Trojaner.Downloader.Agent.AAJI (was kann ich machen?)

rasi2009 · 08.04.2009, 09:36

Hallo, habe mir den Trojaner = Trojaner.Downloader.Agent.AAJI eingefangen!
Er hat wohl die Dateien:

NTNPU. DLL der Pfad ist--> C:\Windows\System32\ (finde ich aber nicht... scheint in Quarantäne gestellt worden zu sein!)
winezdr.sys der Pfad ist--> C:\Windows\System32\drivers\ (finde ich aber nicht... scheint in Quarantäne gestellt worden zu sein!)

befallen.

Betriebssystem MS Vista Home Premium
MS Office 2007
Open Office 3.0
Antivirusprogramm Bullguard v8.5

habe jetzt mal nen HJT Logfile ran gehängt! Hoffe Ihr könnt mir helfen!
Habe bis jetzt noch NIE nen Trojaner gehabt! Deswegen weiss ich auch nicht wie ich das Teil entfernen kann! Hoffe ihr könnt mir da eine gut verständliche ToDo Liste erstellen ;-)
Sage jetzt schonmal ein dickes Danke für die Problemlösung

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:13:02, on 08.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\WButton.exe
C:\Program Files\HomeCinema\Power2Go\CLMLSvc.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.xxxxx.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xxxxx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.xxxxx.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.xxxxx.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.xxxxx.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.xxxxx.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\HomeCinema\Power2Go\CLMLSvc.exe"
O4 - HKLM\..\Run: [BullGuard] "C:\Program Files\BullGuard Ltd\BullGuard\bullguard.exe" -boot
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [BullGuard] "C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: web'n'walk Manager.lnk = C:\Program Files\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Aspinalls Online Poker - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\aspinallsMPP\MPPoker.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O13 - Gopher Prefix:
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} (EPUImageControl Class) - http://tools.xxxxx.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-27-0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: BullGuard LiveUpdate (BgLiveSvc) - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: GtDetectSc - Option - C:\Program Files\T-Mobile\web'n'walk Manager\GtDetectSc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe

--
End of file - 11486 bytes

08.04.2009, 15:04

Hallo

Was ist das den??
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.xxxxx.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xxxxx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.xxxxx.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.xxxxx.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.xxxxx.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.xxxxx.com/fwlink/?LinkId=69157

S*xsite ab 18?
Selbst dran schuld oder nicht?

Voo.Doo

rasi2009 · 08.04.2009, 15:28

ups na ich hätte wohl ***** statt xxxxx machen sollen...

na wer da was falsches denkt

also am posting bzw dem Virus hat sich aber natürlich nichts dran geändert

aber gegen alle moralische Bedenken habe ich keine AB 18 J. S*xside besucht ;-)

08.04.2009, 15:36

Zitat:

Antivirusprogramm Bullguard v8.5

Erhlich? Bullguard hatte ich 4 min aufn rechner danach wurde es geschreddert. Das ding ist schott.

Zitat:

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Aspinalls Online Poker - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\aspinallsMPP\MPPoker.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll

Du spielst OnlinePoker und da Wunderst du dich?

Diese xxxxxxx[com] seiten haste die nur edit und xé reingemacht oder stehen die schon so drin?
Wenn ja und du dich auf den Seiten rumtreibst wunderts mich nicht!
Edit: K hab deinen vorherhigen beitrag gelesen, war zu schnell^^

http://www.trojaner-board.de/69886-a...-beachten.html
Alles abarbeiten zusammen mit der Uninstall Liste (außer HijackThis)

rasi2009 · 08.04.2009, 18:29

So, habe jetzt folgendes erledigt:

1) CCleaner drüber laufen lassen
2) Malwarebytes drüber laufen lassen (keine erkennung) folgende log:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1951
Windows 6.0.6001 Service Pack 1

08.04.2009 19:13:35
mbam-log-2009-04-08 (19-13-35).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 188845
Laufzeit: 2 hour(s), 0 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

3) Neuen HJT File erstellt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19:44, on 08.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\WButton.exe
C:\Program Files\HomeCinema\Power2Go\CLMLSvc.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\HomeCinema\Power2Go\CLMLSvc.exe"
O4 - HKLM\..\Run: [BullGuard] "C:\Program Files\BullGuard Ltd\BullGuard\bullguard.exe" -boot
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [BullGuard] "C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: web'n'walk Manager.lnk = C:\Program Files\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ***** Online Poker - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\aspinallsMPP\MPPoker.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O13 - Gopher Prefix:
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-27-0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: BullGuard LiveUpdate (BgLiveSvc) - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: GtDetectSc - Option - C:\Program Files\T-Mobile\web'n'walk Manager\GtDetectSc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe

--
End of file - 11605 bytes

4) poker seit knapp 3 Jahre ohne Probleme online. Hatte da nie Schwierigkeiten... habe da auch seit Tagen nichts mehr gemacht in dem Bereich!

Ach ja, danke nochmals für Eure Hilfe! THX

nochdigger · 08.04.2009, 18:50

Hallo

schau bitte mal ob die Dateien aus der Quarantäne wiederhergestellt werden können (auf den Desktop am Besten) und lass sie genau wie diese Datei
c:\windows\system32\bglsp.dll
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

MFG

rasi2009 · 08.04.2009, 20:47

Sorry aber was ist mit MD5 und SHA1 Angaben gemeint? Sagt mir garnichts??

Die 2 Dateien die in quarantäne waren habe ich wieder hergestellt im normal und im Administrator Modus gesucht! Die sind weg?!?!? Nicht mehr zu finden!

Die Datei BGLsp.dll habe ich durchlaufen lassen.... nichts gefunden... die übersicht dazu steht direkt hier drunter! THX ;-)
Dateiname : BGLsp.dll
Größe : 79184 byte
Typ : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5 : 5331b0bf0da2c7c6ac1c82cd727d6c64
SHA1 : f6b2a3a61cd66ca48d8fb2d24df09d2ce5c0732d

Scan Ergebnis : Es wurde keine Infektion ermittelt!
Zeit : 2009/04/08 21:50:45 (CEST)
Scanner ↓ Engine Ver Sig Ver Sig Datum Scan Ergebnis Zeit
a-squared 4.0.0.32 20090409030215 2009-04-09
-
1.830
AhnLab V3 2009.04.08.01 2009.04.08 2009-04-08 - 0.602
AntiVir 7.9.0.138 7.1.3.34 2009-04-08 - 1.961
Antiy 2.0.18 20090408.2286289 2009-04-08 - 0.120
Authentium 5.1.1 200904081715 2009-04-08 - 1.223
AVAST! 3.0.1 090408-0 2009-04-08 - 0.008
AVG 7.5.52.442 270.11.47/2047 2009-04-08 - 2.011
BitDefender 7.81008.2845671 7.24675 2009-04-08- 2.635
CA (VET) 9.0.0.143 31.6.6444 2009-04-08 - 5.339
ClamAV 0.95 9213 2009-04-08 - 0.023
Comodo 3.8 1105 2009-04-08 - 0.543
CP Secure 1.1.0.715 2009.04.09 2009-04-09- 8.006
Dr.Web 4.44.0.9170 2009.04.08 2009-04-08- 4.324
F-Prot 4.4.4.56 20090408 2009-04-08 - 1.229
F-Secure 5.51.6100 2009.04.08.07 2009-04-08 - 5.085
Fortinet 2.81-3.117 10.261 2009-04-08 - 0.173
GData 19.4467/19.293 20090408 2009-04-08 - 3.453
Ikarus T3.1.01.49 2009.04.08.72548 2009-04-08- 2.899
JiangMin 11.0.706 2009.04.08 2009-04-08 - 1.636
Kaspersky 5.5.10 2009.04.08 2009-04-08 - 0.046
KingSoft 2009.2.5.15 2009.4.8.21 2009-04-08- 0.567
McAfee 5.3.00 5578 2009-04-08 - 2.712
Microsoft 1.4502 2009.04.08 2009-04-08 - 4.214
mks_vir 2.01 2009.04.08 2009-04-08 - 2.794
Norman 6.00.06 6.00.00 2009-04-03 - 8.010
nProtect 20090408.03 3437088 2009-04-08- 4.845
Panda 9.05.01 2009.04.08 2009-04-08 - 1.626
Quick Heal 10.00 2009.04.08 2009-04-08 - 1.080
Rising 20.0 21.23.40.00 2009-04-03-08- 0.813
Sophos 2.85.0 4.40 2009-04-09 - 2.089
Sunbelt 5081 5081 2009-04-07 - 0.686
Symantec 1.3.0.24 20090407.003 2009-04-07- 0.050
The Hacker 6.3.4.0 v00304 2009-04-08- 0.602
Trend Micro 8.700-1004 5.952.10 2009-04-08- 0.030
VBA32 3.12.10.2 20090407.1532 2009-04-07 - 1.800
ViRobot 20090407 2009.04.07 2009-04-07 - 0.398
VirusBuster 4.5.11.10 10.102.37/1221147 2009-04-08 - 1.503

nochdigger · 08.04.2009, 21:42

Hallo

Zitat:

Die 2 Dateien die in quarantäne waren habe ich wieder hergestellt im normal und im Administrator Modus gesucht! Die sind weg?

Weg sind sie hoffentlich nicht....

erstelle bitte ein Log mit der Filelist

Zitat:

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

lass bitte auch Combofix dein System untersuchen

Zitat:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

poste die Logs bitte in Codetags (die Raute # in der Antwortbox) hierher

HTML-Code:

[CODE]~Logfile~[/CODE]

MFG

rasi2009 · 08.04.2009, 21:56

Filelist gemacht mit folgendem resultat :-( ist nicht vista kompatiebel :-(

Code:

ATTFilter

not supported windows version 
---------------------------------------- 

Microsoft Windows [Version 6.0.6001]

den rest mache ich jetzt

Habe gerade nochmal nen kompletten Virenscan mit Bullguard gemacht.... bin bei 100% und es ist nichts mehr da??? Hatte heute Mittag sofort den Trojaner an die übertragen! Kann es sein das die alles in einer neuen Virendeffinition gepackt haben und den dann entfernt haben? Sorry bin sehr Virenunerfahren... habe da 0 Plan!

Combofix -->

Code:

ATTFilter

ComboFix 09-04-04.01 - RS 2009-04-08 23:20:02.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.1.1031.18.3062.1823 [GMT 2:00]
ausgeführt von:: c:\users\RS\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\x64

.
(((((((((((((((((((((((   Dateien erstellt von 2009-03-08 bis 2009-04-08  ))))))))))))))))))))))))))))))
.

2009-04-08 21:17 . 2009-04-08 21:17	<DIR>	dr-------	c:\users\Administrator\Searches
2009-04-08 21:17 . 2009-04-08 21:17	<DIR>	dr-------	c:\users\Administrator\Contacts
2009-04-08 21:17 . 2009-04-08 21:17	<DIR>	d--------	c:\users\Administrator\AppData\Roaming\BullGuard
2009-04-08 21:16 . 2009-04-08 21:17	<DIR>	dr-------	c:\users\Administrator\Videos
2009-04-08 21:16 . 2009-04-08 21:17	<DIR>	dr-------	c:\users\Administrator\Saved Games
2009-04-08 21:16 . 2009-04-08 21:17	<DIR>	dr-------	c:\users\Administrator\Pictures
2009-04-08 21:16 . 2009-04-08 21:17	<DIR>	dr-------	c:\users\Administrator\Music
2009-04-08 21:16 . 2009-04-08 21:17	<DIR>	dr-------	c:\users\Administrator\Links
2009-04-08 21:16 . 2009-04-08 21:17	<DIR>	dr-------	c:\users\Administrator\Downloads
2009-04-08 21:16 . 2009-04-08 21:17	<DIR>	dr-------	c:\users\Administrator\Documents
2009-04-08 21:16 . 2006-11-02 14:37	<DIR>	d--------	c:\users\Administrator\AppData\Roaming\Media Center Programs
2009-04-08 21:16 . 2009-04-08 21:17	<DIR>	d--h-----	c:\users\Administrator\AppData
2009-04-08 21:16 . 2009-04-08 21:17	<DIR>	d--------	c:\users\Administrator
2009-04-08 17:10 . 2009-04-08 17:10	<DIR>	d--------	c:\users\RS\AppData\Roaming\Malwarebytes
2009-04-08 17:10 . 2009-04-08 17:10	<DIR>	d--------	c:\users\All Users\Malwarebytes
2009-04-08 17:10 . 2009-04-08 17:10	<DIR>	d--------	c:\programdata\Malwarebytes
2009-04-08 17:10 . 2009-04-08 17:10	<DIR>	d--------	c:\program files\Malwarebytes' Anti-Malware
2009-04-08 17:10 . 2009-04-06 15:32	38,496	--a------	c:\windows\System32\drivers\mbamswissarmy.sys
2009-04-08 17:10 . 2009-04-06 15:32	15,504	--a------	c:\windows\System32\drivers\mbam.sys
2009-04-08 16:51 . 2009-04-08 16:51	<DIR>	d--------	c:\program files\CCleaner
2009-04-08 10:12 . 2009-04-08 10:12	<DIR>	d--------	c:\program files\Trend Micro
2009-04-07 13:15 . 2009-04-07 13:15	<DIR>	d--------	c:\users\RS\AppData\Roaming\Zylom
2009-04-07 13:15 . 2009-04-07 13:15	<DIR>	d--------	c:\users\All Users\PopCap Games
2009-04-07 13:15 . 2009-04-07 13:15	<DIR>	d--------	c:\programdata\PopCap Games
2009-04-05 13:35 . 2009-04-08 22:57	<DIR>	d--------	c:\users\RS\AppData\Roaming\Azureus
2009-04-05 13:34 . 2009-04-05 13:35	<DIR>	d--------	c:\program files\Azureus
2009-04-05 13:25 . 2009-04-05 13:29	<DIR>	d--------	c:\users\RS\AppData\Roaming\uTorrent
2009-04-03 11:22 . 2009-04-08 18:09	79,184	--a------	c:\windows\System32\BGLsp.dll
2009-04-01 09:22 . 2009-04-01 09:22	<DIR>	d--------	c:\users\RS\AppData\Roaming\CyberLink
2009-03-29 14:37 . 2008-06-18 17:49	49,904	-ra------	c:\windows\System32\drivers\BVRPMPR5.SYS
2009-03-29 14:36 . 2009-03-29 14:44	<DIR>	d--------	C:\Netgear
2009-03-26 17:51 . 2009-03-26 17:51	<DIR>	d--------	c:\program files\Java
2009-03-26 17:51 . 2009-03-26 17:51	410,984	--a------	c:\windows\System32\deploytk.dll
2009-03-20 17:31 . 2009-03-20 17:31	<DIR>	d--------	c:\users\RS\AppData\Roaming\vlc
2009-03-20 14:23 . 2009-03-20 14:32	<DIR>	d--------	C:\2759689985b81de47020a172f918850d
2009-03-11 15:26 . 2009-03-11 15:26	<DIR>	d--------	c:\users\RS\AppData\Roaming\Artisteer
2009-03-11 10:30 . 2008-11-27 06:43	268,288	--a------	c:\windows\System32\schannel.dll
2009-03-11 10:01 . 2008-12-16 05:29	8,147,456	--a------	c:\windows\System32\wmploc.DLL
2009-03-11 10:01 . 2009-02-09 05:10	2,033,152	--a------	c:\windows\System32\win32k.sys
2009-03-11 10:01 . 2008-12-16 07:31	7,680	--a------	c:\windows\System32\spwmp.dll
2009-03-11 10:01 . 2008-12-16 07:31	4,096	--a------	c:\windows\System32\msdxm.ocx
2009-03-11 10:01 . 2008-12-16 07:31	4,096	--a------	c:\windows\System32\dxmasf.dll
2009-03-10 20:54 . 2009-03-10 20:54	<DIR>	d--------	c:\users\RS\AppData\Roaming\OpenOffice.org
2009-03-09 20:08 . 2009-03-09 20:08	<DIR>	d--------	c:\program files\T-Mobile
2009-03-09 16:07 . 2009-03-09 16:07	<DIR>	d--------	c:\users\RS\AppData\Roaming\DAEMON Tools Pro
2009-03-09 16:07 . 2009-03-09 16:07	<DIR>	d--------	c:\users\RS\AppData\Roaming\DAEMON Tools
2009-03-09 16:06 . 2009-03-09 16:13	<DIR>	d--------	c:\users\RS\AppData\Roaming\DAEMON Tools Lite
2009-03-09 16:06 . 2009-03-09 16:06	<DIR>	d--------	c:\program files\DAEMON Tools Lite

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-08 19:20	---------	d-----w	c:\programdata\BullGuard
2009-04-08 17:34	---------	d-----w	c:\users\RS\AppData\Roaming\Skype
2009-04-08 14:05	---------	d-----w	c:\users\RS\AppData\Roaming\skypePM
2009-04-07 12:44	---------	d-----w	c:\users\RS\AppData\Roaming\BullGuard
2009-04-04 19:15	---------	d-----w	c:\users\RS\AppData\Roaming\Microgaming
2009-04-03 09:22	305,688	----a-r	c:\windows\system32\drivers\AfwCore.sys
2009-04-03 09:22	29,208	----a-r	c:\windows\system32\drivers\Afw.sys
2009-04-01 19:29	---------	d-----w	c:\users\RS\AppData\Roaming\FileZilla
2009-03-31 18:39	---------	d-----w	c:\program files\Common Files\Adobe
2009-03-17 14:08	---------	d-----w	c:\program files\Windows Mail
2009-03-17 14:01	---------	d-----w	c:\programdata\Microsoft Help
2009-03-09 18:33	---------	d-----w	c:\users\RS\AppData\Roaming\WEBDE
2009-03-09 18:33	---------	d-----w	c:\users\RS\AppData\Roaming\SmartSurfer
2009-03-09 18:33	---------	d-----w	c:\programdata\WEBDE
2009-02-27 00:07	---------	d-----w	c:\program files\OpenOffice.org 3
2009-02-26 09:40	253,116	----a-w	c:\windows\PDFCreator_Toolbar_Uninstaller_296.exe
2009-02-26 09:40	---------	d-----w	c:\program files\PDFCreator Toolbar
2009-02-26 09:40	---------	d-----w	c:\program files\PDFCreator
2009-02-25 20:46	---------	d-----w	c:\programdata\Skype
2009-02-25 20:46	---------	d-----w	c:\program files\Common Files\Skype
2009-02-25 20:46	---------	d-----r	c:\program files\Skype
2009-02-19 02:34	---------	d-----w	c:\program files\Google
2009-02-18 14:53	---------	d-----w	c:\users\RS\AppData\Roaming\PSpad
2009-02-18 14:48	---------	d-----w	c:\program files\PSPad editor
2009-02-11 23:47	---------	d-----w	c:\program files\PKR
2009-01-16 08:47	56	---ha-w	c:\users\All Users\ezsidmv.dat
2009-01-16 08:47	56	---ha-w	c:\programdata\ezsidmv.dat
2009-01-16 00:44	603,904	----a-w	c:\windows\System32\TUProgSt.exe
2009-01-16 00:44	360,192	----a-w	c:\windows\System32\TuneUpDefragService.exe
2009-01-15 14:26	19,784	----a-w	c:\windows\System32\BgOutlookHook.dll
2009-01-15 14:26	14,152	----a-w	c:\windows\System32\lccl.dll
2009-01-15 14:26	14,152	----a-w	c:\windows\System32\client_cc.dll
2009-01-15 06:11	827,392	----a-w	c:\windows\System32\wininet.dll
2008-01-21 02:43	174	--sha-w	c:\program files\desktop.ini
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BullGuard"="c:\program files\BullGuard Ltd\BullGuard\BullGuard.exe" [2009-03-17 304464]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-19 39408]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-03-24 1488112]
"WindowsWelcomeCenter"="oobefldr.dll" [2008-01-21 c:\windows\System32\oobefldr.dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-08-31 102400]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2007-09-01 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-09-06 188416]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2007-09-07 86016]
"CLMLServer"="c:\program files\HomeCinema\Power2Go\CLMLSvc.exe" [2007-10-17 128296]
"BullGuard"="c:\program files\BullGuard Ltd\BullGuard\bullguard.exe" [2009-03-17 304464]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-26 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"RtHDVCpl"="RtHDVCpl.exe" [2007-12-17 c:\windows\RtHDVCpl.exe]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
web'n'walk Manager.lnk - c:\program files\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe [2007-11-07 798720]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GOEC62~1.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3codecp"= l3codecp.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\BgMainSvc]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^PDFCreator.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\PDFCreator.lnk
backup=c:\windows\pss\PDFCreator.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^RS^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.0.lnk]
path=c:\users\RS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-10-15 10:14 202024 c:\program files\Common Files\Nero\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-12-29 12:40 687560 c:\program files\DAEMON Tools Lite\daemon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" -autorun

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"LanguageShortcut"="c:\program files\HomeCinema\PowerDVD\Language\Language.exe"
"toolbar_eula_launcher"=c:\program files\GoogleEULA\EULALauncher.exe
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"NeroFilterCheck"=c:\program files\Common Files\Nero\Lib\NeroCheck.exe
"RemoteControl"="c:\program files\HomeCinema\PowerDVD\PDVDServ.exe"
"UpdatePPShortCut"="c:\program files\HomeCinema\PowerProducer\MUITransfer\MUIStartMenu.exe" "c:\program files\HomeCinema\PowerProducer" update "Software\CyberLink\PowerProducer\4.0"
"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe
"LMgrOSD"="c:\program files\Launch Manager\OSD.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{65B9D8E0-4494-4731-85EA-31ADF67CFE2C}"= c:\program files\HomeCinema\MakeDisc\MakeDisc.exe:CyberLink MakeDisc
"{A427694A-724F-48B9-B683-EFA3B0A9B466}"= c:\program files\HomeCinema\PowerDirector\PDR.EXE:CyberLink PowerDirector
"{B1528D45-A852-4DFF-90B3-BC5BCBE9D2FC}"= c:\program files\HomeCinema\PowerDVD\PowerDVD.EXE:CyberLink PowerDVD
"{5B73FFAE-B2F1-46BD-8745-5AE9E1B33E9E}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{4F747B6C-D643-4B27-A1E7-2BBBF4E3D65D}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{34DE08C7-68DB-41CF-8DD2-961F4BA2F24B}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{E9975C39-F1CA-4B46-B1B3-BAC615A4A0D8}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{5B66515D-3952-42BD-856D-EA1137FC1055}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{1C6A720C-C59F-4477-8224-E4E6C764610F}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{7A9D977A-27ED-4E2D-B137-964FA1B828C1}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{F11CAED4-A3E3-42E2-AF14-90D3B0E8647C}c:\\program files\\azureus\\azureus.exe"= UDP:c:\program files\azureus\azureus.exe:Azureus
"UDP Query User{CF3A0D99-730C-413E-A707-4ABFF620BBE2}c:\\program files\\azureus\\azureus.exe"= TCP:c:\program files\azureus\azureus.exe:Azureus

R0 Si3531;SiI-3531 SATA Controller;c:\windows\System32\drivers\Si3531.sys [2008-07-25 212008]
R1 afw;Agnitum Firewall Driver;c:\windows\System32\drivers\Afw.sys [2007-11-28 29208]
R1 Hotkey;Hotkey;c:\windows\System32\drivers\HOTKEY.sys [2008-07-21 9867]
R2 BdFileSpy;BullGuard File Monitor Driver;c:\windows\System32\drivers\BdFileSpy.sys [2008-11-03 55504]
R2 BsFileScan;BullGuard File Scan Service;c:\windows\System32\svchost.exe -k BullGuard [2008-01-21 21504]
R2 BsFire;BullGuard Firewall Service;c:\windows\System32\svchost.exe -k BullGuard [2008-01-21 21504]
R2 BsMailProxy;BullGuard Email Monitoring Service;c:\windows\System32\svchost.exe -k BullGuard [2008-01-21 21504]
R2 GtDetectSc;GtDetectSc;c:\program files\T-Mobile\web'n'walk Manager\GtDetectSc.exe [2007-11-05 204915]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2009-01-16 603904]
R3 AfwCore;Agnitum Firewall Core Driver;c:\windows\System32\drivers\AfwCore.sys [2009-01-15 305688]
R3 netr28;Ralink 802.11n Wireless Driver for Windows Vista;c:\windows\System32\drivers\netr28.sys [2008-01-03 327168]
R3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2008-07-21 118784]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2008-11-03 29744]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\System32\drivers\Gt51Ip.sys [2007-07-09 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\System32\drivers\gt72ubus.sys [2007-06-26 51968]
S3 GTPTSER;GT PT SER;c:\windows\System32\drivers\gtptser.sys [2007-03-30 8064]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - A5369329
*NewlyCreated* - DFA65F77
*NewlyCreated* - PROFOS
*NewlyCreated* - TRUFOS
*Deregistered* - a5369329
*Deregistered* - dfa65f77

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
BullGuard	REG_MULTI_SZ   	BgMainSvc BsFileScan BsMailProxy BsFire
bthsvcs	REG_MULTI_SZ   	BthServ
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{49fdf83c-20dc-11de-968b-000ae4cdfafb}]
\shell\AutoRun\command - I:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{be061083-0ccb-11de-a6cd-000ae4ce0347}]
\shell\AutoRun\command - H:\setup.exe AUTORUN=1
.
Inhalt des "geplante Tasks" Ordners

2009-04-08 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 20:07]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.goggle.de/
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
LSP: c:\windows\system32\bglsp.dll
DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} - hxxp://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-27-0.cab
FF - ProfilePath - c:\users\RS\AppData\Roaming\Mozilla\Firefox\Profiles\5ibia3wz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-08 23:22:45
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-04-08 23:24:50
ComboFix-quarantined-files.txt  2009-04-08 21:24:46

Vor Suchlauf: 21 Verzeichnis(se), 147.583.537.152 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 147,134,947,328 Bytes frei

243	--- E O F ---	2009-04-07 08:08:43

nochdigger · 09.04.2009, 05:57

Moin

Zitat:

Filelist gemacht mit folgendem resultat :-( ist nicht vista kompatiebel :-(

ich war wohl gestern leicht angeschlagen

Zitat:

Habe gerade nochmal nen kompletten Virenscan mit Bullguard gemacht.... bin bei 100% und es ist nichts mehr da?

Es wird nichts mehr gefunden von Bullgard

Zitat:

Hatte heute Mittag sofort den Trojaner an die übertragen! Kann es sein das die alles in einer neuen Virendeffinition gepackt haben und den dann entfernt haben?

Mag sein, ich hab aber meine Bedenken, da der Schädling komplett unbekannt zu sein scheint

Ändere bitte von einem sauberen System alle deine Pass und Kennwörter, verzichte auf jede art Passworteingabe (außer hier) bis wir wissen, um was genau es sich handelt bei dem Befall.

Was bitte ist dein Laufwerk I:\ ?

Lade bitte diese Datei
c:\windows\system32\bglsp.dll
ebenfalls bei Bullgard (wenn sich nicht sogar von denen stammt) und hier hoch
Submit your sample
berichte bitte was die Überprüfung ergeben hat.

MFG

rasi2009 · 09.04.2009, 06:57

Code:

ATTFilter

Verdächtige Dateien und sonstige Uploads

Vielen Dank für Ihre Submission. Im folgenden sehen Sie den derzeitigen Status der übermittelten Dateien:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID 	 Dateiname 	Größe (Byte) 	Ergebnis
25317176 	 BGLsp.dll 	 77.33 KB 	 UNDER ANALYSIS


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
 Dateiname 	Ergebnis
 BGLsp.dll 	 UNDER ANALYSIS

Die Datei 'BGLsp.dll' wurde als 'UNDER ANALYSIS' eingestuft.
Die oben aufgeführten Ergebnisse werden wir Ihnen zusätzlich via Email übermitteln. Sofern das Endergebnis noch nicht für alle Dateien verfügbar ist müssen Sie sich gegebenenfalls noch gedulden

nochdigger · 09.04.2009, 07:00

Hallo

ich denke du wirst heute oder morgen die Auswertung der Datei erhalten, bis dahin bitte möglichst wenig im Netz bewegen.

MFG

rasi2009 · 09.04.2009, 07:19

also die bglsp.dll ist eine Bullguard Datei ihrer Anwendung!

Habe mich da gerade mit dem LiveSupport unterhalten! Einen Dateientest machen die nicht! (also so wie man bei anderen eine Datei testen lassen kann meine ich damit ;-) )

rasi2009 · 09.04.2009, 08:50

Code:

ATTFilter

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID	 Dateiname	Größe (Byte)	Ergebnis
25317176	 BGLsp.dll	 77.33 KB	 CLEAN

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
 Dateiname	Ergebnis
 BGLsp.dll	 CLEAN

werde jetzt mal bullguard entfernen und mir kaspersky drauf packen und nochmal alles checken lassen! Also ich komme immer mehr zu der auffasung das dies evtl. von Bullguard selbst inziniert wurde?!?!?! Mein Abo läuft da in 10 Tage ab! Zwei erinnerungsmail habe ich da schon ohne zu reagieren erhalten! Man kann ja sagen angst sales ;-) wobei das mit sicherheit keine kfm. Handlungsweise wäre! Wie gesagt... nur ne Vermutung meines kranken Gehirns *smile

rasi2009 · 09.04.2009, 14:36

Hi zusammen, habe jetzt Kaspersky und Spybot Search & Destroy drüber laufen lassen. Aktuell gibt es keine Meldungen mehr!

Weiss jetzt nicht was ich davon halten soll... denkt Ihr der Lapi ist wieder sauber oder liegt da evtl. im Hintergrund was verdeckt?

Allen nochmal ein dickes Danke!

Trojaner.Downloader.Agent.AAJI (was kann ich machen?)

Log-Analyse und Auswertung: Trojaner.Downloader.Agent.AAJI (was kann ich machen?)