINDOWS\system32\de
2009-02-02 22:03:44 ----D---- C:\WINDOWS\system32\bits
2009-02-02 22:01:41 ----D---- C:\WINDOWS\ServicePackFiles
2009-02-02 21:59:26 ----D---- C:\WINDOWS\network diagnostic
2009-02-02 21:55:35 ----HD---- C:\WINDOWS\$NtServicePackUninstall$
2009-02-02 21:55:31 ----D---- C:\WINDOWS\EHome
2009-02-02 20:09:19 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-02 20:09:14 ----D---- C:\Programme\SUPERAntiSpyware
2009-02-02 20:09:14 ----D---- C:\Dokumente und Einstellungen\Judy\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-02 20:08:59 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-02 19:22:10 ----D---- C:\Dokumente und Einstellungen\Judy\Anwendungsdaten\Malwarebytes
2009-02-02 19:22:05 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-02-02 19:22:05 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-02 18:47:00 ----A---- C:\WINDOWS\system32\wucltui.dll.mui
2009-02-02 18:47:00 ----A---- C:\WINDOWS\system32\wuaueng.dll.mui
2009-02-02 18:47:00 ----A---- C:\WINDOWS\system32\wuapi.dll.mui
2009-02-02 18:26:00 ----D---- C:\WINDOWS\temp
2009-02-02 18:25:55 ----A---- C:\ComboFix.txt
2009-02-02 17:46:56 ----D---- C:\WINDOWS\ERDNT
2009-02-02 16:21:16 ----D---- C:\Programme\CCleaner
2009-01-16 20:49:18 ----HD---- C:\WINDOWS\PIF

======List of files/folders modified in the last 1 months======

2009-02-03 17:13:02 ----A---- C:\WINDOWS\ModemLog_Agere Systems AC'97 Modem.txt
2009-02-03 17:11:52 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-02-03 11:54:24 ----A---- C:\WINDOWS\NeroDigital.ini
2009-02-02 22:14:40 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-02-02 18:24:48 ----A---- C:\WINDOWS\system.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD Athlon64-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2004-05-08 38912]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-10-30 75072]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R3 AgereSoftModem;Agere Systems Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2004-12-20 1271463]
R3 ALCXSENS;Service for WDM 3D Audio Driver; C:\WINDOWS\system32\drivers\ALCXSENS.SYS [2004-02-24 400384]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2004-07-01 626977]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service; C:\WINDOWS\system32\DRIVERS\fetnd5b.sys [2004-04-15 42496]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 RT2500;RT2500 Wireless Driver; C:\WINDOWS\system32\DRIVERS\RT2500.sys [2004-09-09 212096]
R3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2004-08-12 185664]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 viagfx;viagfx; C:\WINDOWS\system32\DRIVERS\vtmini.sys [2004-09-01 171392]
S3 AF05BDA;AF9005 BDA Device; C:\WINDOWS\system32\drivers\AF05BDA.sys [2006-12-05 117376]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 gmer;gmer; C:\WINDOWS\System32\DRIVERS\gmer.sys [2009-02-02 85969]
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2005-03-08 51120]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2005-03-08 16496]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2005-03-08 21744]
S3 Jukebox3;Jukebox3; C:\WINDOWS\system32\DRIVERS\ctpdusb.sys []
S3 k750bus;Sony Ericsson 750 driver (WDM); C:\WINDOWS\system32\DRIVERS\k750bus.sys [2005-02-11 55216]
S3 k750mdfl;Sony Ericsson 750 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\k750mdfl.sys [2005-02-11 6576]
S3 k750mdm;Sony Ericsson 750 USB WMC Modem Drivers; C:\WINDOWS\system32\DRIVERS\k750mdm.sys [2005-02-11 89872]
S3 k750mgmt;Sony Ericsson 750 USB WMC Device Management Drivers; C:\WINDOWS\system32\DRIVERS\k750mgmt.sys [2005-02-11 81728]
S3 k750obex;Sony Ericsson 750 USB WMC OBEX Interface Drivers; C:\WINDOWS\system32\DRIVERS\k750obex.sys [2005-02-11 79488]
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-13 15232]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 NETMDUSB;Net MD; C:\WINDOWS\System32\Drivers\NETMDUSB.sys [2002-08-08 38951]
S3 QV2KUX;Casio-Digitalkamera; C:\WINDOWS\system32\DRIVERS\qv2kux.sys [2001-08-17 3328]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WDM_Capture_220A;DVB-T TV Receiver; C:\WINDOWS\System32\Drivers\WDM_Capture_220A.sys [2004-09-06 18432]
S3 WDM_Loader_220A;DVB-T TV Loader; C:\WINDOWS\System32\Drivers\WDM_Loader_220A.sys [2005-12-28 15488]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]
R2 CSIScanner;CSIScanner; C:\Programme\Prevx\prevx.exe [2009-02-03 4107832]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-02-02 152984]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-10 38912]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800]
S2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2004-09-29 69632]
S3 SPTISRV;Sony SPTI Service; C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe [2002-07-23 65536]

-----------------EOF-----------------

Alt 03.02.2009, 18:34   #25
hudilla
 
Trojaner:Dropper, Downloader, Buzus - Standard

Trojaner:Dropper, Downloader, Buzus



Hier die Info-file:


info.txt logfile of random's system information tool 1.05 2009-02-03 18:13:07

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
-->VTUninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Timer'
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Agere Systems AC'97 Modem-->agrsmdel
Athlon 64 Processor Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C151CE54-E7EA-4804-854B-F515368B0798}\setup.exe" -l0x7
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
BlazeDTV 2.5a-->"C:\Programme\BlazeVideo\BlazeDTV 2.5a\unins000.exe"
Bubble Ball-->MsiExec.exe /X{A4E9D9F7-2B77-11D6-AAEC-0004769EEFEB}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
f4 3.0.3-->C:\Programme\f4\uninstall.exe
Foxit Reader-->C:\Programme\Foxit Software\Foxit Reader\Uninstall.exe
Foxit Toolbar-->"C:\Programme\AskBarDis\unins000.exe"
Freestyle Learning 3.5-->"C:\Programme\Freestyle Learning 3.5\UninstallerData\Freestyle Learning 3.5 de-installieren.exe"
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
HP Deskjet 5400 series-->C:\Programme\HP\Digital Imaging\{EB57A16E-500D-43d7-85B9-FBE279EBBA6E}\setup\hpzscr01.exe -datfile hpfscr05.dat
HP Image Zone Express-->MsiExec.exe /X{FE64AE29-0883-4C70-8388-DC026019C900}
HP Imaging Device Functions 5.0-->C:\Programme\HP\Digital Imaging\DigitalImagingMonitor\hpzscr01.exe -datfile hpqbud01.dat
HP Software Update-->MsiExec.exe /X{15EE79F4-4ED1-4267-9B0F-351009325D7D}
HP Solution Center & Imaging Support Tools 5.0-->C:\Programme\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
IHMC CmapTools v4.18-->"C:\Programme\IHMC CmapTools\UninstallerData\Uninstall CmapTools.exe"
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office XP Professional with FrontPage-->MsiExec.exe /I{90280409-6000-11D3-8CFE-0050048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (3.0.5)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Music Visualizer Library 1.4.00-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3B24B725-D81F-442D-8CE5-2AF05A4A4CC9}\Setup.exe" -l0x7
Nero OEM-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
OpenMG Limited Patch 3.1-02-10-22-01-->C:\Programme\Gemeinsame Dateien\Sony Shared\OpenMG\HotFixes\HotFix3.1-02-10-22-01\HotFixSetup\setup.exe /u
OpenMG Limited Patch 3.1-02-10-22-02-->C:\Programme\Gemeinsame Dateien\Sony Shared\OpenMG\HotFixes\HotFix3.1-02-10-22-02\HotFixSetup\setup.exe /u
OpenMG Limited Patch 3.1-02-12-04-01-->C:\Programme\Gemeinsame Dateien\Sony Shared\OpenMG\HotFixes\HotFix3.1-02-12-04-01\HotFixSetup\setup.exe /u
OpenMG Secure Module 3.1-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{117C01B5-9D68-4A15-85E2-A7CDFA82CEB9}\setup.exe" -l0x7 UNINSTALL
Opera 9.01-->MsiExec.exe /X{0049F6AE-4FE2-4C43-A039-60FCE98A1986}
Panda ActiveScan 2.0-->C:\Programme\Panda Security\ActiveScan 2.0\as2uninst.exe
Philips GoGear Digital Audio Player-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{572F2464-AB8F-4D1C-B934-FD133E6B7CA2}\Setup.exe" -l0x7
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall
Prevx CSI-->"C:\Programme\Prevx\prevx.exe" /prop UNINSTALL=Y
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE
RT2500 Utility-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F2C0E4CB-8084-454A-90FA-5924B20A7620}\Setup.exe" -l0x9
RT2500 Wireless LAN Card-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{AAA66A0D-E610-40B8-9D51-C1854285773A}\Setup.exe" -l0x9
S3 S3Display-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Display'
S3 S3Gamma2-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Gamma2'
S3 S3Info2-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Info2'
S3 S3Overlay-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Overlay'
S3 S3TrayPlus-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3TrayPlus'
Samsung Digital Camera-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8EE4F8AF-1B85-4887-90B8-477C95FB3A07}\Setup.exe"
Samsung Master-->C:\Programme\InstallShield Installation Information\{AEC0CEBC-0FC7-4716-8222-1C4A742719B1}\Setup.exe -runfromtemp -l0x0007 -removeonly
Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Sony Ericsson PC Suite-->MsiExec.exe /I{C037D08B-4883-491D-9329-DC5ACA90F797}
SPSS 13.0 for Windows-->MsiExec.exe /X{DB8CEC42-30B1-4F49-BD06-9393EB81CCF7}
SUPERAntiSpyware Professional-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
UniChrome Pro IGP Display Driver and Utilities-->C:\PROGRA~1\S3Inc\S3\s3setvga.exe -s -fC:\PROGRA~1\S3Inc\S3\S3.uns
Winamp (remove only)-->"C:\Programme\Winamp\UninstWA.exe"
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
WinZip-->"C:\Programme\WinZip\WINZIP32.EXE" /uninstall

=====HijackThis Backups=====

O4 - HKCU\..\Run: [Windows Service help] C:\RECYCLER\S-1-5-21-9232074686-1365254711-920167230-9159\winservices.exe
O4 - HKCU\..\Run: [Windows Service help] C:\RECYCLER\S-1-5-21-9232074686-1365254711-920167230-9159\winservices.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/

Computer Name: ***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Pml Driver HPZ12" gesendet.

Record Number: 38947
Source Name: Service Control Manager
Time Written: 20081120185703.000000+060
Event Type: Informationen
User: ***

Computer Name: ***
Event Code: 7036
Message: Dienst "Pml Driver HPZ12" befindet sich jetzt im Status "Beendet".

Record Number: 38946
Source Name: Service Control Manager
Time Written: 20081120172732.000000+060
Event Type: Informationen
User:

Computer Name: ***
Event Code: 7036
Message: Dienst "Pml Driver HPZ12" befindet sich jetzt im Status "Ausgeführt".

Record Number: 38945
Source Name: Service Control Manager
Time Written: 20081120172732.000000+060
Event Type: Informationen
User:

Computer Name: ***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Pml Driver HPZ12" gesendet.

Record Number: 38944
Source Name: Service Control Manager
Time Written: 20081120172732.000000+060
Event Type: Informationen
User: ***

Computer Name: ***
Event Code: 7036
Message: Dienst "Pml Driver HPZ12" befindet sich jetzt im Status "Beendet".

Record Number: 38943
Source Name: Service Control Manager
Time Written: 20081120172117.000000+060
Event Type: Informationen
User:

Application event log

Computer Name: ***
Event Code: 4097
Message: Die Anwendung "C:\Programme\ICQLite\ICQLite.exe" hat einen Programmfehler verursacht.
Datum und Zeit des Fehlers: 16.05.2006 um 15:09:36.140
Ausnahme: c0000005 an Adresse 7C92152A (ntdll!wcsncpy)

Record Number: 726
Source Name: DrWatson
Time Written: 20060516150936.000000+120
Event Type: Informationen
User:

Computer Name: ***
Event Code: 1000


Record Number: 725
Source Name: Application Error
Time Written: 20060516144843.000000+120
Event Type: Fehler
User:

Computer Name: ***
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 724
Source Name: SecurityCenter
Time Written: 20060516143907.000000+120
Event Type: Informationen
User:

Computer Name: ***
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Alt 03.02.2009, 18:39   #26
john.doe
 
Trojaner:Dropper, Downloader, Buzus - Standard

Trojaner:Dropper, Downloader, Buzus



Zitat:
Ich denke das ist vielleicht durch die Installation von Foxit, hab dadurch auch eine Verknüpfung zu ebay(adon-demand) auf dem Desktop erhalten.
Danke für die Erklärung. Ich war schon fertig mit der Welt. Es gibt keinerlei Anzeichen für Befall. Die AskBar erscheint häufig als Symptom für weiteren Befall, deshalb bin ich von einem Downloader ausgegangen. Mit deiner Erklärung bin ich jetzt wieder beruhigt.

Wenn du irgendetwas installierst, dann versucht mittlerweile jedes zweite Programm dir irgendeine Toolbar anzudrehen. Die lässt sich bei der Installation aber fast immer abwählen (Haken weg). Das gilt grundsätzlich und immer.

Deinstalliere die AskBar über Start=>Systemsteuerung=>Software

Mache noch ein letztes HJT-Log, dann sind wir fertig (muss erst noch Log kontrollieren).

ciao, andreas

Alt 03.02.2009, 19:04   #27
hudilla
 
Trojaner:Dropper, Downloader, Buzus - Standard

Trojaner:Dropper, Downloader, Buzus



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:56:36, on 03.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\BlazeVideo\BlazeDTV 2.5a\MediaDetector.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ***go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:***.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [BlazeServoTool] "C:\Programme\BlazeVideo\BlazeDTV 2.5a\MediaDetector.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RC.exe.lnk = C:\Programme\DTV\DVB-T USB 2.0\RC.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

--
End of file - 5069 bytes




So das ist sie!
Eine Nachfragenoch, wenn Avira etwas findet: Ist es am besten zu löschen,wiederherstellen oder usw.??

Danke

Alt 03.02.2009, 19:24   #28
john.doe
 
Trojaner:Dropper, Downloader, Buzus - Standard

Trojaner:Dropper, Downloader, Buzus



So, hast du gut gemacht.

Deinstalliere noch:
Code:
ATTFilter
SuperAntispyware
Prevx
Opera (veraltet und ein Browser reicht)
Panda Activescan
MalwareBytes
         
Zitat:
Eine Nachfragenoch, wenn Avira etwas findet: Ist es am besten zu löschen,wiederherstellen oder usw.??
Löschen, immer weg damit.

ciao, andreas

Alt 03.02.2009, 19:35   #29
hudilla
 
Trojaner:Dropper, Downloader, Buzus - Standard

Trojaner:Dropper, Downloader, Buzus





Prima!
Hast du auch gut gemacht!

Nochmal vielen Dank für die Mühe...

Antwort

Themen zu Trojaner:Dropper, Downloader, Buzus
adobe, antivir, antivir meldet, avira, bho, downloader, excel, explorer, festplatte, firefox, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, microsoft, mozilla, nicht gefunden, pdf, programme, schnelle hilfe, software, system, trojaner, usb, usb 2.0, windows, windows xp




Ähnliche Themen: Trojaner:Dropper, Downloader, Buzus


  1. W97M.Downloader / -Dropper bei Virenscan entdeckt
    Plagegeister aller Art und deren Bekämpfung - 25.05.2015 (8)
  2. Befinden sich noch Trojaner (dropper.gen; win32.downloader.gen)auf meinem Computer oder nicht?
    Log-Analyse und Auswertung - 02.06.2014 (7)
  3. Trojaner Buzus.JJ.253 auf eingeschränktem Benutzerkonto
    Plagegeister aller Art und deren Bekämpfung - 07.05.2013 (10)
  4. Trojaner TR/Buzus.iias + TR/Buzus.ihys + Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.akm
    Plagegeister aller Art und deren Bekämpfung - 14.09.2011 (38)
  5. Habe Probleme mit dem Trojaner TR/Buzus.fklu
    Log-Analyse und Auswertung - 24.09.2010 (3)
  6. Trojaner TR/Buzus.eksk
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (6)
  7. Ist Buzus Trojaner nach Löschung tatsächlich weg?
    Plagegeister aller Art und deren Bekämpfung - 11.07.2010 (2)
  8. Dropper.Gen, ATRAPS.Gen, Inject.98816.Bl, Crypt.XPACK.Gen, Buzus.dsbk.1
    Plagegeister aller Art und deren Bekämpfung - 24.04.2010 (1)
  9. TR/Buzus.diyx / Trojaner
    Log-Analyse und Auswertung - 10.04.2010 (15)
  10. SetupCasino.exe - Antivir warnt vor Trojaner TR/Buzus.defw
    Log-Analyse und Auswertung - 18.02.2010 (1)
  11. Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz
    Plagegeister aller Art und deren Bekämpfung - 22.01.2010 (16)
  12. TR/Buzus.ctwt und DR/Buzus.ctwt - Trojaner wirklich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 23.12.2009 (9)
  13. TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe
    Plagegeister aller Art und deren Bekämpfung - 27.11.2009 (17)
  14. TR/Dropper - Trojan.Downloader.Nurech.AZ
    Plagegeister aller Art und deren Bekämpfung - 18.10.2009 (27)
  15. Trojaner w32\buzus.x
    Plagegeister aller Art und deren Bekämpfung - 19.08.2009 (3)
  16. Trojaner Buzus
    Plagegeister aller Art und deren Bekämpfung - 02.07.2009 (1)
  17. Kennt ihr diesen Trojaner TR/Buzus.xxn?
    Plagegeister aller Art und deren Bekämpfung - 18.09.2008 (13)

Zum Thema Trojaner:Dropper, Downloader, Buzus - Verdammt, da ist ein Downloader aktiv. 1.) GMER - Rootkit Detection Lade GMER von hier entpacke es auf den Dektop Doppelklick auf gmer.exe Der Reiter Rootkit oben ist schon angewählt - Trojaner:Dropper, Downloader, Buzus...
Archiv
Du betrachtest: Trojaner:Dropper, Downloader, Buzus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.