Zurück   Trojaner-Board > Malware entfernen > Antiviren-, Firewall- und andere Schutzprogramme
Tojaner weg oder noch aktiv..

Tojaner weg oder noch aktiv..


Antiviren-, Firewall- und andere Schutzprogramme: Tojaner weg oder noch aktiv..

Windows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen.

Antwort
Alt 10.04.2009, 16:05   #1
wkr
 
Tojaner weg oder noch aktiv.. - Standard

Tojaner weg oder noch aktiv..


hallo zusammen,

ich hatte in letzter zeit immer wieder von Avira meldungen über Trojaner seit dem 19.03.09 ist ruhe. seit dem ich den trojaner drauf hab/hatte mache ich keine aktionen wie ebay, onlinebanking usw mehr..... jetzt meine gross frage wie kann ich sicher gehen das ich davon befreit bin? der viren scanner findet nichts mehr bin mir aber trotzdem unsicher. hijackthis hab ich gemcht eventuell hilft es euch ja weiter.. ich benutze opera als browser....

gruss und schoene ostertage wünsche ich euch.

PS: wo der trojaner weg kommt weiss ich,, hab scheisse ausm i-net geladen..

Letzten 2 aktionen mit Avira
In der Datei 'D:\media\Music\Madonna\Madonna - 2008 - Hard Candy 192Kbps\00 Madonna - Hard Candy [2008].m3u.exe'
wurde ein Virus oder unerwünschtes Programm 'DR/Agent.xlm.53' [dropper] gefunden.
Ausgeführte Aktion: Datei löschen
----------------------
In der Datei 'C:\Programme\HLSW\update.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Small.cjq.1' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:44:41, on 10.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Syslogd\Syslogd_Service.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Opera\opera.exe
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://search.conduit.com?SearchSource=10&ctid=CT2046651
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by USER1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de :8080
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Peer2Peer-DE Toolbar - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - C:\Programme\Peer2Peer-DE\tbPee0.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FCBHOBHO Class - {8B3868B4-EBA8-48FA-A19B-E1DFB99066FA} - C:\Programme\FlashCapture\fcbho.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Peer2Peer-DE Toolbar - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - C:\Programme\Peer2Peer-DE\tbPee0.dll
O2 - BHO: (no name) - {98E0D6C5-2C0E-4415-91A3-D1583FD55708} - C:\WINDOWS\system32\msjftoledb40.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Peer2Peer-DE Toolbar - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - C:\Programme\Peer2Peer-DE\tbPee0.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Save F&lash with FlashCapture - res://C:\Programme\FlashCapture\fciext.dll/FCIEXT.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: FlashCapture - {753BBC4B-CC73-4fb8-A5B5-CA09C804C1DD} - C:\Programme\FlashCapture\fciext.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ht*p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134412311328
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EE6CB9A-DBC6-4835-A958-B53985845D5E}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D6D7C5C-5B59-42FA-9CEF-76E288BAA57D}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD40DCDC-FF56-4B5B-A527-CA42994FFE9B}: NameServer = 192.168.2.2,212.6.108.140
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EE6CB9A-DBC6-4835-A958-B53985845D5E}: NameServer = 192.168.2.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{2EE6CB9A-DBC6-4835-A958-B53985845D5E}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kiwi Syslog Daemon - Kiwi Enterprises - C:\Programme\Syslogd\Syslogd_Service.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9377 bytes

Alt 13.04.2009, 00:33   #2
.keNNy#
 
Tojaner weg oder noch aktiv.. - Standard

Tojaner weg oder noch aktiv..


Hallo wkr!
Mal ne Frage: Findet Antivir jetzt nichts mehr oder wie sieht das aus?
Führe mal einen Kaspersky Onlinescan durch und scane mit eScan die Platte *klick*.
Poste das Logfile von eScan.
Bei Antivir kann es sich auch um eine Fehlermeldung handeln. Lade deshalb
Zitat:
'C:\Programme\HLSW\update.exe'
bitte bei VirusTotal hoch *klick*. Poste anschließend das Ergebnis.
Zu deinem HijackThis log. Bitte fixe
Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://search.conduit.com?SearchSource=10&ctid=CT2046651
, insofern du die Seite nicht kennst.

.keNNy#
__________________
Alt 14.04.2009, 18:06   #3
wkr
 
Tojaner weg oder noch aktiv.. - Standard

Tojaner weg oder noch aktiv..


hallo,

jetzt findet avira nix mehr.

so hier das ergebnis von VirusTotal
Zitat:
'C:\Programme\HLSW\update.exe'

Datei update.exe empfangen 2009.04.14 18:52:57 (CET)
Status: Beendet
Ergebnis: 24/40 (60%)
Filter
Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.14 Trojan-Dropper.Win32.Small!IK
AhnLab-V3 5.0.0.2 2009.04.14 Dropper/Downloader.749568
AntiVir 7.9.0.143 2009.04.14 -
Antiy-AVL 2.0.3.1 2009.04.14 -
Authentium 5.1.2.4 2009.04.14 -
Avast 4.8.1335.0 2009.04.14 Win32:Trojan-gen {Other}
AVG 8.5.0.285 2009.04.14 Dropper.Generic.AITJ
BitDefender 7.2 2009.04.14 -
CAT-QuickHeal 10.00 2009.04.14 TrojanDropper.Small.cjq
ClamAV 0.94.1 2009.04.14 -
Comodo 1113 2009.04.14 -
DrWeb 4.44.0.09170 2009.04.14 -
eSafe 7.0.17.0 2009.04.13 Win32.Dropper.Small
eTrust-Vet 31.6.6455 2009.04.14 -
F-Prot 4.4.4.56 2009.04.14 -
F-Secure 8.0.14470.0 2009.04.14 Trojan-Dropper.Win32.Small.cjq
Fortinet 3.117.0.0 2009.04.14 W32/Small.CJQ!tr
GData 19 2009.04.14 Win32:Trojan-gen {Other}
Ikarus T3.1.1.49.0 2009.04.14 Trojan-Dropper.Win32.Small
K7AntiVirus 7.10.703 2009.04.14 Trojan-Dropper.Win32.Small.cjq
Kaspersky 7.0.0.125 2009.04.14 Trojan-Dropper.Win32.Small.cjq
McAfee 5584 2009.04.14 Generic Dropper
McAfee+Artemis 5584 2009.04.14 Generic Dropper
McAfee-GW-Edition 6.7.6 2009.04.14 Trojan.Drop.LooksLike.Small
Microsoft 1.4502 2009.04.14 -
NOD32 4007 2009.04.14 -
Norman 6.00.06 2009.04.14 W32/Smalldrp.AUNR
nProtect 2009.1.8.0 2009.04.14 Trojan-Dropper/W32.Small.749568
Panda 10.0.0.14 2009.04.14 Suspicious file
PCTools 4.4.2.0 2009.04.14 -
Prevx1 V2 2009.04.14 High Risk Worm
Rising 21.25.14.00 2009.04.14 -
Sophos 4.40.0 2009.04.14 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.04.13 Trojan-Dropper.Win32.Small.cjq
Symantec 1.4.4.12 2009.04.14 Trojan Horse
TheHacker 6.3.4.0.306 2009.04.12 -
TrendMicro 8.700.0.1004 2009.04.14 -
VBA32 3.12.10.2 2009.04.12 Trojan-Dropper.Win32.Small.cjq
ViRobot 2009.4.14.1692 2009.04.14 -
VirusBuster 4.6.5.0 2009.04.14 Trojan.DR.Small.BOJB
__________________
Alt 16.04.2009, 16:05   #4
.keNNy#
 
Tojaner weg oder noch aktiv.. - Standard

Tojaner weg oder noch aktiv..


Alles klar!

Dann führe mal einen Scan mit Malwarebytes durch und poste das Ergebnis.
Anschließend lässt du mal Gmer drüberlaufen und entfernst alles was er findet. Während GMER scannt am besten Antivirguard deaktivieren, das Internet ausschalten und nicht mal die Maus berühren.

.keNNy#
Geändert von .keNNy# (16.04.2009 um 16:10 Uhr)

Alt 18.04.2009, 11:24   #5
wkr
 
Tojaner weg oder noch aktiv.. - Standard

Tojaner weg oder noch aktiv..


so hier der bericht von mailware habe alle infizierten registrierungsschlüssel entfernt, lasse jetzt den GMER nochmal drüberlaufen...


Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1992
Windows 5.1.2600 Service Pack 2

18.04.2009 12:14:32
mbam-log-2009-04-18 (12-14-24).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|H:\|)
Durchsuchte Objekte: 238274
Laufzeit: 19 hour(s), 18 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProcObsrv (Rogue.NetCom3) -> No action taken.
HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Alt 18.04.2009, 12:13   #6
.keNNy#
 
Tojaner weg oder noch aktiv.. - Standard

Tojaner weg oder noch aktiv..


So,
hat GMER was gefunden?
Hast du mit Malwarebytes die gefundenen Objekte entfernt?
Arbeite diese Anleitung von SUPERAntispyware bitte ab. Poste das Ergebnis.
Anschließend folge der Anleitung von CCleaner.
Poste dann bitte nochmal ein Aktuelles HijackThis-log.

.keNNy#

Alt 18.04.2009, 16:37   #7
wkr
 
Tojaner weg oder noch aktiv.. - Standard

Tojaner weg oder noch aktiv..


so hier der logfile vom GMER hat denke ich nichts mehr gefunden. mit Malwarebytes habe ich die gefundenen entfernt..

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-18 17:29:43
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT sptd.sys ZwCreateKey [0xF7740AC8]
SSDT \??\C:\PROGRA~1\eScan\ProcObsrves.sys (ProcObsrves/MicroWorld Technologies Inc.) ZwCreateSection [0xBA3EFE50]
SSDT ED94161C ZwCreateThread
SSDT sptd.sys ZwEnumerateKey [0xF7740C22]
SSDT sptd.sys ZwEnumerateValueKey [0xF7740F9A]
SSDT sptd.sys ZwOpenKey [0xF774098E]
SSDT ED941608 ZwOpenProcess
SSDT ED94160D ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF7741064]
SSDT sptd.sys ZwQueryValueKey [0xF7740EFC]
SSDT sptd.sys ZwSetValueKey [0xF77410EC]
SSDT \??\C:\PROGRA~1\eScan\ProcObsrves.sys (ProcObsrves/MicroWorld Technologies Inc.) ZwTerminateProcess [0xBA3F0120]
SSDT ED941612 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
? C:\WINDOWS\System32\Drivers\SPTD9997.SYS Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 F5A364F0 16 Bytes [1C, 1A, 92, 84, 8E, 01, 60, ...]
.text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11 F5A36501 31 Bytes [50, A3, F5, 53, CF, A2, 05, ...]
? C:\WINDOWS\System32\Drivers\dtscsi.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F773CAD2] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F773CC0E] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F773CB96] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F773D76C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F773D642] sptd.sys
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F775F056] sptd.sys
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [ED503FE0] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [ED504050] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [ED504370] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [ED5043B0] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [ED504370] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [ED504050] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [ED503FE0] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies)
IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [ED503FE0] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies)
IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [ED504050] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies)
IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [ED5043B0] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies)
IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [ED504370] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [ED504370] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [ED5043B0] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [ED503FE0] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [ED504050] \SystemRoot\System32\Drivers\ECONCEAL.SYS (ECONCEAL helper driver/MicroWorld Technologies)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 867A2550
Device \FileSystem\Fastfat \FatCdrom 84BCF8C0
Device \FileSystem\Udfs \UdfsCdRom 85E10688
Device \FileSystem\Udfs \UdfsDisk 85E10688
Device \Driver\dmio \Device\DmControl\DmIoDaemon 867A3A40
Device \Driver\dmio \Device\DmControl\DmConfig 867A3A40
Device \Driver\dmio \Device\DmControl\DmPnP 867A3A40
Device \Driver\dmio \Device\DmControl\DmInfo 867A3A40
Device \Driver\Ftdisk \Device\HarddiskVolume1 867A3C78
Device \Driver\Ftdisk \Device\HarddiskVolume2 867A3C78
Device \Driver\Cdrom \Device\CdRom0 86651C20
Device \FileSystem\Rdbss \Device\FsWrap 85E2A5C0
Device \Driver\Ftdisk \Device\HarddiskVolume3 867A3C78
Device \Driver\Cdrom \Device\CdRom1 86651C20
Device \Driver\00000040 \Device\00000066 sptd.sys
Device \Driver\NetBT \Device\NetBT_Tcpip_{FD40DCDC-FF56-4B5B-A527-CA42994FFE9B} 85FD2688
Device \Driver\Cdrom \Device\CdRom2 86651C20
Device \Driver\Cdrom \Device\CdRom3 86651C20
Device \Driver\NetBT \Device\NetBt_Wins_Export 85FD2688
Device \Driver\NetBT \Device\NetbiosSmb 85FD2688
Device \Driver\nvata \Device\00000089 867A2C78
Device \Driver\Disk \Device\Harddisk0\DR0 867A2788
Device \Driver\Disk \Device\Harddisk1\DR1 867A2788
Device \Driver\nvata \Device\NvAta0 867A2C78
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 860AEA00
Device \Driver\nvata \Device\NvAta1 867A2C78
Device \FileSystem\MRxSmb \Device\LanmanRedirector 860AEA00
Device \Driver\nvata \Device\NvAta2 867A2C78
Device \FileSystem\Npfs \Device\NamedPipe 85FB1688
Device \Driver\Ftdisk \Device\FtControl 867A3C78
Device \Driver\nvata \Device\0000008a 867A2C78
Device \FileSystem\Msfs \Device\Mailslot 86031208
Device \Driver\nvata \Device\0000008b 867A2C78
Device \Driver\VClone \Device\Scsi\VClone1 867A3808
Device \Driver\si3114r5 \Device\Scsi\si3114r51 867A2EB0
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port5Path0Target0Lun0 8616F500
Device \Driver\VClone \Device\Scsi\VClone1Port0Path0Target0Lun0 867A3808
Device \Driver\si3114r5 \Device\Scsi\si3114r51Port1Path3Target1fLun0 867A2EB0
Device \Driver\dtscsi \Device\Scsi\dtscsi1 8616F500
Device \Driver\si3114r5 \Device\Scsi\si3114r51Port1Path0Target10Lun0 867A2EB0
Device \FileSystem\Fastfat \Fat 84BCF8C0

AttachedDevice \FileSystem\Fastfat \Fat 867A2A40
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 84BD08C0

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\com\AllowedPaths
Reg HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\com\AllowedPaths@ 0xDB 0x67 0x83 0x47 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0 239675826
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -959332954
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 397411701
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x01 0x6C 0x83 0xB6 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x99 0xA7 0x64 0x8B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x47 0xB8 0xCF 0x2A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xC3 0xB3 0x9E 0x07 ...
Reg HKLM\SYSTEM\ControlSet002\Control\SecurePipeServers\com\AllowedPaths
Reg HKLM\SYSTEM\ControlSet002\Control\SecurePipeServers\com\AllowedPaths@ 0xDB 0x67 0x83 0x47 ...
Reg HKLM\SYSTEM\ControlSet003\Control\SecurePipeServers\com\AllowedPaths
Reg HKLM\SYSTEM\ControlSet003\Control\SecurePipeServers\com\AllowedPaths@ 0xDB 0x67 0x83 0x47 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x01 0x6C 0x83 0xB6 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x99 0xA7 0x64 0x8B ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x47 0xB8 0xCF 0x2A ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xC3 0xB3 0x9E 0x07 ...

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\config\software.LOG (size mismatch) 1024/12288 bytes

---- EOF - GMER 1.0.15 ----

Alt 18.04.2009, 19:55   #8
wkr
 
Tojaner weg oder noch aktiv.. - Standard

Tojaner weg oder noch aktiv..


so hier der log,,,,,, hab die 60 einträge entfernt mache jetzt noch den boot test... danach kommt die hjthis
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/18/2009 at 07:24 PM

Application Version : 4.26.1000

Core Rules Database Version : 3851
Trace Rules Database Version: 1805

Scan type : Complete Scan
Total Scan Time : 01:36:49

Memory items scanned : 465
Memory threats detected : 0
Registry items scanned : 6692
Registry threats detected : 9
File items scanned : 151890
File threats detected : 61

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\willi\Cookies\willi@adserver.sup4u[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@rambler[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@zbox.zanox[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@ad.triplemind[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@opodo.122.2o7[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@adserver.71i[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@xiti[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@1071459391[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@1069365257[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@ad1.clickhype[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@adtech[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@serving-sys[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@adserver.easyad[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@2o7[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@mb[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@1067311067[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@1068935504[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@realmedia[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@as-eu.falkag[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@usenext[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@komtrack[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@indextools[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@tacoda[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@www.one-tracker[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@ads.heias[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@1071417819[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@edge.ru4[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@cgi-bin[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@forum.usenext[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@ads.pointroll[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@atdmt[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@stats.searchtrack[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@cracks[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@adopt.euroclick[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@advertising[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@ad.adition[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@1070017076[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@overture[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@ad.zanox[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@partners.webmasterplan[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@ad.71i[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@one-tracker[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@hmt.connexpromotions[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@revenue[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@mb[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@cgi-bin[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@ads[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@adbrite[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@njhc[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@atwola[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@insightexpressai[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@stats.drivecleaner[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@microsoftwga.112.2o7[1].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@as1.falkag[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@questionmarket[2].txt
C:\Dokumente und Einstellungen\willi\Cookies\willi@adfarm1.adition[1].txt

Adware.WhenU
HKCR\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}
HKCR\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}\ProxyStubClsid
HKCR\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}\ProxyStubClsid32
HKCR\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}
HKCR\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}\ProxyStubClsid
HKCR\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}\ProxyStubClsid32
HKCR\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}
HKCR\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}\ProxyStubClsid
HKCR\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}\ProxyStubClsid32

Adware.GAIN/Gator
C:\DOKUMENTE UND EINSTELLUNGEN\TEST\LOKALE EINSTELLUNGEN\TEMP\GINSTALL.EXE.MWT

Alt 18.04.2009, 20:35   #9
.keNNy#
 
Tojaner weg oder noch aktiv.. - Standard

Tojaner weg oder noch aktiv..


Gut dann führe jetzt noch CCleaner aus wie beschrieben und poste ein frisches HijackThis-log.
Poste bitte auch nochmal eine Liste der Installierten Programme. Wie das geht erfährst du unter "Zuerst einmal" in meiner Signatur(Punkt 2).

.keNNy#

Alt 21.04.2009, 19:15   #10
wkr
 
Tojaner weg oder noch aktiv.. - Standard

Tojaner weg oder noch aktiv..


so hier der logfile.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:00, on 21.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Bonjour\mDNSResponder.exe
c:\progra~1\escan\EconSer.exe
C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe
c:\progra~1\escan\eConceal.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\Syslogd\Syslogd_Service.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\PROGRA~1\eScan\consctl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\Vista\eScanMon.exe
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de :8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Peer2Peer-DE Toolbar - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - C:\Programme\Peer2Peer-DE\tbPee0.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FCBHOBHO Class - {8B3868B4-EBA8-48FA-A19B-E1DFB99066FA} - C:\Programme\FlashCapture\fcbho.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Peer2Peer-DE Toolbar - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - C:\Programme\Peer2Peer-DE\tbPee0.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Peer2Peer-DE Toolbar - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - C:\Programme\Peer2Peer-DE\tbPee0.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Save F&lash with FlashCapture - res://C:\Programme\FlashCapture\fciext.dll/FCIEXT.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: FlashCapture - {753BBC4B-CC73-4fb8-A5B5-CA09C804C1DD} - C:\Programme\FlashCapture\fciext.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1134412311328
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EE6CB9A-DBC6-4835-A958-B53985845D5E}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D6D7C5C-5B59-42FA-9CEF-76E288BAA57D}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD40DCDC-FF56-4B5B-A527-CA42994FFE9B}: NameServer = 192.168.2.2,212.6.108.140
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EE6CB9A-DBC6-4835-A958-B53985845D5E}: NameServer = 192.168.2.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{2EE6CB9A-DBC6-4835-A958-B53985845D5E}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: eSLogOn - C:\WINDOWS\SYSTEM32\eSLogOn.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eConServ (EconService) - MicroWorld Technologies Inc. - c:\progra~1\escan\EconSer.exe
O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kiwi Syslog Daemon - Kiwi Enterprises - C:\Programme\Syslogd\Syslogd_Service.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 10374 bytes

teil 2 der anweisung kann nicht durchgefürhrt werden weil ich den text nicht gelesen habe so wie es scheint bin ich jetzt frei von viren und etc.. danke dir keNNy# the brain :aplaus:

was mit dem programm eScan?! die evaluation läuft am 14mai ab?! wird das dann kostenpflichtig? das scheint ja etwas umfangreicher zu sein wie mein Avira.

Alt 21.04.2009, 19:36   #11
.keNNy#
 
Tojaner weg oder noch aktiv.. - Standard

Tojaner weg oder noch aktiv..


Sollte ok sein jetzt.
Kannst dir ja nochmal Blacklight laden *klick*.
Das Programm sucht auch nochmal nach Rootkits. Haste zwar schon mit GMER gemacht aber sicher ist sicher. Das Programm eScan kannst du wieder deinstallieren. Nutze lieber Malwarebytes oder SUPERAntiSpyware um ab und zu mal die Platte zu scannen. Beide sind On-Demand Scanner also scannen nur wenn du das willst.
Kannst ja noch einen Scan mit Kaspersky Online machen. *klick*
Musste allerdings im IE ausführen.

.keNNy#

Antwort

Themen zu Tojaner weg oder noch aktiv..
antivir, avira, bho, candy, computer, ebanking, ebay, einstellungen, excel, frage, hacked, helper, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, programm, rundll, scan, scheisse, software, system, tojaner, trojaner, uleadburninghelper, viren, virus, web companion, windows, windows xp


« Comp probleme | AntiVir schlägt dauernd zu!HILFE »


Ähnliche Themen: Tojaner weg oder noch aktiv..


  1. Positive Finds trotz Googleanleitung noch aktiv
    Plagegeister aller Art und deren Bekämpfung - 11.05.2015 (7)
  2. Win 8.1 / System sehr langsam, Trojaner Agent.csji.3 noch aktiv ?, oder andere
    Log-Analyse und Auswertung - 30.09.2014 (20)
  3. Flashback: Mac-Botnetz angeblich noch aktiv
    Nachrichten - 10.01.2014 (0)
  4. GVU-Virus noch aktiv?
    Plagegeister aller Art und deren Bekämpfung - 06.07.2013 (11)
  5. ca.exe verschwunden aber noch aktiv?
    Plagegeister aller Art und deren Bekämpfung - 25.01.2013 (5)
  6. GVU-Trojaner nach Systemwiderherstellung noch aktiv ?
    Plagegeister aller Art und deren Bekämpfung - 18.11.2012 (18)
  7. GUV Trojaner noch aktiv?
    Plagegeister aller Art und deren Bekämpfung - 29.08.2012 (21)
  8. Verschlüsselungstrojaner noch aktiv ? / Trojan.Randsom.A
    Log-Analyse und Auswertung - 16.08.2012 (34)
  9. Bundespolizei-Trojaner wohl doch noch aktiv....?
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (17)
  10. akm virus (oder tojaner?) entfernen
    Plagegeister aller Art und deren Bekämpfung - 03.05.2012 (2)
  11. hotkeyshook immer noch aktiv ?
    Plagegeister aller Art und deren Bekämpfung - 07.06.2010 (7)
  12. Trojaner immer noch aktiv?
    Log-Analyse und Auswertung - 26.03.2010 (1)
  13. MSN Virus nach Formatierung noch aktiv
    Plagegeister aller Art und deren Bekämpfung - 17.05.2009 (3)
  14. Internet blockiert, Bagle noch aktiv?
    Log-Analyse und Auswertung - 28.04.2009 (4)
  15. startdrv.exe - wie weiß ich ob noch aktiv?
    Log-Analyse und Auswertung - 28.11.2007 (3)
  16. Trojaner noch aktiv???
    Log-Analyse und Auswertung - 05.05.2007 (28)
  17. ZoneAlarm deinstalliert aber trotzdem noch Aktiv!!!???
    Log-Analyse und Auswertung - 23.09.2006 (10)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Tojaner weg oder noch aktiv.. - hallo zusammen, ich hatte in letzter zeit immer wieder von Avira meldungen über Trojaner seit dem 19.03.09 ist ruhe. seit dem ich den trojaner drauf hab/hatte mache ich keine aktionen - Tojaner weg oder noch aktiv.....
Archiv
Du betrachtest: Tojaner weg oder noch aktiv.. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131