Trojaner verseucht

AlexXYZ · 10.03.2009, 20:52

Hallo, habe größte Probleme mit meinem PC.

Vorab mal alle Info´s:

1.) System:

Betriebssystemname Microsoft Windows XP Professional
Version 5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemname (*****)
Systemhersteller INTEL_
Systemmodell DQ3510J_
Systemtyp X86-basierter PC
Prozessor x86 Family 6 Model 23 Stepping 10 GenuineIntel ~2693 Mhz
BIOS-Version/-Datum Intel Corp. JOQ3510J.86A.0991.2009.0108.1847, 08.01.2009
SMBIOS-Version 2.4
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername (***********)
Zeitzone Westeuropäische Normalzeit
Gesamter realer Speicher 4.096,00 MB
Verfügbarer realer Speicher 2,44 GB
Gesamter virtueller Speicher 2,00 GB
Verfügbarer virtueller Speicher 1,96 GB
Größe der Auslagerungsdatei 5,08 GB
Auslagerungsdatei C:\pagefile.sys

2.) Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:43:33, on 10.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Intel\AMT\atchksrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\InterSystems\Cache\bin\csystray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\Dokumente und Einstellungen\(********)\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.(******)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von (*******)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_15_Plus_Download-Version\TrayServer.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [lahibuboko] Rundll32.exe "C:\WINDOWS\system32\yakehefi.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: CACHE.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = (*****)l
O17 - HKLM\Software\..\Telephony: DomainName = (*****)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: (******)
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: (******)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Intel(R) Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Programme\Intel\AMT\atchksrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Unknown owner - C:\Programme\Intel\AMT\LMS.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 10180 bytes

Mein Problem ist nun, dass ich seit Tagen folgende Trojaner entferne und einfach nicht weg bekomme:

- Virtumonde
- SpyAgent.aclz / .acix
- Drop.Softomat.*
- Killav.28714

Atvira hat diese z.b. im SystemVolumenInf... gefunden obwohl laut dem Prog. Malewarebites alles sauber war. Wenn mein PC laut Atvira sauber ist, findet Malewarbites Virtumonde...

Kann mir jemand helfen oder muss ich den PC neu formatieren? Wenn ich ihn neu formatiere, ist es dann sicher das alle weg sind?

Vielen Dank an alle Helfer

Angel21 · 10.03.2009, 21:07

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = (*****)l
O17 - HKLM\Software\..\Telephony: DomainName = (*****)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: (******)
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: (******)

Das macht mich stutzig, war da etwa eine IP mit 85.255 am anfang zu sehen?

AlexXYZ · 10.03.2009, 21:10

Zitat:

Zitat von Angel21

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = (*****)l
O17 - HKLM\Software\..\Telephony: DomainName = (*****)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: (******)
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: (******)

Das macht mich stutzig, war da etwa eine IP mit 85.255 am anfang zu sehen?

HI Angel,

ne ich habe den PC in meinem Firmennetzwerk und den DomainNamen habe ich heraus editiert.

Angel21 · 10.03.2009, 21:13

Gut

...dann ist meine erste Vermutung weg. Ausgeschlossen. schonmal gut

AlexXYZ · 10.03.2009, 21:17

Hier nochmal ein paar auszüge aus dem Avira Protokoll:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 10. März 2009 19:39

Es wird nach 1291245 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
.
.
.
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: hoch
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen.....: 0x00001000

Beginn des Suchlaufs: Dienstag, 10. März 2009 19:39
.
.
.
Ende des Suchlaufs: Dienstag, 10. März 2009 20:09
Benötigte Zeit: 29:31 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

19456 Verzeichnisse wurden überprüft
436366 Dateien wurden geprüft
12 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
10 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
28 Dateien konnten nicht durchsucht werden
436326 Dateien ohne Befall
3598 Archive wurden durchsucht
163 Warnungen
49 Hinweise

Angel21 · 10.03.2009, 21:25

Lade dir mal Malwarebytes runter und lass es durchlaufen, das Log bitte hier rein ^^

Adler-Wolf · 10.03.2009, 21:33

Also ich würde, den Pc nach Rootkits scannen und Formatieren und die Anleitung Befolgen.
0
Aber warte bis sich ein Kompetenzler meldet.

AlexXYZ · 10.03.2009, 22:59

Zitat:

Zitat von Angel21

Lade dir mal Malwarebytes runter und lass es durchlaufen, das Log bitte hier rein ^^

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1831
Windows 5.1.2600 Service Pack 3

10.03.2009 22:59:13
mbam-log-2009-03-10 (22-59-13).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 204235
Laufzeit: 1 hour(s), 28 minute(s), 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Angel21 · 10.03.2009, 23:00

Und jetzt noch SUPERAntiSpyware Log bitte

AlexXYZ · 10.03.2009, 23:10

Zitat:

Zitat von Angel21

Und jetzt noch SUPERAntiSpyware Log bitte

Mach ich gerade!

Zwischenzeitlich noch ein Bericht vom Programm "Spybot":

--- Search result list ---
Common Dialogs: History (4 files) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log: Activity: SchedLgU.Txt (Datei sichern, nothing done)
C:\WINDOWS\SchedLgU.Txt

Log: Shutdown: System32\wbem\logs\mofcomp.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\mofcomp.log

Log: Shutdown: System32\wbem\logs\wbemcore.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemcore.log

Log: Shutdown: System32\wbem\logs\wbemess.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemess.log

Log: Shutdown: System32\wbem\logs\wbemprox.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemprox.log

Log: Shutdown: System32\wbem\logs\wmiprov.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wmiprov.log

MS Direct3D: [SBI $C2A44980] Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1343064118-1229028851-176799572-1146\Software\Microsoft\Direct3D\MostRecentApplication\Name

MS DirectDraw: [SBI $EB49D5AF] Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name

MS Office 10.0: [SBI $65F660A1] Internet history (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1343064118-1229028851-176799572-1146\Software\Microsoft\Office\10.0\Common\Internet\UseRWHlinkNavigation

MS Office 10.0 (Word): [SBI $51FE086C] Recently used documents list (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1343064118-1229028851-176799572-1146\Software\Microsoft\Office\10.0\Word\Data\Settings

MS Office 10.0 (Word): [SBI $B928A857] Templates history (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1343064118-1229028851-176799572-1146\Software\Microsoft\Office\10.0\Word\Recent Templates

MS Office 10.0 (Excel): [SBI $16D8675C] Recent file list (8 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1343064118-1229028851-176799572-1146\Software\Microsoft\Office\10.0\Excel\Recent Files

MS Search Assistant: [SBI $AE0C4647] Typed search terms history (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1343064118-1229028851-176799572-1146\Software\Microsoft\Search Assistant\ACMru

Windows: [SBI $1E4E2003] Drivers installation paths (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\Installation Sources

Windows.OpenWith: [SBI $ECC28BDF] Open with list - .CSV extension (3 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1343064118-1229028851-176799572-1146\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.CSV\OpenWithList

Windows Explorer: [SBI $7308A845] Run history (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1343064118-1229028851-176799572-1146\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Windows Explorer: [SBI $2026AFB6] User Assistant history IE (4 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1343064118-1229028851-176799572-1146\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: [SBI $6107D172] User Assistant history files (27 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1343064118-1229028851-176799572-1146\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: [SBI $B7EBA926] Last visited history (3 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1343064118-1229028851-176799572-1146\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Windows Explorer: [SBI $D20DA0AD] Recent file global history (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1343064118-1229028851-176799572-1146\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Cookie: [SBI $49804B54] Cookie (1) (Cookie, nothing done)

Cache: [SBI $49804B54] Cache (59) (Cache, nothing done)

History: [SBI $49804B54] Verlauf (14) (Verlauf, nothing done)

Cookie: [SBI $49804B54] Cookie (319) (Cookie, nothing done)

Gratuliere!: Es wurden keine Spione gefunden. (Status)

AlexXYZ · 10.03.2009, 23:33

Zitat:

Zitat von Angel21

Und jetzt noch SUPERAntiSpyware Log bitte

So und jetzt der Log aus dem Superantispyware...

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/10/2009 at 11:34 PM

Application Version : 4.25.1014

Core Rules Database Version : 3790
Trace Rules Database Version: 1746

Scan type : Complete Scan
Total Scan Time : 00:25:17

Memory items scanned : 752
Memory threats detected : 0
Registry items scanned : 7486
Registry threats detected : 0
File items scanned : 21097
File threats detected : 17

Adware.Vundo/Variant-129
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BC0A476B-FC26-4ECB-A5D9-118C356B83C8}\RP59\A0004930.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BC0A476B-FC26-4ECB-A5D9-118C356B83C8}\RP59\A0004920.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BC0A476B-FC26-4ECB-A5D9-118C356B83C8}\RP59\A0004921.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BC0A476B-FC26-4ECB-A5D9-118C356B83C8}\RP59\A0004922.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BC0A476B-FC26-4ECB-A5D9-118C356B83C8}\RP59\A0004923.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BC0A476B-FC26-4ECB-A5D9-118C356B83C8}\RP59\A0004924.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BC0A476B-FC26-4ECB-A5D9-118C356B83C8}\RP59\A0004928.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BC0A476B-FC26-4ECB-A5D9-118C356B83C8}\RP59\A0004929.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BC0A476B-FC26-4ECB-A5D9-118C356B83C8}\RP59\A0004931.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BC0A476B-FC26-4ECB-A5D9-118C356B83C8}\RP59\A0004932.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BC0A476B-FC26-4ECB-A5D9-118C356B83C8}\RP59\A0004934.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BC0A476B-FC26-4ECB-A5D9-118C356B83C8}\RP59\A0004935.DLL

Adware.Vundo/Variant
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BC0A476B-FC26-4ECB-A5D9-118C356B83C8}\RP59\A0004925.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BC0A476B-FC26-4ECB-A5D9-118C356B83C8}\RP59\A0004926.DLL
C:\WINDOWS\SYSTEM32\PWIBXC.DLL

Adware.Vundo/Variant-PrintDlgA
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BC0A476B-FC26-4ECB-A5D9-118C356B83C8}\RP59\A0004933.DLL

Adware.Vundo/Variant-EC
C:\WINDOWS\SYSTEM32\SAPAWOMA.DLL

AlexXYZ · 11.03.2009, 16:26

Hat jemand noch einen Rat für mich?

Jig Saw · 11.03.2009, 16:29

mach nur mal das:

Deaktivieren der Systemwiederherstellung

Windows XP:

Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
Wähle den Reiter "Systemwiederherstellung"
Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
Jetzt den PC booten, der Start kann eine Weile dauern
Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

Zitat von Adler-Wolf

Zitat:

Also ich würde, den Pc nach Rootkits scannen und Formatieren und die Anleitung Befolgen.

soll das ein Witz sein? Wenn er formatiert ist der Rootkit weg!

AlexXYZ · 11.03.2009, 18:14

Zitat:

Zitat von Jig Saw

mach nur mal das:

Deaktivieren der Systemwiederherstellung

Windows XP:

Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
Wähle den Reiter "Systemwiederherstellung"
Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
Jetzt den PC booten, der Start kann eine Weile dauern
Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

Zitat von Adler-Wolf

soll das ein Witz sein? Wenn er formatiert ist der Rootkit weg!

Hallo JigSaw,

OK das hab ich gemacht! Soll ich jetzt einen scan machen? Wenn ja mit welchem Programm?

Danke

Jig Saw · 11.03.2009, 18:23

ich hab nur gesehen dass dein Helfer nicht da ist und dass die Funde in der Systemwiederherstellung sind deswegen hab ich dir das gesagt sollst du machen.
Du hast gesagt Avira oder Malwarebytes hätte Virtumonde gefunden hast du den Log schon gepostet, wenn nicht kannst du ihn posten?

11.03.2009, 18:23	#15
Jig Saw /// Helfer-Team	Trojaner verseucht ich hab nur gesehen dass dein Helfer nicht da ist und dass die Funde in der Systemwiederherstellung sind deswegen hab ich dir das gesagt sollst du machen. Du hast gesagt Avira oder Malwarebytes hätte Virtumonde gefunden hast du den Log schon gepostet, wenn nicht kannst du ihn posten? __________________ A fool with a tool is still a fool

Trojaner verseucht

Log-Analyse und Auswertung: Trojaner verseucht