schlimmer Trojaner?

melinaschatz · 02.04.2009, 18:49

Hallo zusammen

Ich bin neu hier und kenne mich nicht gut aus mit Computern. Ich habe jedoch ein grosses Problem und ich bin mir ziemlich sicher, dass ich irgendeinen Virus oder einen Trojaner eingefangen habe. Das Problem ist, dass ich nicht mehr in mein Facebook-Profil reinkomme. Habe dummerweise vor kurzem auf einen Link gedrückt, welchen ich nicht hätte anklicken sollen. Ich nehme an, dass dadurch der Trojaner in mein System gelangen konnte. Ich habe hier einmal eine HiJack Logfile für euch, hoffe Ihr könnt mir helfen. Danke im Vorraus.

Eure Melina

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:47:51, on 02.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\AGRSMMSG.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\windows\pp06.exe
C:\windows\freddy40.exe
C:\windows\mstre15.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Programme\Samsung\Digimax Viewer 2.1\STImgBrowser.exe
C:\Programme\Siemens\Gigaset USB Stick 54\Gcc.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Siemens\Gigaset USB Stick 54\OdHost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\PCHEALTH\HelpCtr\Binaries\HelpCtr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\system32\RDSHOST.exe
C:\WINDOWS\system32\sessmgr.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Live Toolbar\msn_sl.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_CH&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.ch/0SEDECH/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.ch/0SEDECH/SAOS01?FORM=TOOLBR
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_CH&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.ch/0SEDECH/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: HP-Ansicht - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programme\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [roam win gpl acid] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\chin bait roam win\Junk Plan.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [user bib mp3 plan] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Amok Copy User Bib\BONE WIN.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [sysldtray] C:\windows\ld03.exe
O4 - HKLM\..\Run: [pp] C:\windows\pp06.exe
O4 - HKLM\..\Run: [sysfbtray] C:\windows\freddy40.exe
O4 - HKLM\..\Run: [sysmstray] C:\windows\mstre15.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [boobfile] C:\DOKUME~1\HP_BES~1\ANWEND~1\TWODUP~1\Mathglobalphone.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [areslite] "C:\Programme\Ares Lite Edition\AresLite.exe" -h
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Startup: AntiVir PE Classic.lnk = C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
O4 - Global Startup: Digimax Viewer 2.1.lnk = ?
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Stick 54\Gcc.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-CH/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 11834 bytes

Angel21 · 02.04.2009, 19:01

Hallo,

Gehe mal bitte nach der folgenden Anleitung unter Punkt 2: http://www.trojaner-board.de/69886-a...-beachten.html

Und lade mal bitte diese Datein bei Virustotal.com hoch und poste die Resultate hierrein:

Zitat:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\chin bait roam win\Junk Plan.exe

Zitat:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Amok Copy User Bib\BONE WIN.exe

Zitat:

C:\windows\ld03.exe

Zitat:

C:\windows\mstre15.exe

Zitat:

C:\DOKUME~1\HP_BES~1\ANWEND~1\TWODUP~1\Mathglobalp hone.exe

Zitat:

C:\windows\freddy40.exe

Zitat:

C:\windows\pp06.exe

john.doe · 02.04.2009, 19:04

Hallo melinaschatz und

Zitat:

Habe dummerweise vor kurzem auf einen Link gedrückt

Hast du den denn noch? Falls ja, dann schicke ihn mir bitte als PN zu.

Zitat:

Ich nehme an, dass dadurch der Trojaner in mein System gelangen konnte.

Wieso glaubst du denn, dass du einen Trojaner hast? Gibt es irgendwelche Anzeichen?

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)

ciao, andreas

melinaschatz · 02.04.2009, 20:01

Ich habe den Link noch.

Mein Kollege hat gedacht, dass es vielleicht ein Trojaner sein könnte, da ja jemand auf mein System zugegriffen hat. Ich komme nicht mehr in facebook rein...

Also ich werde mal deine Schritte ausführen. Vielen Dank erstmal

melinaschatz · 02.04.2009, 20:10

hier die file:

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3000+ )
BIOS : Phoenix - Award BIOS v6.00PG
USER : HP_Besitzer ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition Classic 7.0.3.161
(Activated)
C:\ (Local Disk) - NTFS - Total:144 Go (Free:105 Go)
D:\ (Local Disk) - FAT32 - Total:4 Go (Free:1 Go)
E:\ (CD or DVD)
F:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 02.04.2009|21:01 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[03.03.2009|22:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[13.05.2006|18:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[10.02.2009|15:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Amok Copy User Bib
[02.04.2009|20:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
[27.01.2008|14:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
[05.09.2008|23:22] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
[27.01.2008|13:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\BVRP Software
[27.03.2008|18:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\chin bait roam win
[25.12.2006|12:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Hewlett-Packard
[25.12.2006|12:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\HP
[23.08.2008|12:50] C:\DOKUME~1\ALLUSE~1\ANWEND~1\HP Product Assistant
[01.01.2004|14:56] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield
[01.01.2004|14:55] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InterVideo
[13.02.2006|18:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
[19.02.2009|23:52] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[01.01.2004|15:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Motive
[03.06.2006|13:47] C:\DOKUME~1\ALLUSE~1\ANWEND~1\QuickTime
[01.01.2004|09:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SBSI
[27.01.2008|14:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sony
[27.01.2008|13:58] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sony Ericsson
[01.12.2006|18:58] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec
[08.12.2007|17:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ulead Systems
[23.08.2008|13:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WEBREG
[01.12.2006|18:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[03.12.2006|18:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Live Toolbar
[20.02.2009|00:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[28|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[01.01.2004|15:03] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Apple Computer
[01.01.2004|09:26] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Identities
[01.01.2004|14:56] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Intervideo
[01.01.2004|14:55] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[01.01.2004|15:28] C:\DOKUME~1\DEFAUL~1\ANWEND~1\SampleView
[01.01.2004|09:53] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Sun
[01.01.2004|09:03] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Symantec
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[9|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[20.04.2008|17:15] C:\DOKUME~1\HP_BES~1\ANWEND~1\Adobe
[11.10.2008|11:57] C:\DOKUME~1\HP_BES~1\ANWEND~1\AdobeUM
[17.07.2008|18:54] C:\DOKUME~1\HP_BES~1\ANWEND~1\Apple Computer
[14.04.2006|13:17] C:\DOKUME~1\HP_BES~1\ANWEND~1\ArcSoft
[03.06.2006|13:52] C:\DOKUME~1\HP_BES~1\ANWEND~1\FotoWire
[23.08.2008|13:08] C:\DOKUME~1\HP_BES~1\ANWEND~1\HP
[02.04.2009|20:53] C:\DOKUME~1\HP_BES~1\ANWEND~1\HPAppData
[01.01.2004|09:26] C:\DOKUME~1\HP_BES~1\ANWEND~1\Identities
[27.01.2008|13:58] C:\DOKUME~1\HP_BES~1\ANWEND~1\InstallShield
[14.03.2006|17:42] C:\DOKUME~1\HP_BES~1\ANWEND~1\Intervideo
[16.03.2006|21:46] C:\DOKUME~1\HP_BES~1\ANWEND~1\Leadertech
[28.01.2006|15:18] C:\DOKUME~1\HP_BES~1\ANWEND~1\Macromedia
[20.02.2009|00:04] C:\DOKUME~1\HP_BES~1\ANWEND~1\Microsoft
[11.08.2006|22:09] C:\DOKUME~1\HP_BES~1\ANWEND~1\Motive
[01.01.2004|15:28] C:\DOKUME~1\HP_BES~1\ANWEND~1\SampleView
[16.03.2006|21:46] C:\DOKUME~1\HP_BES~1\ANWEND~1\Sonic
[27.01.2008|14:20] C:\DOKUME~1\HP_BES~1\ANWEND~1\Sony
[01.01.2004|09:53] C:\DOKUME~1\HP_BES~1\ANWEND~1\Sun
[28.01.2006|18:56] C:\DOKUME~1\HP_BES~1\ANWEND~1\Symantec
[20.02.2009|20:51] C:\DOKUME~1\HP_BES~1\ANWEND~1\Two dupe hope
[08.12.2007|17:46] C:\DOKUME~1\HP_BES~1\ANWEND~1\Ulead Systems
[19.02.2009|22:20] C:\DOKUME~1\HP_BES~1\ANWEND~1\Windows Live Writer
[0|Datei(en)] C:\DOKUME~1\HP_BES~1\ANWEND~1\Bytes
[24|Verzeichnis(se),] C:\DOKUME~1\HP_BES~1\ANWEND~1\Bytes frei

[01.01.2004|09:29] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[26.02.2008|23:07] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[02.04.2009 20:10][--a------] C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job
[03.03.2009 21:31][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[04.08.2004 12:00][-rah-c---] C:\WINDOWS\tasks\desktop.ini
[02.04.2009 19:01][--ah-----] C:\WINDOWS\tasks\SA.DAT

--------------------\\ MsgPlus SPONSOR INSTALLED !

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MsgPlus! Plugin]
"DisplayName"="Messenger Plus! 3 & Sponsor"
"SponsorInstalled"=dword:00000000

--------------------\\ Ordner Verzeichnis unter C:\Programme

[13.05.2006|19:00] C:\Programme\Adobe
[02.04.2009|20:16] C:\Programme\AntiVir PersonalEdition Classic
[03.03.2009|21:31] C:\Programme\Apple Software Update
[14.04.2006|13:15] C:\Programme\ArcSoft
[15.02.2009|11:03] C:\Programme\Avanquest update
[03.03.2009|21:33] C:\Programme\Bonjour
[20.02.2009|20:42] C:\Programme\Circle Developement
[01.01.2004|09:24] C:\Programme\ComPlus Applications
[14.04.2006|13:08] C:\Programme\directx
[01.01.2004|15:23] C:\Programme\Easy Internet signup
[05.03.2006|00:12] C:\Programme\eMule
[09.03.2006|22:42] C:\Programme\freesurf
[28.01.2006|15:19] C:\Programme\Funk Software
[19.02.2009|21:30] C:\Programme\Gemeinsame Dateien
[01.01.2004|15:19] C:\Programme\Help and Support Additions
[23.08.2008|12:55] C:\Programme\Hewlett-Packard
[23.08.2008|12:50] C:\Programme\HP
[05.02.2006|13:41] C:\Programme\IncrediMail
[11.09.2008|17:57] C:\Programme\InstallShield Installation Information
[11.02.2009|23:05] C:\Programme\Internet Explorer
[01.01.2004|14:55] C:\Programme\InterVideo
[03.03.2009|22:04] C:\Programme\iPod
[03.03.2009|22:05] C:\Programme\iTunes
[15.02.2006|16:24] C:\Programme\Java
[14.04.2008|13:39] C:\Programme\LimeWire
[03.06.2006|13:52] C:\Programme\Logitech
[13.08.2008|21:34] C:\Programme\Messenger
[20.02.2009|20:49] C:\Programme\Messenger Plus! Live
[20.02.2009|20:57] C:\Programme\MessengerPlus! 3
[01.03.2007|18:43] C:\Programme\MGI
[19.02.2009|23:19] C:\Programme\Microsoft
[10.05.2007|14:29] C:\Programme\Microsoft CAPICOM 2.1.0.2
[01.01.2004|09:27] C:\Programme\microsoft frontpage
[01.10.2006|12:01] C:\Programme\Microsoft Office
[19.02.2009|23:19] C:\Programme\Microsoft Office Outlook Connector
[27.02.2009|17:58] C:\Programme\Microsoft Silverlight
[26.02.2008|19:50] C:\Programme\Microsoft SQL Server Compact Edition
[01.10.2006|12:00] C:\Programme\Microsoft.NET
[14.02.2008|15:54] C:\Programme\Movie Maker
[11.02.2006|13:59] C:\Programme\MSN
[01.01.2004|09:24] C:\Programme\MSN Gaming Zone
[20.02.2009|20:51] C:\Programme\MSN Messenger
[16.11.2006|22:41] C:\Programme\MSXML 4.0
[27.03.2008|23:30] C:\Programme\Netlog
[29.01.2006|02:31] C:\Programme\NetMeeting
[01.12.2006|19:06] C:\Programme\Norton AntiVirus
[01.01.2004|09:24] C:\Programme\Online Services
[01.01.2004|15:23] C:\Programme\Online-Dienste
[13.06.2007|18:36] C:\Programme\Outlook Express
[01.01.2004|15:20] C:\Programme\PC-Doctor for Windows
[03.03.2009|21:33] C:\Programme\QuickTime
[14.04.2006|13:14] C:\Programme\Samsung
[28.01.2006|15:20] C:\Programme\Siemens
[28.01.2006|18:45] C:\Programme\SiS VGA Utilities V3.63
[01.01.2004|10:47] C:\Programme\Sonic
[01.01.2004|10:47] C:\Programme\Sonic RecordNow!
[27.01.2008|14:17] C:\Programme\Sony Ericsson
[01.12.2006|19:21] C:\Programme\Symantec
[02.04.2009|19:14] C:\Programme\Trend Micro
[20.02.2009|20:50] C:\Programme\Two dupe hope
[08.12.2007|17:43] C:\Programme\Ulead Systems
[01.01.2004|09:29] C:\Programme\Uninstall Information
[20.02.2009|00:09] C:\Programme\Windows Live
[18.02.2009|22:12] C:\Programme\Windows Live Safety Center
[20.02.2009|00:04] C:\Programme\Windows Live Toolbar
[09.07.2007|16:43] C:\Programme\Windows Media Connect 2
[09.07.2007|16:43] C:\Programme\Windows Media Player
[29.01.2006|02:31] C:\Programme\Windows NT
[01.01.2004|09:25] C:\Programme\WindowsUpdate
[01.01.2004|09:27] C:\Programme\xerox
[14.04.2006|13:14] C:\Programme\XviD
[15.10.2007|11:37] C:\Programme\Zattoo
[20.02.2006|13:28] C:\Programme\Zeallsoft
[0|Datei(en)] C:\Programme\Bytes
[75|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[28.05.2006|13:05] C:\Programme\Gemeinsame Dateien\Adobe
[03.03.2009|22:04] C:\Programme\Gemeinsame Dateien\Apple
[01.10.2006|12:01] C:\Programme\Gemeinsame Dateien\DESIGNER
[29.01.2006|02:31] C:\Programme\Gemeinsame Dateien\Dienste
[03.06.2006|13:52] C:\Programme\Gemeinsame Dateien\FotoWire
[28.01.2006|15:19] C:\Programme\Gemeinsame Dateien\Funk Software
[01.01.2004|10:36] C:\Programme\Gemeinsame Dateien\Hewlett-Packard
[25.12.2006|12:40] C:\Programme\Gemeinsame Dateien\HP
[01.01.2004|15:02] C:\Programme\Gemeinsame Dateien\InstallShield
[01.01.2004|09:53] C:\Programme\Gemeinsame Dateien\Java
[03.06.2006|13:50] C:\Programme\Gemeinsame Dateien\Logitech
[01.03.2007|18:43] C:\Programme\Gemeinsame Dateien\MGI Shared
[19.02.2009|23:18] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[01.01.2004|09:25] C:\Programme\Gemeinsame Dateien\MSSoap
[01.01.2004|09:20] C:\Programme\Gemeinsame Dateien\ODBC
[01.01.2004|09:20] C:\Programme\Gemeinsame Dateien\SpeechEngines
[01.01.2004|10:48] C:\Programme\Gemeinsame Dateien\SureThing Shared
[01.12.2006|19:10] C:\Programme\Gemeinsame Dateien\Symantec Shared
[19.02.2009|23:19] C:\Programme\Gemeinsame Dateien\System
[13.05.2006|18:12] C:\Programme\Gemeinsame Dateien\Teleca Shared
[08.12.2007|17:44] C:\Programme\Gemeinsame Dateien\Ulead Systems
[19.02.2009|21:30] C:\Programme\Gemeinsame Dateien\Windows Live
[26.02.2008|19:44] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[25|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 75 Processes )

iexplore.exe ~ [PID:628]

--------------------\\ Ueberpruefung mit S_Lop

C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\bis5FF.exe

--------------------\\ Suche nach Lop Dateien - Ordnern

C:\Programme\Circle Developement
C:\Programme\Circle Developement\Uninstall.exe
C:\DOKUME~1\HP_BES~1\Cookies\hp_besitzer@advertising[2].txt
C:\DOKUME~1\HP_BES~1\Cookies\hp_besitzer@adopt.euroclick[1].txt
C:\DOKUME~1\HP_BES~1\Cookies\hp_besitzer@euroclick[2].txt
C:\DOKUME~1\HP_BES~1\Cookies\hp_besitzer@ssl-cdn.euroclick[1].txt

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei VERAENDERT

127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 www.drivecleaner.com ## added by CiD
127.0.0.1 www.errorprotector.com ## added by CiD
127.0.0.1 www.errorsafe.com ## added by CiD
127.0.0.1 www.systemdoctor.com ## added by CiD
127.0.0.1 www.win-anti-virus-pro.com ## added by CiD
127.0.0.1 www.win-virus-pro.com ## added by CiD
127.0.0.1 www.winantispam.com ## added by CiD
127.0.0.1 www.winantispy.com ## added by CiD
127.0.0.1 www.winantispyware.com ## added by CiD
127.0.0.1 www.winantivirus.com ## added by CiD
127.0.0.1 www.winantiviruspro.com ## added by CiD
127.0.0.1 www.windrivecleaner.com ## added by CiD
127.0.0.1 www.windrivesafe.com ## added by CiD
127.0.0.1 www.winfixer.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD
127.0.0.1 www.utils.winfixer.com ## added by CiD
127.0.0.1 www.winfixer2006.com ## added by CiD
127.0.0.1 www.winsoftware.com ## added by CiD

-> 72 [ 70 ## added by CiD ]

--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-02 21:02:45
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 3148

--------------------\\ Suche nach anderen Infektionen

--------------------\\ KoobFace !

C:\WINDOWS\msmark2.dat

--------------------\\ Cracks & Keygens ..

C:\DOKUME~1\HP_BES~1\Eigene Dateien\Meine empfangenen Dateien\Eminem Feat Dr. Dre & 50 Cent - Crack A Bottle.mp3

[F:4752][D:97]-> C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp
[F:305][D:0]-> C:\DOKUME~1\HP_BES~1\Cookies
[F:14962][D:43]-> C:\DOKUME~1\HP_BES~1\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 02.04.2009|21:06 - Option : [1]

--------------------\\ Scan beendet um 21:06:42

john.doe · 02.04.2009, 20:26

Gleich nocheinmal laufen lassen, diesmal mit Option 2.

Du hast dir da etwas übles runtergeladen:

Code:

ATTFilter

Datei setup.exe empfangen 2009.04.02 21:03:56 (CET)
Status:    Beendet 
Ergebnis: 23/40 (57.5%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.101	2009.04.02	-
AhnLab-V3	5.0.0.2	2009.04.02	-
AntiVir	7.9.0.129	2009.04.02	Worm/Koobface.BA
Antiy-AVL	2.0.3.1	2009.04.02	-
Authentium	5.1.2.4	2009.04.02	W32/Trojan-Sml-SDCW!Eldorado
Avast	4.8.1335.0	2009.04.02	Win32:Koobface-C
AVG	8.5.0.285	2009.04.02	Worm/Generic_r.FI
BitDefender	7.2	2009.04.02	Win32.Worm.Koobface.BA
CAT-QuickHeal	10.00	2009.04.01	Win32.Backdoor.Phdet.gen!A.3
ClamAV	0.94.1	2009.04.02	-
Comodo	1093	2009.04.01	-
DrWeb	4.44.0.09170	2009.04.02	-
eSafe	7.0.17.0	2009.04.02	Suspicious File
eTrust-Vet	31.6.6432	2009.04.02	Win32/Koobface.BE
F-Prot	4.4.4.56	2009.04.02	W32/Trojan-Sml-SDCW!Eldorado
F-Secure	8.0.14470.0	2009.04.02	Net-Worm:W32/Koobface.gen!A
Fortinet	3.117.0.0	2009.04.02	W32/Koobface!worm
GData	19	2009.04.02	Win32.Worm.Koobface.BA
Ikarus	T3.1.1.49.0	2009.04.02	Worm.Win32.Koobface
K7AntiVirus	7.10.690	2009.04.01	-
Kaspersky	7.0.0.125	2009.04.02	Trojan-Clicker.Win32.Small.adw
McAfee	5572	2009.04.02	W32/Koobface.worm
McAfee+Artemis	5572	2009.04.02	Generic!Artemis
McAfee-GW-Edition	6.7.6	2009.04.01	-
Microsoft	1.4502	2009.04.02	Worm:Win32/Koobface.A
NOD32	3984	2009.04.02	a variant of Win32/Koobface.NBA
Norman	6.00.06	2009.04.02	-
nProtect	2009.1.8.0	2009.04.02	-
Panda	10.0.0.14	2009.04.02	-
PCTools	4.4.2.0	2009.04.02	-
Prevx1	V2	2009.04.02	High Risk Worm
Rising	21.23.32.00	2009.04.02	-
Sophos	4.40.0	2009.04.02	W32/Koobfa-Gen
Sunbelt	3.2.1858.2	2009.04.02	Worm-Win32/Koobface.A
Symantec	1.4.4.12	2009.04.02	W32.Koobface.A
TheHacker	6.3.4.0.298	2009.04.01	-
TrendMicro	8.700.0.1004	2009.04.02	WORM_KOOBFACE.BU
VBA32	3.12.10.2	2009.04.02	-
ViRobot	2009.4.2.1673	2009.04.02	-
VirusBuster	4.6.5.0	2009.04.02	-
weitere Informationen
File size: 13312 bytes
MD5...: 0efc443bda33ae49d8ae50eb0bada1e0
SHA1..: e8343b38dd678ca2ebd1f90d4ec93c23ae35af83
SHA256: ec945f66b3a73107176b03ffe6bc380c1833680c428933f24328a268d74af870
SHA512: 43794755085ba8a52433b29e26e49782cf82985976f5203fc3eef56fcb90f7c6
6a2d1aa56177b6f17081be82441e6af4f13c1c7f1241e919e37f2ee7376a92f1
ssdeep: 384:28M7D+f77a+q/VLGNdmRQzq8tCeMXR/z2TDXdcq3:28M7MK+0aNdmRl8tCY/
X
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x98a0
timedatestamp.....: 0x49d346cb (Wed Apr 01 10:49:47 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x6000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x7000 0x3000 0x2c00 7.75 2b36cea41b6f09fcccbbc88aa287e21e
UPX2 0xa000 0x1000 0x400 2.79 761a62ba61fd897f3f9dc0637c5b710c

( 9 imports ) 
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> MSVCP60.dll: _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB
> MSVCRT.dll: rand
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: StrStrA
> SHLWAPI.dll: StrTrimA
> USER32.dll: CharToOemA
> WS2_32.dll: -

( 0 exports ) 
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=0155FDEC0090405E3431002C4210DD003BF474EB' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=0155FDEC0090405E3431002C4210DD003BF474EB</a>
packers (Kaspersky): PE_Patch.UPX, UPX
packers (Avast): UPX
packers (F-Prot): UPX
packers (Authentium): UPX

W32/Koobface.worm

Also um ehrlich zu sein, wenn du neuaufsetzt, dann bist du schneller fertig, als wenn wir versuchen zu bereinigen. Das ist jetzt deine Entscheidung.

ciao, andreas

melinaschatz · 02.04.2009, 20:52

Sieht es so überl aus?

hier die file:

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3000+ )
BIOS : Phoenix - Award BIOS v6.00PG
USER : HP_Besitzer ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition Classic 7.0.3.161
(Activated)
C:\ (Local Disk) - NTFS - Total:144 Go (Free:105 Go)
D:\ (Local Disk) - FAT32 - Total:4 Go (Free:1 Go)
E:\ (CD or DVD)
F:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [2] ( 02.04.2009|21:41 )

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ FIX

Geloescht ! - C:\Programme\Circle Developement\Uninstall.exe
Geloescht ! - C:\DOKUME~1\HP_BES~1\Cookies\hp_besitzer@advertising[2].txt
Geloescht ! - C:\DOKUME~1\HP_BES~1\Cookies\hp_besitzer@adopt.euroclick[1].txt
Geloescht ! - C:\DOKUME~1\HP_BES~1\Cookies\hp_besitzer@euroclick[2].txt
Geloescht ! - C:\DOKUME~1\HP_BES~1\Cookies\hp_besitzer@ssl-cdn.euroclick[1].txt
Geloescht ! - C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\bis5FF.exe
Geloescht ! - C:\Programme\Circle Developement
-
[ Hosts Datei ] .. Wiederhergestellt

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[03.03.2009|22:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[13.05.2006|18:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[10.02.2009|15:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Amok Copy User Bib
[02.04.2009|20:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
[27.01.2008|14:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
[05.09.2008|23:22] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
[27.01.2008|13:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\BVRP Software
[27.03.2008|18:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\chin bait roam win
[25.12.2006|12:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Hewlett-Packard
[25.12.2006|12:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\HP
[23.08.2008|12:50] C:\DOKUME~1\ALLUSE~1\ANWEND~1\HP Product Assistant
[01.01.2004|14:56] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield
[01.01.2004|14:55] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InterVideo
[13.02.2006|18:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
[19.02.2009|23:52] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[01.01.2004|15:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Motive
[03.06.2006|13:47] C:\DOKUME~1\ALLUSE~1\ANWEND~1\QuickTime
[01.01.2004|09:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SBSI
[27.01.2008|14:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sony
[27.01.2008|13:58] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sony Ericsson
[01.12.2006|18:58] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec
[08.12.2007|17:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ulead Systems
[23.08.2008|13:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WEBREG
[01.12.2006|18:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[03.12.2006|18:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Live Toolbar
[20.02.2009|00:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[28|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[01.01.2004|15:03] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Apple Computer
[01.01.2004|09:26] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Identities
[01.01.2004|14:56] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Intervideo
[01.01.2004|14:55] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[01.01.2004|15:28] C:\DOKUME~1\DEFAUL~1\ANWEND~1\SampleView
[01.01.2004|09:53] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Sun
[01.01.2004|09:03] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Symantec
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[9|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[20.04.2008|17:15] C:\DOKUME~1\HP_BES~1\ANWEND~1\Adobe
[11.10.2008|11:57] C:\DOKUME~1\HP_BES~1\ANWEND~1\AdobeUM
[17.07.2008|18:54] C:\DOKUME~1\HP_BES~1\ANWEND~1\Apple Computer
[14.04.2006|13:17] C:\DOKUME~1\HP_BES~1\ANWEND~1\ArcSoft
[03.06.2006|13:52] C:\DOKUME~1\HP_BES~1\ANWEND~1\FotoWire
[23.08.2008|13:08] C:\DOKUME~1\HP_BES~1\ANWEND~1\HP
[02.04.2009|20:58] C:\DOKUME~1\HP_BES~1\ANWEND~1\HPAppData
[01.01.2004|09:26] C:\DOKUME~1\HP_BES~1\ANWEND~1\Identities
[27.01.2008|13:58] C:\DOKUME~1\HP_BES~1\ANWEND~1\InstallShield
[14.03.2006|17:42] C:\DOKUME~1\HP_BES~1\ANWEND~1\Intervideo
[16.03.2006|21:46] C:\DOKUME~1\HP_BES~1\ANWEND~1\Leadertech
[28.01.2006|15:18] C:\DOKUME~1\HP_BES~1\ANWEND~1\Macromedia
[20.02.2009|00:04] C:\DOKUME~1\HP_BES~1\ANWEND~1\Microsoft
[11.08.2006|22:09] C:\DOKUME~1\HP_BES~1\ANWEND~1\Motive
[01.01.2004|15:28] C:\DOKUME~1\HP_BES~1\ANWEND~1\SampleView
[16.03.2006|21:46] C:\DOKUME~1\HP_BES~1\ANWEND~1\Sonic
[27.01.2008|14:20] C:\DOKUME~1\HP_BES~1\ANWEND~1\Sony
[01.01.2004|09:53] C:\DOKUME~1\HP_BES~1\ANWEND~1\Sun
[28.01.2006|18:56] C:\DOKUME~1\HP_BES~1\ANWEND~1\Symantec
[20.02.2009|20:51] C:\DOKUME~1\HP_BES~1\ANWEND~1\Two dupe hope
[08.12.2007|17:46] C:\DOKUME~1\HP_BES~1\ANWEND~1\Ulead Systems
[19.02.2009|22:20] C:\DOKUME~1\HP_BES~1\ANWEND~1\Windows Live Writer
[0|Datei(en)] C:\DOKUME~1\HP_BES~1\ANWEND~1\Bytes
[24|Verzeichnis(se),] C:\DOKUME~1\HP_BES~1\ANWEND~1\Bytes frei

[01.01.2004|09:29] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[26.02.2008|23:07] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[02.04.2009 21:10][--a------] C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job
[03.03.2009 21:31][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[04.08.2004 12:00][-rah-c---] C:\WINDOWS\tasks\desktop.ini
[02.04.2009 19:01][--ah-----] C:\WINDOWS\tasks\SA.DAT

--------------------\\ MsgPlus SPONSOR INSTALLED !

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MsgPlus! Plugin]
"SponsorInstalled"=dword:00000000

--------------------\\ Ordner Verzeichnis unter C:\Programme

[13.05.2006|19:00] C:\Programme\Adobe
[02.04.2009|20:16] C:\Programme\AntiVir PersonalEdition Classic
[03.03.2009|21:31] C:\Programme\Apple Software Update
[14.04.2006|13:15] C:\Programme\ArcSoft
[15.02.2009|11:03] C:\Programme\Avanquest update
[03.03.2009|21:33] C:\Programme\Bonjour
[01.01.2004|09:24] C:\Programme\ComPlus Applications
[14.04.2006|13:08] C:\Programme\directx
[01.01.2004|15:23] C:\Programme\Easy Internet signup
[05.03.2006|00:12] C:\Programme\eMule
[09.03.2006|22:42] C:\Programme\freesurf
[28.01.2006|15:19] C:\Programme\Funk Software
[19.02.2009|21:30] C:\Programme\Gemeinsame Dateien
[01.01.2004|15:19] C:\Programme\Help and Support Additions
[23.08.2008|12:55] C:\Programme\Hewlett-Packard
[23.08.2008|12:50] C:\Programme\HP
[05.02.2006|13:41] C:\Programme\IncrediMail
[11.09.2008|17:57] C:\Programme\InstallShield Installation Information
[11.02.2009|23:05] C:\Programme\Internet Explorer
[01.01.2004|14:55] C:\Programme\InterVideo
[03.03.2009|22:04] C:\Programme\iPod
[03.03.2009|22:05] C:\Programme\iTunes
[15.02.2006|16:24] C:\Programme\Java
[14.04.2008|13:39] C:\Programme\LimeWire
[03.06.2006|13:52] C:\Programme\Logitech
[13.08.2008|21:34] C:\Programme\Messenger
[20.02.2009|20:49] C:\Programme\Messenger Plus! Live
[20.02.2009|20:57] C:\Programme\MessengerPlus! 3
[01.03.2007|18:43] C:\Programme\MGI
[19.02.2009|23:19] C:\Programme\Microsoft
[10.05.2007|14:29] C:\Programme\Microsoft CAPICOM 2.1.0.2
[01.01.2004|09:27] C:\Programme\microsoft frontpage
[01.10.2006|12:01] C:\Programme\Microsoft Office
[19.02.2009|23:19] C:\Programme\Microsoft Office Outlook Connector
[27.02.2009|17:58] C:\Programme\Microsoft Silverlight
[26.02.2008|19:50] C:\Programme\Microsoft SQL Server Compact Edition
[01.10.2006|12:00] C:\Programme\Microsoft.NET
[14.02.2008|15:54] C:\Programme\Movie Maker
[11.02.2006|13:59] C:\Programme\MSN
[01.01.2004|09:24] C:\Programme\MSN Gaming Zone
[20.02.2009|20:51] C:\Programme\MSN Messenger
[16.11.2006|22:41] C:\Programme\MSXML 4.0
[27.03.2008|23:30] C:\Programme\Netlog
[29.01.2006|02:31] C:\Programme\NetMeeting
[01.12.2006|19:06] C:\Programme\Norton AntiVirus
[01.01.2004|09:24] C:\Programme\Online Services
[01.01.2004|15:23] C:\Programme\Online-Dienste
[13.06.2007|18:36] C:\Programme\Outlook Express
[01.01.2004|15:20] C:\Programme\PC-Doctor for Windows
[03.03.2009|21:33] C:\Programme\QuickTime
[14.04.2006|13:14] C:\Programme\Samsung
[28.01.2006|15:20] C:\Programme\Siemens
[28.01.2006|18:45] C:\Programme\SiS VGA Utilities V3.63
[01.01.2004|10:47] C:\Programme\Sonic
[01.01.2004|10:47] C:\Programme\Sonic RecordNow!
[27.01.2008|14:17] C:\Programme\Sony Ericsson
[01.12.2006|19:21] C:\Programme\Symantec
[02.04.2009|19:14] C:\Programme\Trend Micro
[20.02.2009|20:50] C:\Programme\Two dupe hope
[08.12.2007|17:43] C:\Programme\Ulead Systems
[01.01.2004|09:29] C:\Programme\Uninstall Information
[20.02.2009|00:09] C:\Programme\Windows Live
[18.02.2009|22:12] C:\Programme\Windows Live Safety Center
[20.02.2009|00:04] C:\Programme\Windows Live Toolbar
[09.07.2007|16:43] C:\Programme\Windows Media Connect 2
[09.07.2007|16:43] C:\Programme\Windows Media Player
[29.01.2006|02:31] C:\Programme\Windows NT
[01.01.2004|09:25] C:\Programme\WindowsUpdate
[01.01.2004|09:27] C:\Programme\xerox
[14.04.2006|13:14] C:\Programme\XviD
[15.10.2007|11:37] C:\Programme\Zattoo
[20.02.2006|13:28] C:\Programme\Zeallsoft
[0|Datei(en)] C:\Programme\Bytes
[74|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[28.05.2006|13:05] C:\Programme\Gemeinsame Dateien\Adobe
[03.03.2009|22:04] C:\Programme\Gemeinsame Dateien\Apple
[01.10.2006|12:01] C:\Programme\Gemeinsame Dateien\DESIGNER
[29.01.2006|02:31] C:\Programme\Gemeinsame Dateien\Dienste
[03.06.2006|13:52] C:\Programme\Gemeinsame Dateien\FotoWire
[28.01.2006|15:19] C:\Programme\Gemeinsame Dateien\Funk Software
[01.01.2004|10:36] C:\Programme\Gemeinsame Dateien\Hewlett-Packard
[25.12.2006|12:40] C:\Programme\Gemeinsame Dateien\HP
[01.01.2004|15:02] C:\Programme\Gemeinsame Dateien\InstallShield
[01.01.2004|09:53] C:\Programme\Gemeinsame Dateien\Java
[03.06.2006|13:50] C:\Programme\Gemeinsame Dateien\Logitech
[01.03.2007|18:43] C:\Programme\Gemeinsame Dateien\MGI Shared
[19.02.2009|23:18] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[01.01.2004|09:25] C:\Programme\Gemeinsame Dateien\MSSoap
[01.01.2004|09:20] C:\Programme\Gemeinsame Dateien\ODBC
[01.01.2004|09:20] C:\Programme\Gemeinsame Dateien\SpeechEngines
[01.01.2004|10:48] C:\Programme\Gemeinsame Dateien\SureThing Shared
[01.12.2006|19:10] C:\Programme\Gemeinsame Dateien\Symantec Shared
[19.02.2009|23:19] C:\Programme\Gemeinsame Dateien\System
[13.05.2006|18:12] C:\Programme\Gemeinsame Dateien\Teleca Shared
[08.12.2007|17:44] C:\Programme\Gemeinsame Dateien\Ulead Systems
[19.02.2009|21:30] C:\Programme\Gemeinsame Dateien\Windows Live
[26.02.2008|19:44] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[25|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 75 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER

--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-02 21:43:06
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 3148

--------------------\\ Suche nach anderen Infektionen

--------------------\\ KoobFace !

C:\WINDOWS\msmark2.dat

--------------------\\ Cracks & Keygens ..

C:\DOKUME~1\HP_BES~1\Eigene Dateien\Meine empfangenen Dateien\Eminem Feat Dr. Dre & 50 Cent - Crack A Bottle.mp3

[F:4752][D:97]-> C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp
[F:300][D:0]-> C:\DOKUME~1\HP_BES~1\Cookies
[F:15042][D:43]-> C:\DOKUME~1\HP_BES~1\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 02.04.2009|21:06 - Option : [1]
2 - "C:\Lop SD\LopR_2.txt" - 02.04.2009|21:46 - Option : [2]

--------------------\\ Scan beendet um 21:46:11

mfg melina

john.doe · 02.04.2009, 20:58

Zitat:

Sieht es so überl aus?

Es wird lange dauern, bis wir durch sind. Das ist sicher.

Seit wann gibt es Probleme? Wann hast du auf den Link geklickt?

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

melinaschatz · 02.04.2009, 21:41

Ok..

Danke vielmal dass Du mir hilfst! Ist echt nett. Ich lasse den Combofix nun durchlaufen.

Ich habe ihn heute gedrückt, danach hat es automatisch Mails weiterverschickt an meine Facebook Freunde und falls die ihn wieder aufgemacht haben passierte bei ihnen das gleiche...

mfg melina

john.doe · 02.04.2009, 21:45

Gut, je schneller du dich meldest, desto größer sind die Chancen. Wir bekommen das schon hin, da bin ich sicher.

ciao, andreas

melinaschatz · 02.04.2009, 22:02

ComboFix 09-04-01.01 - HP_Besitzer 2009-04-02 22:38:55.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.895.356 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\HP_Besitzer\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\ld03.exe
c:\windows\pp06.exe
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-03-02 bis 2009-04-02 ))))))))))))))))))))))))))))))
.

2009-04-02 22:37 . 2006-03-03 00:42 73,728 --a------ C:\pv.exe
2009-04-02 22:17 . 2009-04-02 22:17 <DIR> d-------- c:\programme\CCleaner
2009-04-02 21:01 . 2009-04-02 21:46 <DIR> d-------- C:\Lop SD
2009-04-02 19:14 . 2009-04-02 19:14 <DIR> d-------- c:\programme\Trend Micro
2009-04-02 18:40 . 2009-04-02 18:45 3,630 ---h----- c:\windows\f5087.dat
2009-04-02 18:37 . 2009-04-02 18:37 34,816 ---h----- c:\windows\freddy40.exe
2009-04-02 18:37 . 2009-04-02 18:37 24,576 ---h----- c:\windows\mstre15.exe
2009-04-02 18:37 . 2009-04-02 18:37 2 ---h----- c:\windows\t55ft3223f44.dat
2009-04-02 18:37 . 2009-04-02 18:37 2 ---h----- c:\windows\t55ft2810f44.dat
2009-04-02 18:37 . 2009-04-02 18:37 2 ---h----- c:\windows\t55ft2784f44.dat
2009-04-02 18:37 . 2009-04-02 18:37 1 ---h----- c:\windows\msmark2.dat
2009-04-02 18:37 . 2009-04-02 18:37 1 ---h----- c:\windows\f23567.dat
2009-04-02 18:37 . 2009-04-02 18:37 1 --a------ c:\windows\9g2234wesdf3dfgjf23
2009-03-03 22:04 . 2009-03-03 22:05 <DIR> d-------- c:\programme\iTunes
2009-03-03 22:04 . 2009-03-03 22:04 <DIR> d-------- c:\programme\iPod
2009-03-03 22:04 . 2009-03-03 22:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-03-03 21:33 . 2009-03-03 21:33 <DIR> d-------- c:\programme\Bonjour
2009-03-03 21:32 . 2009-03-03 21:33 <DIR> d-------- c:\programme\QuickTime
2009-03-03 21:31 . 2009-03-03 21:31 <DIR> d-------- c:\programme\Apple Software Update

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-02 19:45 --------- d-----w c:\programme\LimeWire
2009-04-02 18:58 --------- d-----w c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\HPAppData
2009-04-02 18:16 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-03-03 20:04 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2009-02-27 15:58 --------- d-----w c:\programme\Microsoft Silverlight
2009-02-20 18:57 --------- d-----w c:\programme\MessengerPlus! 3
2009-02-20 18:51 --------- d-----w c:\programme\MSN Messenger
2009-02-20 18:51 --------- d-----w c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Two dupe hope
2009-02-20 18:50 --------- d-----w c:\programme\Two dupe hope
2009-02-20 18:49 --------- d-----w c:\programme\Messenger Plus! Live
2009-02-19 22:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller
2009-02-19 22:09 --------- d-----w c:\programme\Windows Live
2009-02-19 22:04 --------- d-----w c:\programme\Windows Live Toolbar
2009-02-19 21:19 --------- d-----w c:\programme\Microsoft Office Outlook Connector
2009-02-19 21:19 --------- d-----w c:\programme\Microsoft
2009-02-19 20:20 --------- d-----w c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Windows Live Writer
2009-02-19 19:30 --------- d-----w c:\programme\Gemeinsame Dateien\Windows Live
2009-02-18 20:12 --------- d-----w c:\programme\Windows Live Safety Center
2009-02-15 09:03 --------- d-----w c:\programme\Avanquest update
2009-02-10 13:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Amok Copy User Bib
2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys
2006-01-28 22:42 0 -csha-w c:\windows\SMINST\HPCD.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="c:\programme\IncrediMail\bin\IncMail.exe" [2006-01-29 200747]
"MessengerPlus3"="c:\programme\MessengerPlus! 3\MsgPlus.exe" [2006-11-13 190024]
"LogitechSoftwareUpdate"="c:\programme\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-07-02 397312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 36975]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-08-20 155648]
"HPHUPD06"="c:\programme\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 49152]
"HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"KBD"="c:\hp\KBD\KBD.EXE" [2003-02-11 61440]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"LogitechVideoRepair"="c:\programme\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="c:\programme\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 95504]
"hpqSRMon"="c:\programme\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-01-06 290088]
"sysfbtray"="c:\windows\freddy40.exe" [2009-04-02 34816]
"sysmstray"="c:\windows\mstre15.exe" [2009-04-02 24576]
"SiSPower"="SiSPower.dll" [2004-09-24 c:\windows\system32\SiSPower.dll]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 c:\windows\AGRSMMSG.exe]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 c:\windows\ALCXMNTR.EXE]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 c:\windows\system32\bthprops.cpl]

c:\dokumente und einstellungen\HP_Besitzer\Startmen\Programme\Autostart\
AntiVir PE Classic.lnk - c:\programme\AntiVir PersonalEdition Classic\avcenter.exe [2006-12-01 356609]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Digimax Viewer 2.1.lnk - c:\programme\Samsung\Digimax Viewer 2.1\STImgBrowser.exe [2006-04-14 634880]
Gigaset WLAN Adapter Monitor.lnk - c:\programme\Siemens\Gigaset USB Stick 54\Gcc.exe [2006-01-28 36864]
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
HP Image Zone Schnellstart.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-04 53248]
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-06-16 67128]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"c:\\StubInstaller.exe"=
"c:\\Programme\\MSN\\MSNCoreFiles\\Install\\msnsusii.exe"=
"c:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo1.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqcopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R3 ZD1211U(Siemens);Gigaset USB Stick 54 Driver(Siemens);c:\windows\system32\drivers\ZD1211U.sys [2006-01-28 238080]
S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [2006-01-28 223232]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - RDPWD
*NewlyCreated* - RDSESSMGR
*NewlyCreated* - TDPIPE
*NewlyCreated* - TDTCP

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2009-03-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 13:34]

2009-04-02 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2006-09-27 18:39]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-VTTimer - VTTimer.exe

.
------- Zusätzlicher Suchlauf -------
.
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_CH&c=Q105&bd=pavilion&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_CH&c=Q105&bd=pavilion&pf=desktop
uInternet Settings,ProxyOverride = localhost;*.local
uSearchURL,(Default) = hxxp://g.msn.ch/0SEDECH/SAOS01?FORM=TOOLBR
IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-02 22:41:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(960)
c:\programme\Funk Software\Odyssey Client\odLogin.dll
Zeit der Fertigstellung: 2009-04-02 22:42:48
ComboFix-quarantined-files.txt 2009-04-02 20:42:40

Vor Suchlauf: 20 Verzeichnis(se), 118'928'506'880 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 119,757,135,872 Bytes frei

190 --- E O F --- 2009-03-21 17:22:33

melinaschatz · 02.04.2009, 22:07

danke viel mal für deine hilfe!
ich hoffe wie kriegen das hin

nun, ich denke ich geh mal in die Heja, muss morgen früh arbeiten gehen.
morgen nachmittag wäre ich sonst wieder da, bereit für weitere instruktionen

danke nocheinmal und gute nacht.

mfg melina

john.doe · 02.04.2009, 22:09

Gut, ich brauche jetzt etwas Zeit, um das Log zu lesen. Du kannst in der Zwischenzeit schonmal in meiner Signatur auf "Für alle Neuen" klicken und die Liste unter Punkt 2 abarbeiten, also CCleaner ausführen, das Log von Malwarebytes und die Uninstallliste posten.

ciao, andreas

melinaschatz · 02.04.2009, 22:15

ok, nur kein stress!
ist es ok, wenn ich das morgen durchgehe? oder ist das zu spät?

melina

john.doe · 02.04.2009, 22:22

Zitat:

ist es ok, wenn ich das morgen durchgehe?

Ja. Bin allerdings erst gegen abend wieder on. Deshalb jetzt:

Gute Nacht, andreas

schlimmer Trojaner?

Plagegeister aller Art und deren Bekämpfung: schlimmer Trojaner?