Trojaner eingefangen

Flo20 · 26.03.2009, 15:25

Also AntiVir hat nichts gefunden. Hier der Bericht:

PHP-Code:

  Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Donnerstag, 26. März 2009  12:56

 
Es wird nach 1323121 Virenstämmen gesucht.

 
Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Windows Vista

Windowsversion : (Service Pack 1)  [6.0.6001]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM

Computername   : FLO-SAMSUNG

 
Versionsinformationen:

BUILD.DAT      : 9.0.0.387     17962 Bytes  24.03.2009 11:03:00

AVSCAN.EXE     : 9.0.3.3      464641 Bytes  24.02.2009 11:13:22

AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10

LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44

LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59

ANTIVIR0.VDF   : 7.1.0.0    15603712 Bytes  27.10.2008 11:30:36

ANTIVIR1.VDF   : 7.1.2.12    3336192 Bytes  11.02.2009 19:33:26

ANTIVIR2.VDF   : 7.1.2.199   1008640 Bytes  22.03.2009 21:27:09

ANTIVIR3.VDF   : 7.1.2.219    173568 Bytes  26.03.2009 11:56:18

Engineversion  : 8.2.0.126

AEVDF.DLL      : 8.1.1.0      106868 Bytes  27.01.2009 16:36:42

AESCRIPT.DLL   : 8.1.1.67     364923 Bytes  24.03.2009 21:27:13

AESCN.DLL      : 8.1.1.8      127346 Bytes  24.03.2009 21:27:12

AERDL.DLL      : 8.1.1.3      438645 Bytes  29.10.2008 17:24:41

AEPACK.DLL     : 8.1.3.11     397687 Bytes  24.03.2009 21:27:12

AEOFFICE.DLL   : 8.1.0.36     196987 Bytes  26.02.2009 19:01:56

AEHEUR.DLL     : 8.1.0.111   1679736 Bytes  24.03.2009 21:27:11

AEHELP.DLL     : 8.1.2.2      119158 Bytes  26.02.2009 19:01:56

AEGEN.DLL      : 8.1.1.30     336245 Bytes  24.03.2009 21:27:10

AEEMU.DLL      : 8.1.0.9      393588 Bytes  09.10.2008 13:32:40

AECORE.DLL     : 8.1.6.6      176501 Bytes  17.02.2009 13:22:44

AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 13:32:40

AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56

AVPREF.DLL     : 9.0.0.1       43777 Bytes  03.12.2008 10:39:55

AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28

AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04

AVARKT.DLL     : 9.0.0.1      292609 Bytes  09.02.2009 06:52:20

AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04

SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49

SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28

NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21

RCIMAGE.DLL    : 9.0.0.21    2438401 Bytes  09.02.2009 10:41:16

RCTEXT.DLL     : 9.0.35.0      87809 Bytes  11.03.2009 14:50:50

 
Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp

Protokollierung.......................: niedrig

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, D:, 

Durchsuche aktive Programme...........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: mittel

 
Beginn des Suchlaufs: Donnerstag, 26. März 2009  12:56

 
Der Suchlauf nach versteckten Objekten wird begonnen.

Es wurden '86064' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

 
Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ieuser.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wlcomm.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'BTStackServer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmdSync.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'WCScheduler.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'EasyBatteryMgr3.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SUPBackGround.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '69' Prozesse mit '69' Modulen durchsucht

 
Der Suchlauf über die Masterbootsektoren wird begonnen:

 
Der Suchlauf über die Bootsektoren wird begonnen:

 
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '48' Dateien ).

 
 
Der Suchlauf über die ausgewählten Dateien wird begonnen:

 
Beginne mit der Suche in 'C:\'

C:\hiberfil.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.

    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.

C:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.

    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.

Beginne mit der Suche in 'D:\'

 
 
Ende des Suchlaufs: Donnerstag, 26. März 2009  13:41

Benötigte Zeit: 44:22 Minute(n)

 
Der Suchlauf wurde vollständig durchgeführt.

 
  17131 Verzeichnisse wurden überprüft

 273560 Dateien wurden geprüft

      0 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      2 Dateien konnten nicht durchsucht werden

 273558 Dateien ohne Befall

   1210 Archive wurden durchsucht

      2 Warnungen

      2 Hinweise

  86064 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

Malware hat auch nichts gefunden:

PHP-Code:

  Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1900

Windows 6.0.6001 Service Pack 1

 
26.03.2009 15:21:32

mbam-log-2009-03-26 (15-21-32).txt

 
Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 164901

Laufzeit: 1 hour(s), 33 minute(s), 59 second(s)

 
Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0

 
Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)

 
Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)

 
Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)

 
Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)

 
Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)

 
Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)

 
Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Und hier abschließend das neue HijackThis Log:

PHP-Code:

  Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:24:36, on 26.03.2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 
Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe

C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe

C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe

C:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Windows\System32\rundll32.exe

C:\Windows\WindowsMobile\wmdSync.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Program Files\Internet Explorer\IEUser.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Play AVStation TV Scheduler] C:\Program Files\Samsung\Play AVStation\TvScheduler.exe

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O13 - Gopher Prefix: 

O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab

O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1205923312

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Google Update Service (gupdate1c985f16ece326b) (gupdate1c985f16ece326b) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

 
--

End of file - 7685 bytes

Redwulf · 27.03.2009, 11:24

Was jetzt kommt ist sehr wichtig:
Also zuerst lesen:

Stecke deine andere Hardware an ( USB Stick etc ) und halte dabei die Strg tatse gedrückt. das verhindert den autostart eventuell vorhandener Programme.....

Als nächstes setzen wir ComboFix ein

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.

Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

CCleaner Systembereinigung nochmals laufen lassen

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbreitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Falls weder Combofix noch HJ gestartet werden kann wie folgt vorgehen:
Arbeitsplatz->rechte Maustaste->Eigenschaften->Hardware->Gerätemanager->Ansicht->ausgeblendete Geräte anzeigen->Nicht PnP-Treiber
und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten.

Das gleiche für den Treiber UACd.sys (z. B.: UACjkrpwvvu.dll etc.)
Bitte melden ob gefunden und was gefunden (!genaue Bezeichnung!).
Danach noch mal Combofix bzw. HJ und MAM probieren...

Flo20 · 27.03.2009, 11:51

Musste es zweimal laufen lassen, hab beim ersten mal den stick vergessen

Hier das zweite Protokoll:

PHP-Code:

  ComboFix 09-03-26.03 - Flo 2009-03-27 11:41:28.2 - NTFSx86

Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.1.1031.18.2046.1265 [GMT 1:00]

ausgeführt von:: c:\users\Flo\Desktop\ComboFix.exe

.

 
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

 
F:\autorun.inf

f:\recycler\S-3-3-86-100014502-100032276-100022492-6009.com

 
.

(((((((((((((((((((((((   Dateien erstellt von 2009-02-27 bis 2009-03-27  ))))))))))))))))))))))))))))))

.

 
2009-03-24 22:22 . 2009-03-24 22:22    <DIR>    d--------    c:\users\All Users\Avira

2009-03-24 22:22 . 2009-03-24 22:22    <DIR>    d--------    c:\programdata\Avira

2009-03-24 22:22 . 2009-03-24 22:22    <DIR>    d--------    c:\program files\Avira

2009-03-24 22:22 . 2009-02-13 11:31    55,640    --a------    c:\windows\System32\drivers\avgntflt.sys

2009-03-24 08:15 . 2009-03-24 08:15    <DIR>    d--------    c:\users\Flo\AppData\Roaming\Malwarebytes

2009-03-23 20:56 . 2009-03-23 20:56    <DIR>    d--------    c:\users\All Users\Malwarebytes

2009-03-23 20:56 . 2009-03-23 20:56    <DIR>    d--------    c:\programdata\Malwarebytes

2009-03-23 20:56 . 2009-03-24 11:05    <DIR>    d--------    c:\program files\Malwarebytes' Anti-Malware

2009-03-23 20:56 . 2009-02-11 10:19    38,496    --a------    c:\windows\System32\drivers\mbamswissarmy.sys

2009-03-23 20:56 . 2009-02-11 10:19    15,504    --a------    c:\windows\System32\drivers\mbam.sys

2009-03-23 20:44 . 2009-03-23 20:44    <DIR>    d--------    c:\program files\Trend Micro

2009-03-23 11:35 . 2009-03-23 11:35    <DIR>    d--------    c:\users\All Users\LightScribe

2009-03-23 11:35 . 2009-03-23 11:35    <DIR>    d--------    c:\programdata\LightScribe

2009-03-23 08:57 . 2009-03-23 08:57    4,767    --a------    c:\windows\Irremote.ini

2009-03-23 08:34 . 2009-03-23 09:13    <DIR>    d--------    c:\program files\Common Files\Nero

2009-03-22 18:50 . 2009-03-22 22:55    <DIR>    d--------    c:\users\Flo\AppData\Roaming\Azureus

2009-03-22 18:50 . 2009-03-22 18:50    <DIR>    d--------    c:\users\All Users\Azureus

2009-03-22 18:50 . 2009-03-22 18:50    <DIR>    d--------    c:\programdata\Azureus

2009-03-22 18:49 . 2009-03-22 18:49    <DIR>    d--------    c:\program files\Vuze

2009-03-20 16:41 . 2009-03-20 16:41    <DIR>    d--------    c:\users\Flo\AppData\Roaming\Media Player Classic

2009-03-20 15:49 . 2008-04-17 12:12    107,368    --a------    c:\windows\System32\GEARAspi.dll

2009-03-20 15:49 . 2009-01-15 12:19    23,848    --a------    c:\windows\System32\drivers\GEARAspiWDM.sys

2009-03-20 15:48 . 2009-03-20 15:49    <DIR>    d--------    c:\users\All Users\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}

2009-03-20 15:48 . 2009-03-20 15:49    <DIR>    d--------    c:\programdata\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}

2009-03-20 15:48 . 2009-03-20 15:49    <DIR>    d--------    c:\program files\iTunes

2009-03-20 15:48 . 2009-03-20 15:48    <DIR>    d--------    c:\program files\iPod

2009-03-20 15:47 . 2009-03-20 15:47    <DIR>    d--------    c:\program files\Bonjour

2009-03-20 15:46 . 2009-03-20 15:47    <DIR>    d--------    c:\program files\QuickTime

2009-03-20 14:51 . 2009-03-20 14:51    <DIR>    d--------    c:\program files\XviD

2009-03-20 14:51 . 2009-03-20 14:51    <DIR>    d--------    c:\program files\AviSynth 2.5

2009-03-20 14:50 . 2009-03-20 14:50    <DIR>    d--------    c:\program files\Gabest

2009-03-20 14:50 . 2009-03-20 14:51    <DIR>    d--------    c:\program files\AutoGK

2009-03-20 14:08 . 2009-03-20 14:08    <DIR>    d--------    c:\users\Flo\AppData\Roaming\dvdcss

2009-03-19 14:47 . 2009-03-19 14:47    <DIR>    d--------    C:\Drivers

2009-03-19 14:47 . 2001-11-05 09:23    299,923    --a------    c:\windows\System32\drivers\sonyhcs.sys

2009-03-19 14:47 . 2002-10-15 22:41    102,220    --a------    c:\windows\System32\drivers\sonypvs1.sys

2009-03-19 14:47 . 2001-07-03 20:33    53,248    --a------    c:\windows\System32\SONYHCY.DLL

2009-03-19 14:47 . 2001-11-05 09:23    38,739    --a------    c:\windows\System32\drivers\sonyhcc.sys

2009-03-19 14:47 . 2001-11-05 09:23    6,097    --a------    c:\windows\System32\drivers\sonyhcb.sys

2009-03-19 14:47 . 2001-07-03 20:39    3,654    --a------    c:\windows\System32\drivers\Sonyhcp.dll

2009-03-19 11:03 . 2008-12-16 04:29    8,147,456    --a------    c:\windows\System32\wmploc.DLL

2009-03-19 11:03 . 2009-02-09 04:10    2,033,152    --a------    c:\windows\System32\win32k.sys

2009-03-19 11:03 . 2008-11-27 05:43    268,288    --a------    c:\windows\System32\schannel.dll

2009-03-19 11:03 . 2008-12-16 06:31    7,680    --a------    c:\windows\System32\spwmp.dll

2009-03-19 11:03 . 2008-12-16 06:31    4,096    --a------    c:\windows\System32\msdxm.ocx

2009-03-19 11:03 . 2008-12-16 06:31    4,096    --a------    c:\windows\System32\dxmasf.dll

 
.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-26 12:05    ---------    d-----w    c:\programdata\Google Updater

2009-03-24 21:11    ---------    d-----w    c:\program files\Java

2009-03-24 20:31    ---------    d-----w    c:\program files\CCleaner

2009-03-23 19:18    ---------    d--h--w    c:\program files\InstallShield Installation Information

2009-03-23 12:22    ---------    d-----w    c:\users\Flo\AppData\Roaming\Nero

2009-03-23 07:55    ---------    d-----w    c:\program files\Nero

2009-03-23 07:46    ---------    d-----w    c:\programdata\Nero

2009-03-22 14:40    100,917    ----a-w    c:\users\Flo\AppData\Roaming\nvModes.dat

2009-03-20 14:48    ---------    d-----w    c:\program files\Common Files\Apple

2009-03-19 14:59    ---------    d-----w    c:\program files\Windows Mail

2009-03-09 04:19    410,984    ----a-w    c:\windows\System32\deploytk.dll

2009-02-10 18:47    ---------    d-----w    c:\program files\Google

2009-02-08 18:57    ---------    d-----w    c:\program files\Windows Live SkyDrive

2009-02-08 18:57    ---------    d-----w    c:\program files\Windows Live

2009-02-08 18:57    ---------    d-----w    c:\program files\Microsoft

2009-02-08 18:50    ---------    d-----w    c:\program files\Common Files\Windows Live

2009-02-07 13:31    ---------    d-----w    c:\program files\7-Zip

2009-02-06 17:52    49,504    ----a-w    c:\windows\System32\sirenacm.dll

2009-01-27 18:23    ---------    d-----w    c:\programdata\Avanquest Bluetooth SDK

2009-01-27 17:24    ---------    d-----w    c:\programdata\Sony Ericsson

2009-01-27 17:23    ---------    d-----w    c:\users\Flo\AppData\Roaming\Teleca

2009-01-27 17:23    ---------    d-----w    c:\program files\Sony Ericsson

2009-01-27 17:23    ---------    d-----w    c:\program files\Common Files\Teleca Shared

2009-01-27 16:40    ---------    d-----w    c:\users\Flo\AppData\Roaming\InstallShield

2009-01-25 21:10    179,200    ----a-w    c:\windows\System32\xvidvfw.dll

2009-01-15 06:11    827,392    ----a-w    c:\windows\System32\wininet.dll

2009-01-12 11:28    1,107,296    ----a-w    c:\windows\System32\WdfCoInstaller01007.dll

2009-01-08 23:01    629,760    ----a-w    c:\windows\System32\xvidcore.dll

2008-06-07 12:13    174    --sha-w    c:\program files\desktop.ini

2008-03-11 19:50    32    ----a-w    c:\users\All Users\ezsid.dat

2008-03-11 19:50    32    ----a-w    c:\programdata\ezsid.dat

.

 
(((((((((((((((((((((((((((((   SnapShot@2009-03-27_11.37.51,45   )))))))))))))))))))))))))))))))))))))))))

.

- 2009-03-27 10:37:32    262,144    --sha-w    c:\windows\ServiceProfiles\LocalService\ntuser.dat

+ 2009-03-27 10:37:33    262,144    --sha-w    c:\windows\ServiceProfiles\LocalService\ntuser.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-02-06 839680]

"Play AVStation TV Scheduler"="c:\program files\Samsung\Play AVStation\TvScheduler.exe" [2007-01-08 73728]

"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-05-22 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-22 8433664]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-22 81920]

"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-03-12 342312]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"RtHDVCpl"="RtHDVCpl.exe" [2007-03-14 c:\windows\RtHDVCpl.exe]

 
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-12-20 719664]

 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"NoHotStart"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

 
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]

"DisableMonitoring"=dword:00000001

 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{45782E71-80D9-4033-826C-86A91EFE9DE0}"= UDP:c:\program files\Intel\Intel Media Share Software\IMSS.exe:Intel® Media Share Software

"{47B8B43B-7755-47F7-B742-72E18BA49B97}"= TCP:c:\program files\Intel\Intel Media Share Software\IMSS.exe:Intel® Media Share Software

"{4AF2557B-E312-46A7-A7C5-FC6997D5A842}"= UDP:c:\program files\Intel\Intel Media Share Software\IMSSync.exe:Intel® Media Share Synch Service

"{6790C3F4-8159-481D-8D30-1E98A0B121CA}"= TCP:c:\program files\Intel\Intel Media Share Software\IMSSync.exe:Intel® Media Share Synch Service

"TCP Query User{E9CD96F7-45A5-4906-918F-D2996E94A4B3}c:\\program files\\skype\\phone\\skype.exe"= UDP:c:\program files\skype\phone\skype.exe:Skype. Take a deep breath 

"UDP Query User{BB8ED1A9-0ACB-4F33-8095-C5B3446D9B40}c:\\program files\\skype\\phone\\skype.exe"= TCP:c:\program files\skype\phone\skype.exe:Skype. Take a deep breath 

"TCP Query User{582975F1-42D2-4772-800E-1E84E42A0A78}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer

"UDP Query User{C1F1C819-00E5-4877-AE48-EADD39EC7F79}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer

"TCP Query User{CF75D021-532C-411A-A9FB-0946A92932D2}c:\\program files\\skype\\phone\\skype.exe"= UDP:c:\program files\skype\phone\skype.exe:Skype. Take a deep breath 

"UDP Query User{36B0C31C-3E4A-4B93-9ECE-3293E2F87170}c:\\program files\\skype\\phone\\skype.exe"= TCP:c:\program files\skype\phone\skype.exe:Skype. Take a deep breath 

"TCP Query User{D3950DD6-7DD0-442E-88B7-B44AF4B29E4C}c:\\program files\\windows sidebar\\sidebar.exe"= UDP:c:\program files\windows sidebar\sidebar.exe:Windows-Sidebar

"UDP Query User{5A9536EE-9F04-474C-8FDA-165E6A8DF586}c:\\program files\\windows sidebar\\sidebar.exe"= TCP:c:\program files\windows sidebar\sidebar.exe:Windows-Sidebar

"TCP Query User{8F47B89A-41F2-4DEB-81B2-54EC6F6E1FDC}c:\\program files\\itunes\\itunes.exe"= UDP:c:\program files\itunes\itunes.exe:iTunes

"UDP Query User{A5DDD5DE-772B-4060-AD66-D41B16261479}c:\\program files\\itunes\\itunes.exe"= TCP:c:\program files\itunes\itunes.exe:iTunes

"TCP Query User{35CC64EF-18B8-4CA6-8542-9FA8AD2FE719}c:\\program files\\sony ericsson\\update service\\update service.exe"= UDP:c:\program files\sony ericsson\update service\update service.exe:Update Service

"UDP Query User{1B20DB94-B4F9-4817-A093-A30EA22BC0A0}c:\\program files\\sony ericsson\\update service\\update service.exe"= TCP:c:\program files\sony ericsson\update service\update service.exe:Update Service

"{EF816C01-DE83-4C36-9F83-5AC55F2E8707}"= UDP:c:\program files\Sony Ericsson\Sony Ericsson Media Manager\MediaManager.exe:Sony Ericsson Media Manager 1.2

"{CA1F7D12-4D91-41C2-B8C0-A0AAB933FC0F}"= TCP:c:\program files\Sony Ericsson\Sony Ericsson Media Manager\MediaManager.exe:Sony Ericsson Media Manager 1.2

"{F294BBF6-9700-4E47-B592-FDF7022A4226}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour

"{32A00EA2-DD44-4A43-A4A8-B15A1C96518B}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour

"{D97E2E47-B53A-4287-99FE-460B5DED359D}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes

"{0CB6D589-738D-4E4D-9088-9B9A07B0E930}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes

"TCP Query User{67B89AC6-C1E7-426E-ADBA-57395202D608}c:\\program files\\vuze\\azureus.exe"= UDP:c:\program files\vuze\azureus.exe:Azureus

"UDP Query User{982D9BBB-DD54-4B26-A573-D188CFD8BBA2}c:\\program files\\vuze\\azureus.exe"= TCP:c:\program files\vuze\azureus.exe:Azureus

 
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-03-24 108289]

R2 KMDFMEMIO;SAMSUNG Kernel Driver;c:\windows\System32\drivers\KMDFMEMIO.sys [2007-09-08 13312]

R3 VMC302;Vimicro Camera Service VMC302;c:\windows\System32\drivers\vmc302.sys [2008-11-19 242048]

S2 gupdate1c985f16ece326b;Google Update Service (gupdate1c985f16ece326b);c:\program files\Google\Update\GoogleUpdate.exe [2009-02-03 133104]

S2 vvdsvc;VJVodServices;c:\windows\System32\svchost.exe -k vvdsvc [2008-06-07 21504]

S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\System32\drivers\ggflt.sys [2009-01-12 10976]

S3 NETw2v32;Intel(R) PRO/Wireless 2915ABG Network Connection Driver for Windows Vista;c:\windows\System32\drivers\NETw2v32.sys [2006-11-02 2589184]

S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\System32\drivers\s0016bus.sys [2009-01-27 89256]

S3 s125bus;Sony Ericsson Device 125 driver (WDM);c:\windows\System32\drivers\s125bus.sys [2008-09-09 83336]

S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;c:\windows\System32\drivers\s125mdfl.sys [2008-09-09 15112]

S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;c:\windows\System32\drivers\s125mdm.sys [2008-09-09 108680]

S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);c:\windows\System32\drivers\s125mgmt.sys [2008-09-09 100488]

S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;c:\windows\System32\drivers\s125obex.sys [2008-09-09 98696]

 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs    REG_MULTI_SZ       BthServ

WindowsMobile    REG_MULTI_SZ       wcescomm rapimgr

LocalServiceRestricted    REG_MULTI_SZ       WcesComm RapiMgr

vvdsvc    REG_MULTI_SZ       vvdsvc

.

Inhalt des "geplante Tasks" Ordners

 
2009-03-27 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 10:03]

 
2009-03-27 c:\windows\Tasks\GoogleUpdateTaskMachine.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-03 12:20]

 
2009-03-27 c:\windows\Tasks\SupBackGroundTask.job

- c:\program files\Samsung\Samsung Update Plus\SUPBackGround.exe [2008-09-25 17:34]

 
2009-03-27 c:\windows\Tasks\User_Feed_Synchronization-{8EE03502-1E4C-4ABB-9E56-44C13F13ECF7}.job

- c:\windows\system32\msfeedssync.exe [2008-01-19 08:33]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uInternet Settings,ProxyOverride = *.local

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1205923312

.

 
**************************************************************************

 
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-27 11:42:47

Windows 6.0.6001 Service Pack 1 NTFS

 
Scanne versteckte Prozesse... 

 
Scanne versteckte Autostarteinträge... 

 
Scanne versteckte Dateien... 

 
Scan erfolgreich abgeschlossen

versteckte Dateien: 0

 
**************************************************************************

.

Zeit der Fertigstellung: 2009-03-27 11:43:49

ComboFix-quarantined-files.txt  2009-03-27 10:43:47

ComboFix2.txt  2009-03-27 10:38:31

 
Vor Suchlauf: 22 Verzeichnis(se), 44.829.028.352 Bytes frei

Nach Suchlauf: 22 Verzeichnis(se), 44,792,848,384 Bytes frei

 
205    --- E O F ---    2009-03-27 09:46:41

Unter C habe ich einen leeren Ordner mit folgendem Namen:

PHP-Code:

  $$DeleteMe.$$DeleteMe.$$DeleteMe.$$DeleteMe.$$DeleteMe.$$DeleteMe.$$DeleteMe..01c883934bd1e347.0000.01c8839364ee6aad.0000.01c883b1f74ad610.0000.01c883b231fc6fad.0000.01c8841a3ba763a1.0000.01c88501ee25c5af.0000.01c8851eb7722f9c.0000

kann ich den löschen oder was is des?

Redwulf · 27.03.2009, 11:55

Warte einen Augenblick muss erst mal durch das Log, dann machen wir weiter, bin gleich wieder bei dir

Flo20 · 27.03.2009, 12:13

Lass dir zeit, muss in die Uni

Grüße
Flo

Redwulf · 27.03.2009, 12:14

Dein Log ist lang, ich konnte aber nichts auffälliges sehen.
Bei deinem Delete ordner handelt sich offensichtlich um einen Ordner der während der Vista Installation angelegt wurde.

Du solltest Azureus, diesen Bit Torrent Client löschen, ebenso Bonjour ( brauchst du nicht ) und alles von Google ( Datensammler )

Hiernach CCleaner und nochmal ein frisches Hijack this bitte

Was macht dein Rechner? Immer noch Auffälligkeiten?

Flo20 · 28.03.2009, 12:42

Im Augenblick ist der Rechner wieder ganz normal, sämtliche Anzeichen sind verschwunden

Hier noch das neue HJT

PHP-Code:

  Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:40:15, on 28.03.2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 
Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe

C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe

C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe

C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe

C:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Windows\System32\rundll32.exe

C:\Windows\System32\rundll32.exe

C:\Windows\WindowsMobile\wmdSync.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Program Files\Internet Explorer\ieuser.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Play AVStation TV Scheduler] C:\Program Files\Samsung\Play AVStation\TvScheduler.exe

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O13 - Gopher Prefix: 

O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab

O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1205923312

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

 
--

End of file - 6372 bytes

Redwulf · 28.03.2009, 13:06

Das sieht sehr gut aus

Dann bitte diesen Eintrag fixen

Code:

ATTFilter

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

Danach nochmal CCleaner. Du solltest außerdem überlegen, ob du all diese Programme mit starten lassen musst. Alle Programme wirst du nicht brauchen und wenn du Eines brauchst, kannst du es ja auch manuell starten.

Für XP: -->Mit Start --> Ausführen --> msconfig [eintippen] / Reiter Systemstart kannst du, falls gewünscht, einige der dort gelisteten Programme vom Start herunternehmen.

Für Vista: -> Alle Programme -> Zubehör -> Ausführen den Ausführen-Dialog öffnen und dort "msconfig" eintippen. Nachdem die Eingabe mit OK bestätigt wurde, öffnet sich auch schon ein Fenster namens "Systemkonfiguration".
Hier kannst du dann einige der gelisteten Programme vom Systemstart ausnehmen.

Doch Vorsicht !! Wer mit der Systemkonfiguration herumspielen will, sollte sich zuvor genau erkundigen, was die einzelnen Optionen, Dienste und Programme bewirken!

Einige deiner Programme und Treiber sind hoffnungslos veraltet...
Damit du deine Treiber immer auf dem neuesten Stand hast empfehle ich dir
Secunia PSI

Hier erhälst du einen schnellen Überblick über den Zustand deiner Treiber, Risiken und wie man diese Risiken mittels freien Downloads beseitigen kann. So hast du alle Treiber im Griff und immer auf dem neuesten Stand.

Als alternativen Browser kann ich dir nur Firefox an Herz legen. Ad Block Plus
und NoScript sind Erweiterungen, die du in den Firefox einbauen kannst.
Lösche jedoch nicht den Internet Explorer, da du diesen für deine Updates brauchst.

Lasse deine Windows Firewall immer an und verzichte auf andere Firewalls.
Sun´s Java sollte immer auf dem aktuellsten Stand sein. Den Download findest du hier.

Eine Alternative zu Outlook ist Thunderbird, der durch seine Technologie die sichere Variante ist.

Auch diese Hinweise zu Punkt 3 ( Absichern des Systems ) sind angesagt.

Entferne alle Programme die wir eingesetzt haben und stelle deine Systemwiederherstellung wieder an. Die Einstellungen Ordneroptionen / Verstecke und Systemdateien anzeigen solltest du wie oben unter Punkt 3
einstellen.

CCleaner und Malwarebytes kannst du drauf lassen...NUTZE sie regelmäßig ( updates nicht vergessen ) CCleaner erhöht bei regelmäßiger Anwendung u.a. auch die Performance deines Systems.

Als letzten Tip kann ich dir nur die Eintsllungen für den Avira Antivirus empfehlen, lies bitte hierzu folgende Seite.

Ich wünsche dir in Zukunft sicheres surfen......

Nun war dein System leider bereits kompromitiert.
Bei Kompromitierung solltest du dir die offizielle Stellungnahme von Microsoft durchlesen:

Ich wünsche dir in Zukunft sicheres surfen und viel Spaß....

Flo20 · 29.03.2009, 14:49

Hey Redwulf, vielen, vielen Dank!!!

Werde deine Tips noch abarbeiten und hoffe du hörst so schnell nichts mehr von mir

Flo20 · 31.03.2009, 10:13

Man könnte den Beitrag auf "gelöst"

setzen...
Entweder ich bin dazu nicht berechtigt, oder ich blick nicht wie es funktioniert.

Redwulf · 31.03.2009, 11:52

Zitat:

Zitat von Flo20

Hey Redwulf, vielen, vielen Dank!!!

Werde deine Tips noch abarbeiten und hoffe du hörst so schnell nichts mehr von mir

Ich denke ein Admin wird dies als >gelöst setzen...
Trotzdem schau hin und wieder mal rein. Es gibt immer Interessantes zu lesen....

Hier zu sein muss nicht unbedingt etwas negatives bedeuten....

Trojaner eingefangen

Log-Analyse und Auswertung: Trojaner eingefangen