Ich habe folgendes Problem: Ich hatte vor einigen Tagen bei Antivir die Meldung erhalten, dass ich einen Trojaner habe und zwar im folgenden Verzeichnis:
Die Datei 'C:\System Volume Information\_restore{388F645E-5735-47E2-8BC6-14B501FBA2E6}\RP382\A0060533.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.64512' [trojan].

Und zwar ca. zwanzig Stück, jeweils mit anderen Endungen, also z.B. A0060531, ich habe die Trojaner in Quarantäne verschoben und von dort gelöscht. Mir ist absolut unklar, wie diese überhaupt auf den PC gelangen konnten, da ich eine Sygate Firewall habe und das Antivirus-Programm.
Ich habe mit Hijack This ein Logfile erstellt und bin dem Problem per google und diversen Boards auf die Spur gekommen. Ich war auch der Meinung, dass die Trojaner dann nicht mehr auf meinem Notebook waren.
Nun bekam ich heute abend, ohne, dass gerade irgendeine Aktion auf dem Notebook stattfand, also es befand sich niemand am Notebook, es waren keine Programme offen, es wurde nichts gedownloadet, diese Meldung:

In der Datei 'C:\WINDOWS\system32\config\systemprofile\Dati applicazioni\Macromedia\Common\6818600c1.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.btxi' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Beim letzten mal waren die Trojaner / Viren z.T. auch in dem Ordner Macromedia / Common. Den hatte ich dann, nachdem er leer war, manuell gelöscht.
Daraufhin kam beim Systemstart jedesmal eine Fehlermeldung wegen einem Launcher (sorry, die krieg ich nicht mehr zusammen), also hab ich mit Windows XP eine Reparatur durchgeführt, und das hatte auch geklappt, bis heute.
Nun also wieder ein Trojaner, ich habe ihn in Quarantäne verschoben und dann gelöscht.

Ach so, beim letzten mal konnte ich keine Systemwiederherstellung durchführen, habe mehrere verschiedene Punkte angeklickt, aber es ging gar nichts.
Dazu muss ich sagen, dass wir noch ein Mac-Notebook haben und zusammen über einen Router online gehen.
Mein Mac-Notebook hat keinen Virenschutz, aber auch da gibt es keine Downloads usw. Kann da trotzdem ein Zusammenhang bestehen?
Wir klicken nicht wild auf Anhänge und öffnen diese, uns ist unklar, woher die Trojaner kommen!

So, nun ein aktuelles Logfile von Hijack This:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:35:01, on 09.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Siemens_WLAN\WlanMon.exe
C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
c:\programmi\avira\antivir personaledition classic\avcenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programmi\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programmi\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Siemens WLAN Monitor] C:\Programmi\Siemens_WLAN\WlanMon.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://w**.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201193792170
O17 - HKLM\System\CCS\Services\Tcpip\..\{67DC9C9B-011F-496C-B6BD-5CB7D179395F}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4A0586A-DDC2-4D26-B22A-AC6B7035F718}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6123 bytes


Ich bin gerade wirklich ratlos und freue mich über jede Hilfe,
schönen Abend und danke!

Hallöle.

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.



Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Hallo und danke für die schnelle Antwort. Anbei Scan:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-03-10 00:31:17
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Avira AntiVir PersonalEdition 8.0.1.30 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Dati applicazioni\Mozilla\Firefox\Profiles\2l2n2di4.default\cookies.txt[.doubleclick.net/]
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
No C:\Documents and Settings\NetworkService\Dati applicazioni\Macromedia\Common\6818600c1.dll
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;====================================

Was mache ich jetzt?

OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt3.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Zitat:

C:\Documents and Settings\NetworkService\Dati applicazioni\Macromedia\Common\6818600c1.dll

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!

Moin, Moin,

dabei kam folgendes raus:

Error: Unable to interpret <:\Documents and Settings\NetworkService\Dati applicazioni\Macromedia\Common\6818600c1.dll > in the current context!

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03102009_075558

Du hast das C nicht mit kopiert..

Zitat:

Error: Unable to interpret <:\Documents and Settings\NetworkService\Dati applicazioni\Macromedia\Common\6818600c1.dll > in the current context!

Muss heißen:

Zitat:

C:\Documents and Settings\NetworkService\Dati applicazioni\Macromedia\Common\6818600c1.dll

Ja, das hatte ich auch gesehen, hatte es dann nochmal gemacht, und es kam leider dasselbe dabei raus

Error: Unable to interpret <C:\Documents and Settings\NetworkService\Dati applicazioni\Macromedia\Common\6818600c1.dll > in the current context!

OTMoveIt3 by OldTimer - Version 1.0.8.0 lo


Antivir hat gerade seinen täglichen Suchlauf gestartet, und jetzt habe ich die Datei in die Quarantäne verschoben, da es den Punkt "Zugriff verweigern" nicht gab.g created on 031

fileASSASSIN

Downloade dir fileASSASSIN von Malwarebytest.org: http://www.malwarebytes.org/fa-setup.exe
Installiere das Programm.

Sollte es dabei zu Fehlermeldungen kommen könnte das am Schädling liegen. In diesem Fall downloade dir die Portable Version direkt auf einen USB-Stick:
http://www.malwarebytes.org/FA_Portable.zip
Entpacke das Archiv dort. Ein Doppelklick auf die fileASSASSIN.exe starte die PortableVersion.

Starte den Rechner im abesicherten Modus. So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich

Starte das Programm und setze den Haken bei "Delete File". Alle anderen Haken lässt du wie sie sind.



Dann kopierst du bitte folgende Dateipfade per Copy&Paste in das Textfeld. Starte den Löschvorgang für jede Datei einzelt durch Drücken des "Execute"-Buttons.

Zitat:

C:\Documents and Settings\NetworkService\Dati applicazioni\Macromedia\Common\6818600c1.dll

Evtl. Fehlermeldungen schreibe dir bitte ab und poste sie im Anschluss. Poste ob alle Dateien gelöscht wurden.


Sollte das auch nicht funktionieren:



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Mach mich sofort daran und melde mich gleich nochmal.

Stop, nehme alles zurück, war gerade mit dem falschen Benutzer angemeldet.

Also, die Datei wurde gelöscht laut File Assassin.

Ich starte jetzt wieder im normalen Modus.

Zitat:

Stop, nehme alles zurück, war gerade mit dem falschen Benutzer angemeldet.

Also, die Datei wurde gelöscht laut File Assassin.

Hat fileAssassin die Datei gelöscht oder OtMoveIt?

Wiederhole bitte den Panda Scan und poste abermals das logfile.

Hallo, anbei der Log.
Eine infizierte Datei wurde wohl gefunden, aber ich kapiere das nicht wirklich, das ist eine Text-Datei, und ich hab die grad auch von Antivir prüfen lassen, und die schien okay. Was soll ich jetzt machen?
Ach so, die andere Datei wurde mit Fila assasin gelöscht.

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-03-11 12:54:00
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Avira AntiVir PersonalEdition 8.0.1.30 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Dati applicazioni\Mozilla\Firefox\Profiles\2l2n2di4.default\cookies.txt[.doubleclick.net/]
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location #
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description #
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Das ist ein Tracking Cookie welches in der Tat nicht auf den rechner gehört obwohl es nicht direkt schädlich ist.
Kannst du einfach löschen.

Ich würde gerne ein Combofix log sehen. Anleitung steht unten noch...

Ist jetzt leider auf italienisch, weil Betriebssystem auf Italienisch ist.



Eseguito da: c:\documents and settings\***\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Creato nuovo punto di ripristino

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2009-02-11 al 2009-03-11 )))))))))))))))))))))))))))))))))))
.

2009-03-11 14:00 . 2009-03-11 14:00 <DIR> d-------- c:\programmi\CCleaner
2009-03-11 11:27 . 2009-03-11 11:27 <DIR> d-------- c:\windows\LastGood
2009-03-10 15:39 . 2009-03-10 15:39 <DIR> d-------- c:\programmi\FileASSASSIN
2009-03-10 13:37 . 2009-03-10 13:37 <DIR> d-------- c:\programmi\Spybot - Search & Destroy
2009-03-10 13:37 . 2009-03-11 14:01 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2009-03-10 07:54 . 2009-03-10 07:54 <DIR> d-------- C:\_OTMoveIt
2009-03-09 22:46 . 2008-06-19 16:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
2009-03-09 22:45 . 2009-03-09 22:45 <DIR> d-------- c:\programmi\Panda Security
2009-03-09 12:43 . 2009-03-09 12:43 <DIR> d--h----- c:\documents and settings\***\InstallAnywhere
2009-03-09 12:42 . 2009-03-09 12:43 <DIR> d--h----- c:\programmi\Zero G Registry
2009-03-07 14:15 . 2009-03-10 21:02 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-07 14:15 . 2009-03-07 14:15 1,409 --a------ c:\windows\QTFont.for
2009-03-05 14:05 . 2004-08-03 22:31 154,624 --a--c--- c:\windows\system32\dllcache\wlluc48.sys
2009-03-05 14:05 . 2008-04-14 04:13 116,224 --a--c--- c:\windows\system32\dllcache\xrxwiadr.dll
2009-03-05 14:05 . 2001-08-30 23:08 99,865 --a--c--- c:\windows\system32\dllcache\xlog.exe
2009-03-05 14:05 . 2001-08-30 23:08 27,648 --a--c--- c:\windows\system32\dllcache\xrxftplt.exe
2009-03-05 14:05 . 2001-08-30 23:08 23,040 --a--c--- c:\windows\system32\dllcache\xrxwbtmp.dll
2009-03-05 14:05 . 2004-08-03 22:29 19,455 --a--c--- c:\windows\system32\dllcache\wvchntxx.sys
2009-03-05 14:05 . 2008-04-14 04:13 18,944 --a--c--- c:\windows\system32\dllcache\xrxscnui.dll
2009-03-05 14:05 . 2001-08-17 20:11 16,970 --a--c--- c:\windows\system32\dllcache\xem336n5.sys
2009-03-05 14:05 . 2004-08-03 22:29 12,063 --a--c--- c:\windows\system32\dllcache\wsiintxx.sys
2009-03-05 14:05 . 2008-04-14 04:13 8,192 --a--c--- c:\windows\system32\dllcache\wshirda.dll
2009-03-05 14:05 . 2001-08-30 23:08 4,608 --a--c--- c:\windows\system32\dllcache\xrxflnch.exe
2009-03-05 14:03 . 2001-08-17 21:28 765,884 --a--c--- c:\windows\system32\dllcache\usrti.sys
2009-03-05 14:03 . 2001-08-17 21:28 687,999 --a--c--- c:\windows\system32\dllcache\usrwdxjs.sys
2009-03-05 14:03 . 2001-08-17 21:28 604,253 --a--c--- c:\windows\system32\dllcache\vmodem.sys
2009-03-05 14:03 . 2001-08-17 21:28 397,502 --a--c--- c:\windows\system32\dllcache\vpctcom.sys
2009-03-05 14:03 . 2001-08-17 20:14 249,402 --a--c--- c:\windows\system32\dllcache\vinwm.sys
2009-03-05 14:03 . 2001-08-17 21:28 224,802 --a--c--- c:\windows\system32\dllcache\usr1807a.sys
2009-03-05 14:03 . 2001-08-17 21:28 113,762 --a--c--- c:\windows\system32\dllcache\usrpda.sys
2009-03-05 14:03 . 2001-08-17 21:28 64,605 --a--c--- c:\windows\system32\dllcache\vvoice.sys
2009-03-05 14:03 . 2001-08-17 21:49 24,576 --a--c--- c:\windows\system32\dllcache\viairda.sys
2009-03-05 14:03 . 2001-08-17 20:13 19,528 --a--c--- c:\windows\system32\dllcache\w840nd.sys
2009-03-05 14:03 . 2001-08-17 20:13 19,016 --a--c--- c:\windows\system32\dllcache\w926nd.sys
2009-03-05 14:03 . 2001-08-17 21:28 7,556 --a--c--- c:\windows\system32\dllcache\usroslba.sys
2009-03-05 14:03 . 2008-04-13 20:40 5,376 --a--c--- c:\windows\system32\dllcache\viaide.sys
2009-03-05 14:01 . 2001-08-30 23:08 525,568 --a--c--- c:\windows\system32\dllcache\tridxp.dll
2009-03-05 14:00 . 2001-08-17 22:01 241,664 --a--c--- c:\windows\system32\dllcache\tosdvd02.sys
2009-03-05 14:00 . 2001-08-30 23:07 172,768 --a--c--- c:\windows\system32\dllcache\t2r4disp.dll
2009-03-05 14:00 . 2008-04-13 20:40 149,376 --a--c--- c:\windows\system32\dllcache\tffsport.sys
2009-03-05 14:00 . 2001-08-17 20:51 138,528 --a--c--- c:\windows\system32\dllcache\tgiulnt5.sys
2009-03-05 14:00 . 2001-08-17 20:14 123,995 --a--c--- c:\windows\system32\dllcache\tjisdn.sys
2009-03-05 14:00 . 2001-08-30 23:07 81,408 --a--c--- c:\windows\system32\dllcache\tgiul50.dll
2009-03-05 14:00 . 2001-08-17 20:13 37,961 --a--c--- c:\windows\system32\dllcache\tdk100b.sys
2009-03-05 14:00 . 2001-08-17 20:50 36,640 --a--c--- c:\windows\system32\dllcache\t2r4mini.sys
2009-03-05 14:00 . 2001-08-17 21:49 30,464 --a--c--- c:\windows\system32\dllcache\tbatm155.sys
2009-03-05 14:00 . 2001-08-17 20:10 28,232 --a--c--- c:\windows\system32\dllcache\tos4mo.sys
2009-03-05 14:00 . 2001-08-17 20:13 17,129 --a--c--- c:\windows\system32\dllcache\tdkcd31.sys
2009-03-05 14:00 . 2001-08-17 21:52 7,040 --a--c--- c:\windows\system32\dllcache\tandqic.sys
2009-03-05 13:58 . 2001-08-30 23:08 114,688 --a--c--- c:\windows\system32\dllcache\sonypi.dll
2009-03-05 13:58 . 2001-08-30 23:08 106,584 --a--c--- c:\windows\system32\dllcache\spdports.dll
2009-03-05 13:58 . 2001-08-30 23:08 99,328 --a--c--- c:\windows\system32\dllcache\srusd.dll
2009-03-05 13:58 . 2001-08-17 21:51 61,824 --a--c--- c:\windows\system32\dllcache\speed.sys
2009-03-05 13:58 . 2001-08-17 20:51 37,040 --a--c--- c:\windows\system32\dllcache\sonypi.sys
2009-03-05 13:58 . 2001-08-30 23:08 24,660 --a--c--- c:\windows\system32\dllcache\spxupchk.dll
2009-03-05 13:58 . 2001-08-17 20:51 20,752 --a--c--- c:\windows\system32\dllcache\sonync.sys
2009-03-05 13:58 . 2001-08-17 22:07 19,072 --a--c--- c:\windows\system32\dllcache\sparrow.sys
2009-03-05 13:58 . 2001-08-17 21:53 9,600 --a--c--- c:\windows\system32\dllcache\sonymc.sys
2009-03-05 13:58 . 2001-08-17 21:56 7,552 --a--c--- c:\windows\system32\dllcache\sonypvu1.sys
2009-03-05 13:58 . 2008-04-13 20:40 7,552 --a--c--- c:\windows\system32\dllcache\sonyait.sys
2009-03-05 13:58 . 2001-08-17 21:53 7,040 --a--c--- c:\windows\system32\dllcache\snyaitmc.sys
2009-03-05 13:57 . 2001-08-30 23:07 147,200 --a--c--- c:\windows\system32\dllcache\smidispb.dll
2009-03-05 13:57 . 2001-08-17 20:51 58,368 --a--c--- c:\windows\system32\dllcache\smiminib.sys
2009-03-05 13:57 . 2001-08-30 23:08 45,568 --a--c--- c:\windows\system32\dllcache\smb3w.dll
2009-03-05 13:57 . 2001-08-30 22:37 36,937 --a--c--- c:\windows\system32\dllcache\smcirda.sys
2009-03-05 13:57 . 2001-08-30 23:08 33,792 --a--c--- c:\windows\system32\dllcache\smb0w.dll
2009-03-05 13:57 . 2001-08-30 23:08 28,672 --a--c--- c:\windows\system32\dllcache\sma0w.dll
2009-03-05 13:57 . 2001-08-30 23:08 28,160 --a--c--- c:\windows\system32\dllcache\sm91w.dll
2009-03-05 13:57 . 2001-08-17 20:12 25,034 --a--c--- c:\windows\system32\dllcache\smcpwr2n.sys
2009-03-05 13:57 . 2001-08-17 20:12 24,576 --a--c--- c:\windows\system32\dllcache\smc8000n.sys
2009-03-05 13:57 . 2008-04-13 20:36 16,000 --a--c--- c:\windows\system32\dllcache\smbbatt.sys
2009-03-05 13:57 . 2008-04-13 20:36 6,912 --a--c--- c:\windows\system32\dllcache\smbclass.sys
2009-03-05 13:57 . 2001-08-17 21:57 6,784 --a--c--- c:\windows\system32\dllcache\smbhc.sys
2009-03-05 13:55 . 2001-08-17 20:19 36,480 --a--c--- c:\windows\system32\dllcache\sfmanm.sys
2009-03-05 13:55 . 2001-08-30 22:28 18,176 --a--c--- c:\windows\system32\dllcache\sermouse.sys
2009-03-05 13:55 . 2001-08-30 22:28 6,912 --a--c--- c:\windows\system32\dllcache\serscan.sys
2009-03-05 13:54 . 2001-08-17 21:52 11,648 --a--c--- c:\windows\system32\dllcache\scsiprnt.sys
2009-03-05 13:54 . 2008-04-13 20:45 11,520 --a--c--- c:\windows\system32\dllcache\scsiscan.sys
2009-03-05 13:54 . 2001-08-17 21:53 6,912 --a--c--- c:\windows\system32\dllcache\seaddsmc.sys
2009-03-05 13:53 . 2001-08-30 23:07 495,616 --a--c--- c:\windows\system32\dllcache\sblfx.dll
2009-03-05 13:53 . 2008-04-13 20:40 43,904 --a--c--- c:\windows\system32\dllcache\sbp2port.sys
2009-03-05 13:53 . 2001-08-17 21:51 23,936 --a--c--- c:\windows\system32\dllcache\sccmusbm.sys
2009-03-05 13:53 . 2001-08-30 22:23 23,936 --a--c--- c:\windows\system32\dllcache\sccmn50m.sys
2009-03-05 13:53 . 2001-08-30 22:25 17,536 --a--c--- c:\windows\system32\dllcache\scr111.sys
2009-03-05 13:53 . 2001-08-30 22:25 16,768 --a--c--- c:\windows\system32\dllcache\scmstcs.sys
2009-03-05 13:51 . 2001-08-30 22:10 715,338 --a--c--- c:\windows\system32\dllcache\r2mdmkxx.sys
2009-03-05 13:51 . 2001-08-30 23:07 86,097 --a--c--- c:\windows\system32\dllcache\reslog32.dll
2009-03-05 13:51 . 2008-04-14 03:50 79,360 --a--c--- c:\windows\system32\dllcache\rocket.sys
2009-03-05 13:51 . 2001-08-17 20:12 37,563 --a--c--- c:\windows\system32\dllcache\rlnet5.sys
2009-03-05 13:51 . 2001-08-17 20:19 30,720 --a--c--- c:\windows\system32\dllcache\rthwcls.sys
2009-03-05 13:51 . 2001-08-17 21:51 19,584 --a--c--- c:\windows\system32\dllcache\rasirda.sys
2009-03-05 13:51 . 2001-08-30 23:07 10,752 --a--c--- c:\windows\system32\dllcache\rsmgrstr.dll
2009-03-05 13:51 . 2001-08-17 20:19 3,840 --a--c--- c:\windows\system32\dllcache\rpfun.sys
2009-03-05 13:49 . 2008-04-14 04:12 259,328 --a--c--- c:\windows\system32\dllcache\perm3dd.dll
2009-03-05 13:48 . 2001-08-17 22:05 351,616 --a--c--- c:\windows\system32\dllcache\ovcodek2.sys
2009-03-05 13:47 . 2001-08-17 20:50 198,144 --a--c--- c:\windows\system32\dllcache\nv3.sys
2009-03-05 13:47 . 2001-08-30 23:07 123,776 --a--c--- c:\windows\system32\dllcache\nv3.dll
2009-03-05 13:47 . 2001-08-17 20:20 87,040 --a--c--- c:\windows\system32\dllcache\nm6wdm.sys
2009-03-05 13:47 . 2001-08-17 20:20 54,528 --a--c--- c:\windows\system32\dllcache\opl3sax.sys
2009-03-05 13:47 . 2001-08-17 20:49 51,552 --a--c--- c:\windows\system32\dllcache\ntgrip.sys
2009-03-05 13:47 . 2008-04-13 20:54 28,672 --a--c--- c:\windows\system32\dllcache\nscirda.sys
2009-03-05 13:47 . 2001-08-30 21:30 9,472 --a--c--- c:\windows\system32\dllcache\ntapm.sys
2009-03-05 13:47 . 2001-08-17 21:53 7,552 --a--c--- c:\windows\system32\dllcache\nsmmc.sys
2009-03-05 13:45 . 2001-08-17 20:50 103,296 --a--c--- c:\windows\system32\dllcache\mtxvideo.sys
2009-03-05 13:45 . 2001-08-30 21:11 76,544 --a--c--- c:\windows\system32\dllcache\mxport.sys
2009-03-05 13:45 . 2001-08-30 21:11 53,279 --a--c--- c:\windows\system32\dllcache\n1000nt5.sys
2009-03-05 13:45 . 2008-04-13 20:46 49,024 --a--c--- c:\windows\system32\dllcache\mstape.sys
2009-03-05 13:45 . 2001-08-30 21:11 22,144 --a--c--- c:\windows\system32\dllcache\mxcard.sys
2009-03-05 13:45 . 2001-08-17 21:49 19,968 --a--c--- c:\windows\system32\dllcache\mxnic.sys
2009-03-05 13:45 . 2001-08-30 23:07 19,968 --a--c--- c:\windows\system32\dllcache\mxicfg.dll
2009-03-05 13:45 . 2001-08-17 21:48 12,416 --a--c--- c:\windows\system32\dllcache\msriffwv.sys
2009-03-05 13:45 . 2001-08-30 23:07 7,168 --a--c--- c:\windows\system32\dllcache\mxport.dll
2009-03-05 13:44 . 2008-04-14 04:14 56,832 --a--c--- c:\windows\system32\dllcache\msdvbnp.ax
2009-03-05 13:44 . 2008-04-13 20:46 51,200 --a--c--- c:\windows\system32\dllcache\msdv.sys
2009-03-05 13:44 . 2001-08-17 22:02 35,200 --a--c--- c:\windows\system32\dllcache\msgame.sys
2009-03-05 13:44 . 2008-04-13 20:54 22,016 --a--c--- c:\windows\system32\dllcache\msircomm.sys
2009-03-05 13:44 . 2001-08-17 21:52 17,280 --a--c--- c:\windows\system32\dllcache\mraid35x.sys
2009-03-05 13:44 . 2008-04-13 20:46 15,232 --a--c--- c:\windows\system32\dllcache\mpe.sys
2009-03-05 13:44 . 2001-08-17 21:48 6,016 --a--c--- c:\windows\system32\dllcache\msfsio.sys
2009-03-05 13:44 . 2001-08-17 22:00 2,944 --a--c--- c:\windows\system32\dllcache\msmpu401.sys
2009-03-05 13:43 . 2001-08-30 20:34 320,384 --a--c--- c:\windows\system32\dllcache\mgaum.sys
2009-03-05 13:43 . 2001-08-30 23:07 235,648 --a--c--- c:\windows\system32\dllcache\mgaud.dll
2009-03-05 13:43 . 2001-08-30 20:21 165,034 --a--c--- c:\windows\system32\dllcache\mdgndis5.sys
2009-03-05 13:43 . 2001-08-30 23:07 47,616 --a--c--- c:\windows\system32\dllcache\memgrp.dll
2009-03-05 13:43 . 2008-04-13 20:41 26,112 --a--c--- c:\windows\system32\dllcache\memstpci.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-09 17:40 --------- d-----w c:\documents and settings\***\Dati applicazioni\Skype
2009-03-09 16:36 --------- d-----w c:\documents and settings\***\Dati applicazioni\skypePM
2009-03-09 11:42 --------- d-----w c:\programmi\SUPERAntiSpyware
2009-03-09 11:42 --------- d-----w c:\programmi\File comuni\Wise Installation Wizard
2009-03-09 11:42 --------- d-----w c:\documents and settings\***\Dati applicazioni\SUPERAntiSpyware.com
2009-03-09 11:35 --------- d-----w c:\programmi\Microsoft ActiveSync
2009-03-07 16:34 --------- d-----w c:\documents and settings\***\Dati applicazioni\dvdcss
2009-03-02 19:02 --------- d--h--w c:\programmi\InstallShield Installation Information
2009-02-27 19:32 --------- d-----w c:\programmi\Mozilla Thunderbird
2009-02-16 09:40 --------- d-----w c:\programmi\Google
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-06-03 12:49 15,251 ----a-w c:\programmi\settings.dat
2008-02-25 11:31 18 ----a-w c:\documents and settings\***\Dati applicazioni\sys386lk.dat
2008-02-10 16:48 32 ----a-w c:\documents and settings\All Users\Dati applicazioni\ezsid.dat
2008-09-17 21:31 32,768 --sha-w c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012008091720080918\index.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programmi\Apoint2K\Apoint.exe" [2003-10-08 159744]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-04-08 4730880]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"avgnt"="c:\programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-23 266497]
"Siemens WLAN Monitor"="c:\programmi\Siemens_WLAN\WlanMon.exe" [2007-03-13 954368]
"ANIWZCS2Service"="c:\programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"AGRSMMSG"="AGRSMMSG.exe" [2004-09-04 c:\windows\AGRSMMSG.exe]
"nwiz"="nwiz.exe" [2004-04-08 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-03-09 28544]
S1 SASDIFSV;SASDIFSV;\??\c:\programmi\SUPERAntiSpyware\SASDIFSV.SYS --> c:\programmi\SUPERAntiSpyware\SASDIFSV.SYS [?]
S1 SASKUTIL;SASKUTIL;\??\c:\programmi\SUPERAntiSpyware\SASKUTIL.sys --> c:\programmi\SUPERAntiSpyware\SASKUTIL.sys [?]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;\??\c:\windows\system32\drivers\PDNMp50.sys --> c:\windows\system32\drivers\PDNMp50.sys [?]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;\??\c:\windows\system32\drivers\PDNSp50.sys --> c:\windows\system32\drivers\PDNSp50.sys [?]
S3 PhilCam8116_XP;Logitech QuickCam Pro 3000(PID_08B1);c:\windows\system32\drivers\CamDrL20.sys [2008-02-10 245760]
S3 SASENUM;SASENUM;\??\c:\programmi\SUPERAntiSpyware\SASENUM.SYS --> c:\programmi\SUPERAntiSpyware\SASENUM.SYS [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
.
------- Scansione supplementare -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {67DC9C9B-011F-496C-B6BD-5CB7D179395F} = 192.168.1.1
TCP: {E4A0586A-DDC2-4D26-B22A-AC6B7035F718} = 192.168.1.1
FF - ProfilePath - c:\documents and settings\***\Dati applicazioni\Mozilla\Firefox\Profiles\yreaqm1k.default\
FF - prefs.js: browser.startup.homepage -
FF - component: c:\programmi\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll
FF - plugin: c:\documents and settings\***\Dati applicazioni\Mozilla\Firefox\Profiles\yreaqm1k.default\extensions\StreamingPlugin@conviva.com\platform\WINNT_x86-msvc\plugins\npconviva.4.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\np-mswmp.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-11 14:06:16
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2009-03-11 14:07:52
ComboFix-quarantined-files.txt 2009-03-11 13:07:42
ComboFix2.txt 2009-03-05 12:22:18

Pre-Run: 13.565.820.928 byte disponibili
Post-Run: 13,604,175,872 byte disponibili

226 --- E O F --- 2009-02-25 17:59:04

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

c:\programmi\settings.dat
c:\documents and settings\***\Dati applicazioni\sys386lk.dat
c:\documents and settings\All Users\Dati applicazioni\ezsid.dat
c:\windows\system32\config\systemprofile\Impostazi oni locali\Cronologia\History.IE5\MSHist01200809172008 0918\index.dat

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


Und führe bitte einen eScan durch.