Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"


Plagegeister aller Art und deren Bekämpfung: Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 20.04.2009, 23:17   #1
Heinz_Peter
 
Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" - Standard

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"


Hallo,
vor 2 Monaten hatte ich mir einen Trojan.DNSChanger eingefangen. Nachdem der Befund klar war, hatte ich nicht lange gefackelt und Neuaufgesetzt.
Jetzt findet jedoch das "MS Windows-Tool zum Entfernen bösartiger Software" einen Trojan:Win32/Alureon!inf und meldet "entfernt". Das Log-file hierzu konnte ich nicht finden, um festzustellen welche Datei betroffen ist.
Der Scan mit SUPERAntiSpyware hat auf meiner Fotospeicherkarte D:\ den Rootkit.Agent/Gen-WinLog D:\RESYCLED\BOOT.COM gefunden und unter Quartantäne gestellt.
Auffälligkeiten hatte ich bisher keine auf meinem System bemerkt.

Sonstige bisherige Aktionen:
-Scan mit MBR.EXE
-Scan mit Gmer

1.Malwarebytes-Anti-Malware-Log:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2002
Windows 5.1.2600 Service Pack 3

19.04.2009 00:24:02
mbam-log-2009-04-19 (00-24-02).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 142166
Laufzeit: 24 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
2. HJT-Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:12:52, on 20.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\idt\dellxpm09b_6159v043\wdm\stacsv.exe
C:\Programme\Dell\Dell ControlPoint\Connection Manager\SMManager.exe
C:\Programme\Dell\Dell ControlPoint\DCPButtonSvc.exe
C:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Dell\Dell ControlPoint\Dell.ControlPoint.exe
C:\Programme\Dell\Dell ControlPoint\Connection Manager\Dell.UCM.exe
C:\Programme\DellTPad\Apoint.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\IDT\WDM\sttray.exe
C:\WINDOWS\system32\AESTFltr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DellTPad\ApMsgFwd.exe
C:\Programme\DellTPad\HidFind.exe
C:\Programme\DellTPad\Apntex.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AutoHotkey\Q-DIR_EXPLORER.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [DellControlPoint] "C:\Programme\Dell\Dell ControlPoint\Dell.ControlPoint.exe"
O4 - HKLM\..\Run: [DellConnectionManager] "C:\Programme\Dell\Dell ControlPoint\Connection Manager\Dell.UCM.exe"
O4 - HKLM\..\Run: [Apoint] C:\Programme\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [IJNetworkScanUtility] C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [AESTFltr] %SystemRoot%\system32\AESTFltr.exe /NoDlg
O4 - HKLM\..\Run: [Dell Webcam Central] "C:\Programme\Dell Webcam\Dell Webcam Central\WebcamDell.exe" /mode2
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe
O4 - Startup: Verknüpfung mit Q-DIR_EXPLORER.lnk = C:\Programme\AutoHotkey\Q-DIR_EXPLORER.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: http://www.slysoft.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Dell ControlPoint Button Service (buttonsvc32) - Dell Inc. - C:\Programme\Dell\Dell ControlPoint\DCPButtonSvc.exe
O23 - Service: Dell ControlPoint System Manager (dcpsysmgrsvc) - Dell Inc. - C:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Smith Micro Connection Manager Service (SMManager) - Smith Micro Software, Inc. - C:\Programme\Dell\Dell ControlPoint\Connection Manager\SMManager.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\programme\idt\dellxpm09b_6159v043\wdm\stacsv.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 6612 bytes
3.Software:
Code:
ATTFilter
Adobe After Effects 6.0
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Illustrator CS
Adobe Photoshop CS
Adobe Premiere Pro
Adobe Reader 9.1 - Deutsch
Adobe SVG Viewer 3.0
AnyDVD
Apple Software Update
AutoHotkey 1.0.48.00
BootSkin
Canon IJ Network Scan Utility
Canon IJ Network Tool
Canon MP Navigator EX 1.1
Canon MX850 series
Canon MX850 series Benutzerregistrierung
Canon My Printer
Canon Utilities Easy-PhotoPrint EX
Canon Utilities Solution Menu
CCleaner (remove only)
CDBurnerXP
Chaoscope 0.3.1
CloneDVD2
Dell ControlPoint Connection Manager
Dell ControlPoint System Manager
Dell Resource CD
Dell Touchpad
Dell Webcam Central
DH Driver Cleaner Professional Edition
Dienstprogramm für Dell Wireless WLAN Karte
FastStone Image Viewer 3.7
Google Earth
Google SketchUp 6
Google SketchUp 6
Google Update Helper
grandMA 3D 6
grandMA onPC 6.000
grandMA video  
GroBoto Demo
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
IBModeler 2.0
IDT Audio
Integrated Webcam Driver (1.02.02.0603)  
Intel(R) Network Connections 13.0.42.0
Java(TM) 6 Update 13
Malwarebytes' Anti-Malware
Mein Büro 2008
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Vielen Dank für Hilfe

Alt 22.04.2009, 14:51   #2
Sunny
Administrator
> Competence Manager
 
Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" - Standard

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"


Hallo Heinz_Peter und


GMER - Rootkit Detection
  • Lade GMER von hier
  • entpacke es auf den Dektop
  • Doppelklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.



ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

    Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
__________________

__________________
Alt 22.04.2009, 16:51   #3
Heinz_Peter
 
Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" - Standard

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"


GMER-Logfile vom 18.04.:
Code:
ATTFilter
GMER 1.0.15.14966 - h**p://www.gmer.net
Rootkit scan 2009-04-18 00:04:34
Windows 5.1.2600 Service Pack 3


---- Kernel code sections - GMER 1.0.15 ----

?        C:\DOKUME~1\***\LOKALE~1\Temp\mbr.sys                                                                                                                                                            Das System kann die angegebene Datei nicht finden. !
---- Processes - GMER 1.0.15 ----

Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll (*** hidden *** ) @ C:\Programme\Dell\Dell ControlPoint\Dell.ControlPoint.exe [796]              0x78130000                                            
Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll (*** hidden *** ) @ C:\Programme\Dell\Dell ControlPoint\Connection Manager\Dell.UCM.exe [804]    0x78130000                                            
Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\msvcm80.dll (*** hidden *** ) @ C:\Programme\Dell\Dell ControlPoint\Connection Manager\Dell.UCM.exe [804]    0x7C4C0000                                            
Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll (*** hidden *** ) @ C:\WINDOWS\System32\WLTRYSVC.EXE [1548]                                      0x78130000                                            
Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll (*** hidden *** ) @ C:\WINDOWS\System32\bcmwltry.exe [1560]                                      0x78130000                                            
Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCP80.dll (*** hidden *** ) @ C:\WINDOWS\System32\bcmwltry.exe [1560]                                      0x7C420000                                            
Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCP80.dll (*** hidden *** ) @ C:\Programme\Dell\Dell ControlPoint\Connection Manager\SMManager.exe [1968]  0x7C420000                                            
Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll (*** hidden *** ) @ C:\Programme\Dell\Dell ControlPoint\Connection Manager\SMManager.exe [1968]  0x78130000                                            
Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll (*** hidden *** ) @ C:\Programme\Java\jre6\bin\jqs.exe [2380]                                    0x78130000                                            

---- EOF - GMER 1.0.15 ----
GMER-Logfile von gerade eben:
Code:
ATTFilter
GMER 1.0.15.14966 - h**p://www.gmer.net
Rootkit scan 2009-04-22 17:41:17
Windows 5.1.2600 Service Pack 3


---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                            fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs              
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout  15
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota     10000
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                   yes
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                  
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout  90
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota    10000

---- EOF - GMER 1.0.15 ----
CCleaner lasse ich gleich nocheinmal laufen und mache mich dann an ComboFix

Schon einmal vielen Dank für die Hilfe
__________________
Alt 22.04.2009, 17:37   #4
Heinz_Peter
 
Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" - Standard

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"


Ok.
Ich habe ComboFix gestartet. Dann wurde ein DellControlManager-Prozess beendet. "Dell.UCM.exe hat ein Problem festgestellt und muss beendet werden."
ComboFix ist durchgelaufen, jedoch lief als Prozess immer noch der TeaTimer im Hintergrund und hat am Ende Änderungen an der Reg gemeldet.
Code:
ATTFilter
Aktuelle Datei: 

Datenbank-Status: Nicht benötigt - Viren, Spyware, Malware oder sonstiges Unnötiges
Wert: 
Dateiname: system32.exe

Beschreibung
Added by the _AGOBOT-KU_ WORM! Note - has a blank entry under the Startup Item/Name field

Quelle: Paul Collins Startup list
Da hatte ich intuitiv auf Ablehen gedrückt. Alle anderen auf Ok.
Sollte ich nun ComboFix nochmals starten?

ComboFix-Log:
Code:
ATTFilter
ComboFix 09-04-22.A23 - *** 22.04.2009 18:11.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3572.3122 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
 ADS - WINDOWS: deleted 72 bytes in 1 streams. 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\3E4E800A25.dll
c:\windows\system32\626F0B497C.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-03-22 bis 2009-04-22  ))))))))))))))))))))))))))))))
.

2009-04-20 14:25 . 2009-04-20 14:25	73728	----a-w	c:\windows\system32\javacpl.cpl
2009-04-18 21:06 . 2009-04-18 21:06	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-04-18 21:06 . 2009-04-06 13:32	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-04-18 21:06 . 2009-04-06 13:32	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-18 21:06 . 2009-04-18 21:06	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-17 23:02 . 2009-04-17 23:02	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-17 23:02 . 2009-04-17 23:02	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-17 21:12 . 2006-06-29 11:07	14048	------w	c:\windows\system32\spmsg2.dll
2009-04-17 21:09 . 2009-04-18 18:37	--------	d-----w	c:\windows\system32\XPSViewer
2009-04-17 21:09 . 2009-04-17 21:09	--------	d-----w	C:\a043e8d0aff4795696
2009-04-17 21:09 . 2008-07-06 12:06	89088	-c----w	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-04-17 21:09 . 2008-07-06 12:06	575488	-c----w	c:\windows\system32\dllcache\xpsshhdr.dll
2009-04-17 21:09 . 2008-07-06 12:06	575488	------w	c:\windows\system32\xpsshhdr.dll
2009-04-17 21:09 . 2008-07-06 12:06	1676288	-c----w	c:\windows\system32\dllcache\xpssvcs.dll
2009-04-17 21:09 . 2008-07-06 12:06	1676288	------w	c:\windows\system32\xpssvcs.dll
2009-04-17 21:09 . 2008-07-06 12:06	117760	------w	c:\windows\system32\prntvpt.dll
2009-04-17 21:09 . 2008-07-06 10:50	597504	-c----w	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-04-17 21:09 . 2009-04-17 22:59	--------	d-----w	c:\windows\SxsCaPendDel
2009-04-17 00:25 . 2009-04-17 00:25	118	----a-w	c:\windows\system32\MRT.INI
2009-04-15 21:40 . 2009-04-15 21:40	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\My Games
2009-04-13 11:38 . 2009-04-14 10:27	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Braid
2009-04-10 00:40 . 2009-04-10 00:40	103744	----a-w	c:\windows\system32\drivers\AnyDVD.sys
2009-03-24 11:03 . 2009-03-24 11:03	7808	----a-w	c:\windows\system32\drivers\psi_mf.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-22 15:52 . 2009-01-24 21:45	--------	d-----w	c:\programme\CCleaner
2009-04-20 21:26 . 2009-01-19 21:55	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Q-Dir
2009-04-20 19:14 . 2009-02-20 19:39	--------	d-----w	c:\programme\Tools
2009-04-20 14:25 . 2009-03-16 20:00	410984	----a-w	c:\windows\system32\deploytk.dll
2009-04-20 14:25 . 2009-01-16 22:13	--------	d-----w	c:\programme\Java
2009-04-20 14:25 . 2008-04-14 12:00	80306	----a-w	c:\windows\system32\perfc007.dat
2009-04-20 14:25 . 2008-04-14 12:00	449044	----a-w	c:\windows\system32\perfh007.dat
2009-04-20 14:18 . 2009-04-20 14:18	--------	d-----w	c:\programme\Secunia
2009-04-18 21:06 . 2009-04-18 21:06	--------	d-----w	c:\programme\Malwarebytes' Anti-Malware
2009-04-18 18:51 . 2009-04-17 23:02	--------	d-----w	c:\programme\SUPERAntiSpyware
2009-04-18 18:51 . 2009-04-18 18:51	--------	d-----w	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-04-17 22:59 . 2009-01-16 22:08	16504	----a-w	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-17 22:56 . 2009-01-24 22:26	--------	d-----w	c:\programme\spiele
2009-04-17 21:09 . 2009-04-17 21:09	--------	d-----w	c:\programme\MSBuild
2009-04-17 21:09 . 2009-04-17 21:09	--------	d-----w	c:\programme\Reference Assemblies
2009-04-15 21:41 . 2009-03-11 22:28	102858	----a-w	c:\windows\system32\nvModes.dat
2009-04-15 21:34 . 2009-01-16 21:05	--------	d--h--w	c:\programme\InstallShield Installation Information
2009-04-09 20:36 . 2009-01-20 21:50	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\dvdcss
2009-03-28 13:05 . 2009-03-28 13:05	--------	d-----w	c:\programme\ProtectDisc Driver Installer
2009-03-27 21:43 . 2009-03-16 16:04	--------	d-----w	c:\programme\IBModeler
2009-03-21 18:12 . 2009-03-21 17:22	--------	d-----w	c:\programme\Mozilla Thunderbird
2009-03-21 17:22 . 2009-03-21 17:22	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Talkback
2009-03-21 17:22 . 2009-03-21 17:22	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Thunderbird
2009-03-16 16:05 . 2009-03-16 16:05	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Protexis
2009-03-16 13:28 . 2009-01-17 10:57	--------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2009-03-15 22:05 . 2009-02-03 15:00	--------	d-----w	c:\programme\DataDesign
2009-03-13 14:26 . 2009-02-27 21:06	--------	d-----w	c:\programme\ArtOfIllusion
2009-03-11 22:32 . 2009-03-11 22:32	--------	d-----w	c:\programme\Dell Webcam
2009-03-11 22:32 . 2009-02-22 23:11	--------	d-----w	c:\programme\QuickTime
2009-03-11 22:32 . 2009-02-03 16:20	--------	d-----w	c:\programme\Google
2009-03-11 22:32 . 2009-01-16 21:04	--------	d-----w	c:\programme\Dell
2009-02-23 10:08 . 2009-01-16 21:05	3514368	----a-w	c:\windows\system32\stlang.dll
2009-02-23 10:08 . 2009-01-16 21:05	471138	----a-w	c:\windows\system32\stacapi.dll
2009-02-23 10:08 . 2009-01-16 21:05	1545795	----a-w	c:\windows\system32\drivers\sthda.sys
2009-02-22 23:11 . 2009-01-22 22:33	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-02-22 23:10 . 2009-02-22 23:10	--------	d-----w	c:\programme\Apple Software Update
2009-02-22 23:10 . 2009-02-22 23:10	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-02-22 01:39 . 2009-02-22 01:39	--------	d-----w	c:\programme\Braid Art Labs
2009-02-20 16:49 . 2008-04-14 12:00	78336	----a-w	c:\windows\system32\ieencode.dll
2009-02-17 13:33 . 2009-02-17 13:33	89256	----a-w	c:\windows\system32\ElbyCDIO.dll
2009-02-16 22:12 . 2009-02-16 22:12	151552	----a-w	c:\windows\system32\nvRegDev.dll
2009-02-09 14:04 . 2008-04-14 12:00	1846912	----a-w	c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2008-04-14 07:30	2026496	----a-w	c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2008-04-14 12:00	2147840	----a-w	c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2008-04-14 12:00	111104	----a-w	c:\windows\system32\services.exe
2009-02-09 10:51 . 2008-04-14 12:00	736768	----a-w	c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2008-04-14 12:00	401408	----a-w	c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2008-04-14 12:00	678400	----a-w	c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2008-04-14 12:00	740352	----a-w	c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2008-04-14 12:00	35328	----a-w	c:\windows\system32\sc.exe
2009-02-03 19:57 . 2008-04-14 12:00	56832	----a-w	c:\windows\system32\secur32.dll
2009-02-03 15:00 . 2009-02-03 14:19	658432	----a-w	c:\windows\fpuninst.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DellControlPoint"="c:\programme\Dell\Dell ControlPoint\Dell.ControlPoint.exe" [2008-05-30 593920]
"DellConnectionManager"="c:\programme\Dell\Dell ControlPoint\Connection Manager\Dell.UCM.exe" [2008-09-09 1486848]
"Apoint"="c:\programme\DellTPad\Apoint.exe" [2008-04-30 196608]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-10-25 652624]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-09-13 1603152]
"IJNetworkScanUtility"="c:\programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE" [2007-11-19 128352]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-16 13537280]
"SysTrayApp"="c:\programme\IDT\WDM\sttray.exe" [2009-02-23 483420]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2008-12-16 729088]
"Dell Webcam Central"="c:\programme\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-10-17 442536]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-20 148888]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-16 1630208]
"NVHotkey"="nvHotkey.dll" - c:\windows\system32\nvhotkey.dll [2008-09-16 90112]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2008-09-16 86016]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2009-3-24 748840]
Verknpfung mit Q-DIR_EXPLORER.lnk - c:\programme\AutoHotkey\Q-DIR_EXPLORER.exe [2009-2-26 206565]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"LogonType"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05	356352	----a-w	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"Broadcom Wireless Manager UI"=c:\windows\system32\WLTRAY.exe
"Apoint"=c:\programme\DellTPad\Apoint.exe
"AESTFltr"=%SystemRoot%\system32\AESTFltr.exe /NoDlg

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\MA Lighting Technologies\\grandMA 3D 6\\grandMA3D.exe"=
"c:\\Programme\\MA Lighting Technologies\\grandMA video\\grandMAVideo.exe"=
"c:\\vvvv_40beta20\\vvvv.exe"=

R0 cerc6;cerc6; [x]
R3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-12-01 33752]
R3 MaplomL;MaplomL; [x]
R3 OA001Afx;Provides a software interface to control audio effects of OA001 camera.;c:\windows\system32\Drivers\OA001Afx.sys [2007-06-08 148056]
R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2009-03-24 7808]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]
R4 gupdate1c9861bd65c290b;Google Update Service (gupdate1c9861bd65c290b);c:\programme\Google\Update\GoogleUpdate.exe [2009-02-03 133104]
R4 WeOnlyDo wodAppUpdate Service;WeOnlyDo wodAppUpdate Service;c:\programme\Braid Art Labs\GroBoto Demo\bin\wodUpdSv.exe [2008-05-13 28144]
S0 BootScreen;BootScreen; [x]
S1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2009-03-23 9968]
S1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2009-03-23 72944]
S2 acedrv10;acedrv10;c:\windows\system32\drivers\acedrv10.sys [2007-07-27 330144]
S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
S2 buttonsvc32;Dell ControlPoint Button Service;c:\programme\Dell\Dell ControlPoint\DCPButtonSvc.exe [2008-06-03 386328]
S2 dcpsysmgrsvc;Dell ControlPoint System Manager;c:\programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe [2008-08-18 455960]
S2 SMManager;Smith Micro Connection Manager Service;c:\programme\Dell\Dell ControlPoint\Connection Manager\SMManager.exe [2008-09-09 69632]
S3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [2008-12-16 112512]
S3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\DRIVERS\e1y5132.sys [2008-04-04 244368]
S3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\system32\DRIVERS\OA001Ufd.sys [2008-06-03 144672]
S3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\system32\DRIVERS\OA001Vid.sys [2008-05-13 277504]

.
Inhalt des "geplante Tasks" Ordners

2009-04-22 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-03 16:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
Trusted Zone: secunia.com\psi
Trusted Zone: slysoft.com\www
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y6hqfvf3.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/search?q=mouse+eingabe+multiscreen&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a|h**p://vvvv.org/tiki-index.php?page=How+To+Project+On+3D+Geometry&highlight=%22value%20input%22%20problem
FF - plugin: c:\programme\Google\Update\1.2.141.5\npGoogleOneClick7.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-04-22 18:12
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(892)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
.
Zeit der Fertigstellung: 2009-04-22 18:13
ComboFix-quarantined-files.txt  2009-04-22 16:13

Vor Suchlauf: 20 Verzeichnis(se), 224.297.721.856 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 224.286.822.400 Bytes frei

196	--- E O F ---	2009-04-19 01:00
Da bin ich ja mal auf die Auswertung gespannt.

Alt 22.04.2009, 18:11   #5
Sunny
Administrator
> Competence Manager
 
Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" - Standard

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"


Stand nicht in der Anleitung zu Combofix folgender Satz?!

Zitat:
Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
Bitte lade dir Combofix nochmal neu herunter und starte es!


Und bitte gib nochmal den genauen Pfad an wo der Trojaner gefunden wird!

Also z.B. c:\windows\trojaner.exe

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 22.04.2009, 19:14   #6
Heinz_Peter
 
Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" - Standard

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"


Ich habe ComboFix erneut heruntergeladen.
Genauso wie beim ersten Mal alle Programme und Browser geschlossen. TeaTimer.exe beendet.
Doch nachdem das Log-file angezeigt wird ist der TeaTimer wieder am Start und fragt nach Ablehnen oder Zulassen.
Soll ich Spybot komplett deinstallieren?

neues ComboFix-Log
Code:
ATTFilter
ComboFix 09-04-23.02 - *** 22.04.2009 19:19.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3572.3099 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((   Dateien erstellt von 2009-03-23 bis 2009-04-23  ))))))))))))))))))))))))))))))
.

2009-04-20 14:25 . 2009-04-20 14:25	73728	----a-w	c:\windows\system32\javacpl.cpl
2009-04-18 21:06 . 2009-04-18 21:06	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-04-18 21:06 . 2009-04-06 13:32	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-04-18 21:06 . 2009-04-06 13:32	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-18 21:06 . 2009-04-18 21:06	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-17 23:02 . 2009-04-17 23:02	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-17 23:02 . 2009-04-17 23:02	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-17 21:12 . 2006-06-29 11:07	14048	------w	c:\windows\system32\spmsg2.dll
2009-04-17 21:09 . 2009-04-18 18:37	--------	d-----w	c:\windows\system32\XPSViewer
2009-04-17 21:09 . 2009-04-17 21:09	--------	d-----w	C:\a043e8d0aff4795696
2009-04-17 21:09 . 2008-07-06 12:06	89088	-c----w	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-04-17 21:09 . 2008-07-06 12:06	575488	-c----w	c:\windows\system32\dllcache\xpsshhdr.dll
2009-04-17 21:09 . 2008-07-06 12:06	575488	------w	c:\windows\system32\xpsshhdr.dll
2009-04-17 21:09 . 2008-07-06 12:06	1676288	-c----w	c:\windows\system32\dllcache\xpssvcs.dll
2009-04-17 21:09 . 2008-07-06 12:06	1676288	------w	c:\windows\system32\xpssvcs.dll
2009-04-17 21:09 . 2008-07-06 12:06	117760	------w	c:\windows\system32\prntvpt.dll
2009-04-17 21:09 . 2008-07-06 10:50	597504	-c----w	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-04-17 21:09 . 2009-04-17 22:59	--------	d-----w	c:\windows\SxsCaPendDel
2009-04-17 00:25 . 2009-04-17 00:25	118	----a-w	c:\windows\system32\MRT.INI
2009-04-15 21:40 . 2009-04-15 21:40	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\My Games
2009-04-13 11:38 . 2009-04-14 10:27	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Braid
2009-04-10 00:40 . 2009-04-10 00:40	103744	----a-w	c:\windows\system32\drivers\AnyDVD.sys
2009-03-24 11:03 . 2009-03-24 11:03	7808	----a-w	c:\windows\system32\drivers\psi_mf.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-22 15:52 . 2009-01-24 21:45	--------	d-----w	c:\programme\CCleaner
2009-04-20 21:26 . 2009-01-19 21:55	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Q-Dir
2009-04-20 19:14 . 2009-02-20 19:39	--------	d-----w	c:\programme\Tools
2009-04-20 14:25 . 2009-03-16 20:00	410984	----a-w	c:\windows\system32\deploytk.dll
2009-04-20 14:25 . 2009-01-16 22:13	--------	d-----w	c:\programme\Java
2009-04-20 14:25 . 2008-04-14 12:00	80306	----a-w	c:\windows\system32\perfc007.dat
2009-04-20 14:25 . 2008-04-14 12:00	449044	----a-w	c:\windows\system32\perfh007.dat
2009-04-20 14:18 . 2009-04-20 14:18	--------	d-----w	c:\programme\Secunia
2009-04-18 21:06 . 2009-04-18 21:06	--------	d-----w	c:\programme\Malwarebytes' Anti-Malware
2009-04-18 18:51 . 2009-04-17 23:02	--------	d-----w	c:\programme\SUPERAntiSpyware
2009-04-18 18:51 . 2009-04-18 18:51	--------	d-----w	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-04-17 22:59 . 2009-01-16 22:08	16504	----a-w	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-17 22:56 . 2009-01-24 22:26	--------	d-----w	c:\programme\spiele
2009-04-17 21:09 . 2009-04-17 21:09	--------	d-----w	c:\programme\MSBuild
2009-04-17 21:09 . 2009-04-17 21:09	--------	d-----w	c:\programme\Reference Assemblies
2009-04-15 21:41 . 2009-03-11 22:28	102858	----a-w	c:\windows\system32\nvModes.dat
2009-04-15 21:34 . 2009-01-16 21:05	--------	d--h--w	c:\programme\InstallShield Installation Information
2009-04-09 20:36 . 2009-01-20 21:50	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\dvdcss
2009-03-28 13:05 . 2009-03-28 13:05	--------	d-----w	c:\programme\ProtectDisc Driver Installer
2009-03-27 21:43 . 2009-03-16 16:04	--------	d-----w	c:\programme\IBModeler
2009-03-21 18:12 . 2009-03-21 17:22	--------	d-----w	c:\programme\Mozilla Thunderbird
2009-03-21 17:22 . 2009-03-21 17:22	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Talkback
2009-03-21 17:22 . 2009-03-21 17:22	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Thunderbird
2009-03-16 16:05 . 2009-03-16 16:05	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Protexis
2009-03-16 13:28 . 2009-01-17 10:57	--------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2009-03-15 22:05 . 2009-02-03 15:00	--------	d-----w	c:\programme\DataDesign
2009-03-13 14:26 . 2009-02-27 21:06	--------	d-----w	c:\programme\ArtOfIllusion
2009-03-11 22:32 . 2009-03-11 22:32	--------	d-----w	c:\programme\Dell Webcam
2009-03-11 22:32 . 2009-02-22 23:11	--------	d-----w	c:\programme\QuickTime
2009-03-11 22:32 . 2009-02-03 16:20	--------	d-----w	c:\programme\Google
2009-03-11 22:32 . 2009-01-16 21:04	--------	d-----w	c:\programme\Dell
2009-02-23 10:08 . 2009-01-16 21:05	3514368	----a-w	c:\windows\system32\stlang.dll
2009-02-23 10:08 . 2009-01-16 21:05	471138	----a-w	c:\windows\system32\stacapi.dll
2009-02-23 10:08 . 2009-01-16 21:05	1545795	----a-w	c:\windows\system32\drivers\sthda.sys
2009-02-22 23:11 . 2009-01-22 22:33	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-02-22 23:10 . 2009-02-22 23:10	--------	d-----w	c:\programme\Apple Software Update
2009-02-22 23:10 . 2009-02-22 23:10	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-02-22 01:39 . 2009-02-22 01:39	--------	d-----w	c:\programme\Braid Art Labs
2009-02-20 16:49 . 2008-04-14 12:00	78336	----a-w	c:\windows\system32\ieencode.dll
2009-02-17 13:33 . 2009-02-17 13:33	89256	----a-w	c:\windows\system32\ElbyCDIO.dll
2009-02-16 22:12 . 2009-02-16 22:12	151552	----a-w	c:\windows\system32\nvRegDev.dll
2009-02-09 14:04 . 2008-04-14 12:00	1846912	----a-w	c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2008-04-14 07:30	2026496	----a-w	c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2008-04-14 12:00	2147840	----a-w	c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2008-04-14 12:00	111104	----a-w	c:\windows\system32\services.exe
2009-02-09 10:51 . 2008-04-14 12:00	736768	----a-w	c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2008-04-14 12:00	401408	----a-w	c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2008-04-14 12:00	678400	----a-w	c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2008-04-14 12:00	740352	----a-w	c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2008-04-14 12:00	35328	----a-w	c:\windows\system32\sc.exe
2009-02-03 19:57 . 2008-04-14 12:00	56832	----a-w	c:\windows\system32\secur32.dll
2009-02-03 15:00 . 2009-02-03 14:19	658432	----a-w	c:\windows\fpuninst.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DellControlPoint"="c:\programme\Dell\Dell ControlPoint\Dell.ControlPoint.exe" [2008-05-30 593920]
"DellConnectionManager"="c:\programme\Dell\Dell ControlPoint\Connection Manager\Dell.UCM.exe" [2008-09-09 1486848]
"Apoint"="c:\programme\DellTPad\Apoint.exe" [2008-04-30 196608]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-10-25 652624]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-09-13 1603152]
"IJNetworkScanUtility"="c:\programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE" [2007-11-19 128352]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-16 13537280]
"SysTrayApp"="c:\programme\IDT\WDM\sttray.exe" [2009-02-23 483420]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2008-12-16 729088]
"Dell Webcam Central"="c:\programme\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-10-17 442536]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-20 148888]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-16 1630208]
"NVHotkey"="nvHotkey.dll" - c:\windows\system32\nvhotkey.dll [2008-09-16 90112]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2008-09-16 86016]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2009-3-24 748840]
Verknpfung mit Q-DIR_EXPLORER.lnk - c:\programme\AutoHotkey\Q-DIR_EXPLORER.exe [2009-2-26 206565]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"LogonType"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05	356352	----a-w	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"Broadcom Wireless Manager UI"=c:\windows\system32\WLTRAY.exe
"Apoint"=c:\programme\DellTPad\Apoint.exe
"AESTFltr"=%SystemRoot%\system32\AESTFltr.exe /NoDlg

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\MA Lighting Technologies\\grandMA 3D 6\\grandMA3D.exe"=
"c:\\Programme\\MA Lighting Technologies\\grandMA video\\grandMAVideo.exe"=
"c:\\vvvv_40beta20\\vvvv.exe"=

R0 cerc6;cerc6; [x]
R3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-12-01 33752]
R3 MaplomL;MaplomL; [x]
R3 OA001Afx;Provides a software interface to control audio effects of OA001 camera.;c:\windows\system32\Drivers\OA001Afx.sys [2007-06-08 148056]
R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2009-03-24 7808]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]
R4 gupdate1c9861bd65c290b;Google Update Service (gupdate1c9861bd65c290b);c:\programme\Google\Update\GoogleUpdate.exe [2009-02-03 133104]
R4 WeOnlyDo wodAppUpdate Service;WeOnlyDo wodAppUpdate Service;c:\programme\Braid Art Labs\GroBoto Demo\bin\wodUpdSv.exe [2008-05-13 28144]
S0 BootScreen;BootScreen; [x]
S1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2009-03-23 9968]
S1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2009-03-23 72944]
S2 acedrv10;acedrv10;c:\windows\system32\drivers\acedrv10.sys [2007-07-27 330144]
S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
S2 buttonsvc32;Dell ControlPoint Button Service;c:\programme\Dell\Dell ControlPoint\DCPButtonSvc.exe [2008-06-03 386328]
S2 dcpsysmgrsvc;Dell ControlPoint System Manager;c:\programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe [2008-08-18 455960]
S2 SMManager;Smith Micro Connection Manager Service;c:\programme\Dell\Dell ControlPoint\Connection Manager\SMManager.exe [2008-09-09 69632]
S3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [2008-12-16 112512]
S3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\DRIVERS\e1y5132.sys [2008-04-04 244368]
S3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\system32\DRIVERS\OA001Ufd.sys [2008-06-03 144672]
S3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\system32\DRIVERS\OA001Vid.sys [2008-05-13 277504]

.
Inhalt des "geplante Tasks" Ordners

2009-04-22 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-03 16:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
Trusted Zone: secunia.com\psi
Trusted Zone: slysoft.com\www
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y6hqfvf3.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/search?q=mouse+eingabe+multiscreen&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a|h**p://vvvv.org/tiki-index.php?page=How+To+Project+On+3D+Geometry&highlight=%22value%20input%22%20problem
FF - plugin: c:\programme\Google\Update\1.2.141.5\npGoogleOneClick7.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-04-22 19:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(892)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL

- - - - - - - > 'explorer.exe'(2380)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-04-22 19:21
ComboFix-quarantined-files.txt  2009-04-22 17:21
ComboFix2.txt  2009-04-22 16:13

Vor Suchlauf: 20 Verzeichnis(se), 224.260.956.160 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 224.250.667.008 Bytes frei

195	--- E O F ---	2009-04-19 01:00

Alt 24.04.2009, 18:43   #7
Heinz_Peter
 
Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" - Standard

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"



Wie gehts denn nun weiter?

Ich möchte jetzt ungern in Eigenregie weitermachen und warte daher geduldig auf weitere Anweisungen.

Vielen Dank für Eure Mühe

Alt 24.04.2009, 19:25   #8
Sunny
Administrator
> Competence Manager
 
Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" - Standard

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"


Ich würde an deiner Stelle Spybot deinstallieren, es ist veraltet und macht meist mehr Ärger als alles andere.

Desweiteren schrieb ich:

Und bitte gib nochmal den genauen Pfad an wo der Trojaner gefunden wird!

Also z.B. c:\windows\trojaner.exe
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 24.04.2009, 19:33   #9
Heinz_Peter
 
Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" - Standard

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"


Zitat:
Zitat von [GC]Sunny Beitrag anzeigen
Und bitte gib nochmal den genauen Pfad an wo der Trojaner gefunden wird!

Also z.B. c:\windows\trojaner.exe
Von wem gefunden wird? Von ComboFix?

Alt 24.04.2009, 19:50   #10
Sunny
Administrator
> Competence Manager
 
Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" - Standard

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"


Zitat:
Zitat von Heinz_Peter Beitrag anzeigen
Von wem gefunden wird? Von ComboFix?
Ich meine wo hat das "MS Windows-Tool zum Entfernen bösartiger Software" den Trojaner denn gefunden?!

Kommen den überhaupt noch Meldungen?
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 24.04.2009, 20:30   #11
Heinz_Peter
 
Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" - Standard

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"


Bitte Entschuldigug für meine eventuelle Begriffstutzigkeit.

Spybot ist gelöscht.

Aktuelles ComboFix-Log:
Code:
ATTFilter
ComboFix 09-04-25.01 - *** 24.04.2009 20:57.4 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3572.3158 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\626F0B497C.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-05-24 bis 2009-4-24  ))))))))))))))))))))))))))))))
.

2009-04-20 14:25 . 2009-04-20 14:25	73728	----a-w	c:\windows\system32\javacpl.cpl
2009-04-18 21:06 . 2009-04-18 21:06	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-04-18 21:06 . 2009-04-06 13:32	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-04-18 21:06 . 2009-04-06 13:32	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-18 21:06 . 2009-04-18 21:06	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-17 23:02 . 2009-04-17 23:02	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-17 23:02 . 2009-04-17 23:02	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-17 21:12 . 2006-06-29 11:07	14048	------w	c:\windows\system32\spmsg2.dll
2009-04-17 21:09 . 2009-04-18 18:37	--------	d-----w	c:\windows\system32\XPSViewer
2009-04-17 21:09 . 2009-04-17 21:09	--------	d-----w	C:\a043e8d0aff4795696
2009-04-17 21:09 . 2008-07-06 12:06	89088	-c----w	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-04-17 21:09 . 2008-07-06 12:06	575488	-c----w	c:\windows\system32\dllcache\xpsshhdr.dll
2009-04-17 21:09 . 2008-07-06 12:06	575488	------w	c:\windows\system32\xpsshhdr.dll
2009-04-17 21:09 . 2008-07-06 12:06	1676288	-c----w	c:\windows\system32\dllcache\xpssvcs.dll
2009-04-17 21:09 . 2008-07-06 12:06	1676288	------w	c:\windows\system32\xpssvcs.dll
2009-04-17 21:09 . 2008-07-06 12:06	117760	------w	c:\windows\system32\prntvpt.dll
2009-04-17 21:09 . 2008-07-06 10:50	597504	-c----w	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-04-17 21:09 . 2009-04-17 22:59	--------	d-----w	c:\windows\SxsCaPendDel
2009-04-17 00:25 . 2009-04-17 00:25	118	----a-w	c:\windows\system32\MRT.INI
2009-04-15 21:40 . 2009-04-15 21:40	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\My Games
2009-04-13 11:38 . 2009-04-14 10:27	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Braid
2009-04-10 00:40 . 2009-04-10 00:40	103744	----a-w	c:\windows\system32\drivers\AnyDVD.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-24 18:55 . 2009-01-24 21:45	--------	d-----w	c:\programme\CCleaner
2009-04-24 18:53 . 2008-04-14 12:00	79910	----a-w	c:\windows\system32\perfc007.dat
2009-04-24 18:53 . 2008-04-14 12:00	448470	----a-w	c:\windows\system32\perfh007.dat
2009-04-24 18:53 . 2009-02-03 16:20	--------	d-----w	c:\programme\Google
2009-04-24 18:48 . 2009-01-19 21:55	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Q-Dir
2009-04-24 18:36 . 2009-01-19 21:05	--------	d-----w	c:\programme\Spybot - Search & Destroy
2009-04-24 18:34 . 2009-01-19 21:05	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-04-24 12:12 . 2009-03-21 17:22	--------	d-----w	c:\programme\Mozilla Thunderbird
2009-04-20 19:14 . 2009-02-20 19:39	--------	d-----w	c:\programme\Tools
2009-04-20 14:25 . 2009-03-16 20:00	410984	----a-w	c:\windows\system32\deploytk.dll
2009-04-20 14:25 . 2009-01-16 22:13	--------	d-----w	c:\programme\Java
2009-04-20 14:18 . 2009-04-20 14:18	--------	d-----w	c:\programme\Secunia
2009-04-18 21:06 . 2009-04-18 21:06	--------	d-----w	c:\programme\Malwarebytes' Anti-Malware
2009-04-18 18:51 . 2009-04-17 23:02	--------	d-----w	c:\programme\SUPERAntiSpyware
2009-04-18 18:51 . 2009-04-18 18:51	--------	d-----w	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-04-17 22:59 . 2009-01-16 22:08	16504	----a-w	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-17 22:56 . 2009-01-24 22:26	--------	d-----w	c:\programme\spiele
2009-04-17 21:09 . 2009-04-17 21:09	--------	d-----w	c:\programme\MSBuild
2009-04-17 21:09 . 2009-04-17 21:09	--------	d-----w	c:\programme\Reference Assemblies
2009-04-15 21:41 . 2009-03-11 22:28	102858	----a-w	c:\windows\system32\nvModes.dat
2009-04-15 21:34 . 2009-01-16 21:05	--------	d--h--w	c:\programme\InstallShield Installation Information
2009-04-09 20:36 . 2009-01-20 21:50	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\dvdcss
2009-03-28 13:05 . 2009-03-28 13:05	--------	d-----w	c:\programme\ProtectDisc Driver Installer
2009-03-27 21:43 . 2009-03-16 16:04	--------	d-----w	c:\programme\IBModeler
2009-03-24 11:03 . 2009-03-24 11:03	7808	----a-w	c:\windows\system32\drivers\psi_mf.sys
2009-03-21 17:22 . 2009-03-21 17:22	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Talkback
2009-03-21 17:22 . 2009-03-21 17:22	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Thunderbird
2009-03-16 16:05 . 2009-03-16 16:05	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Protexis
2009-03-16 13:28 . 2009-01-17 10:57	--------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2009-03-15 22:05 . 2009-02-03 15:00	--------	d-----w	c:\programme\DataDesign
2009-03-13 14:26 . 2009-02-27 21:06	--------	d-----w	c:\programme\ArtOfIllusion
2009-03-11 22:32 . 2009-03-11 22:32	--------	d-----w	c:\programme\Dell Webcam
2009-03-11 22:32 . 2009-02-22 23:11	--------	d-----w	c:\programme\QuickTime
2009-03-11 22:32 . 2009-01-16 21:04	--------	d-----w	c:\programme\Dell
2009-02-23 10:08 . 2009-01-16 21:05	3514368	----a-w	c:\windows\system32\stlang.dll
2009-02-23 10:08 . 2009-01-16 21:05	471138	----a-w	c:\windows\system32\stacapi.dll
2009-02-20 16:49 . 2008-04-14 12:00	78336	----a-w	c:\windows\system32\ieencode.dll
2009-02-17 13:33 . 2009-02-17 13:33	89256	----a-w	c:\windows\system32\ElbyCDIO.dll
2009-02-16 22:12 . 2009-02-16 22:12	151552	----a-w	c:\windows\system32\nvRegDev.dll
2009-02-09 14:04 . 2008-04-14 12:00	1846912	----a-w	c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2008-04-14 07:30	2026496	----a-w	c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2008-04-14 12:00	2147840	----a-w	c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2008-04-14 12:00	111104	----a-w	c:\windows\system32\services.exe
2009-02-09 10:51 . 2008-04-14 12:00	736768	----a-w	c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2008-04-14 12:00	401408	----a-w	c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2008-04-14 12:00	678400	----a-w	c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2008-04-14 12:00	740352	----a-w	c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2008-04-14 12:00	35328	----a-w	c:\windows\system32\sc.exe
2009-02-03 19:57 . 2008-04-14 12:00	56832	----a-w	c:\windows\system32\secur32.dll
2009-02-03 15:00 . 2009-02-03 14:19	658432	----a-w	c:\windows\fpuninst.exe
.

(((((((((((((((((((((((((((((   SnapShot@2009-04-22_16.12.51   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-24 18:54 . 2009-04-24 18:54	16384              c:\windows\Temp\Perflib_Perfdata_70c.dat
+ 2008-04-14 12:00 . 2009-04-24 18:53	67312              c:\windows\system32\perfc009.dat
+ 2009-01-16 17:24 . 2008-04-14 12:00	19429              c:\windows\system32\MsDtc\Trace\msdtcvtr.bat
+ 2008-04-14 12:00 . 2009-04-24 18:53	432356              c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-10-25 652624]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-09-13 1603152]
"IJNetworkScanUtility"="c:\programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE" [2007-11-19 128352]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-16 13537280]
"SysTrayApp"="c:\programme\IDT\WDM\sttray.exe" [2009-02-23 483420]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2008-12-16 729088]
"Dell Webcam Central"="c:\programme\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-10-17 442536]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-20 148888]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-16 1630208]
"NVHotkey"="nvHotkey.dll" - c:\windows\system32\nvhotkey.dll [2008-09-16 90112]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2008-09-16 86016]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2009-3-24 748840]
Verknpfung mit Q-DIR_EXPLORER.lnk - c:\programme\AutoHotkey\Q-DIR_EXPLORER.exe [2009-2-26 206565]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"LogonType"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05	356352	----a-w	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"Broadcom Wireless Manager UI"=c:\windows\system32\WLTRAY.exe
"Apoint"=c:\programme\DellTPad\Apoint.exe
"AESTFltr"=%SystemRoot%\system32\AESTFltr.exe /NoDlg

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\MA Lighting Technologies\\grandMA 3D 6\\grandMA3D.exe"=
"c:\\Programme\\MA Lighting Technologies\\grandMA video\\grandMAVideo.exe"=
"c:\\vvvv_40beta20\\vvvv.exe"=

R0 cerc6;cerc6; [x]
R3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-12-01 33752]
R3 MaplomL;MaplomL; [x]
R3 OA001Afx;Provides a software interface to control audio effects of OA001 camera.;c:\windows\system32\Drivers\OA001Afx.sys [2007-06-08 148056]
R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2009-03-24 7808]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]
R4 Butdapytw;Butdapytw;c:\windows\system32\drivers\usbd.sys [2008-04-14 4736]
R4 gupdate1c9861bd65c290b;Google Update Service (gupdate1c9861bd65c290b); [x]
R4 WeOnlyDo wodAppUpdate Service;WeOnlyDo wodAppUpdate Service;c:\programme\Braid Art Labs\GroBoto Demo\bin\wodUpdSv.exe [2008-05-13 28144]
S0 BootScreen;BootScreen; [x]
S1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2009-03-23 9968]
S1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2009-03-23 72944]
S2 acedrv10;acedrv10;c:\windows\system32\drivers\acedrv10.sys [2007-07-27 330144]
S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
S3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [2008-12-16 112512]
S3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\DRIVERS\e1y5132.sys [2008-04-04 244368]
S3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\system32\DRIVERS\OA001Ufd.sys [2008-06-03 144672]
S3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\system32\DRIVERS\OA001Vid.sys [2008-05-13 277504]

.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
Trusted Zone: secunia.com\psi
Trusted Zone: slysoft.com\www
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y6hqfvf3.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/search?q=mouse+eingabe+multiscreen&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a|h**p://vvvv.org/tiki-index.php?page=How+To+Project+On+3D+Geometry&highlight=%22value%20input%22%20problem
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-04-24 20:57
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(892)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
.
Zeit der Fertigstellung: 2009-04-24 20:58
ComboFix-quarantined-files.txt  2009-04-24 18:58
ComboFix2.txt  2009-04-22 17:58
ComboFix3.txt  2009-04-22 18:04
ComboFix4.txt  2009-04-22 16:13

Vor Suchlauf: 20 Verzeichnis(se), 224.145.915.904 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 224.132.800.512 Bytes frei

191	--- E O F ---	2009-04-19 01:00
Ich habe noch den Screenshot von dem MS-Tool. Welche Datei und wo der Trojaner entfernt wurde weiß ich nicht. Eine Log-datei wo das protokolliert sein könnte, habe ich bis jetzt nicht gefunden.

SaSw hatte wie bereits erwähnt auf einer Speicherkarte D: in D:\RESYCLED\BOOT.COM gefunden.

Ich würde nur gerne sicher gehen, dass da sich nicht noch irgendwo was versteckt.

Fehlersymptome stelle ich momentan keine fest
Miniaturansicht angehängter Grafiken
-ms-tool.jpg  

Alt 29.04.2009, 11:07   #12
Heinz_Peter
 
Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" - Standard

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"


Bin ich jetzt entlassen?
Sind / waren keine Viren auf meinem System?

Dann mal VIELEN herzlichen Dank für die geduldige Hilfe

Oder muß ich mir noch Sorgen machen oder sogar besser Neuinstallieren?

Alt 30.04.2009, 11:27   #13
Heinz_Peter
 
Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" - Standard

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"


*push*


Hallo?

Gebt mir bitte zu meinem ComboFix-Log noch einen Kommentar.

Alt 30.04.2009, 20:58   #14
Heinz_Peter
 
Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" - Standard

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"


Habe nun ComboFix wieder deinstalliert. -> Run -> combofix /u

Mit folgenden Programmen werden keine verdächtigen Dateien mehr gefunden:

Avira - aggressiv

MAM

SAS



Das Trojaner-Board ist eine fantastische Sache! Weiter so. Nur ab und zu etwas viel los hier.
Habe aber die Zeit beim Warten auf Antwort mit viel Quergelesen und Schmökern verbracht und konnte somit ziemlich viel dazulernen!
Fazit: Neuaufsetzten geht am schnellsten, ist aber am Unspannensten
LOL

Alt 04.05.2009, 17:08   #15
hubernst
 
Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" - Standard

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"


hallo zusammen!

bei mir zeigt ad-aware auch den win32trojanalureon an, ich habe schon die empfohlenen aktionen ausgeführt, aber das ändert nichts. avira hat letzte woche einiges gefunden und gelöscht, anscheinend mp3 dateien.
nach jedem neustart kommt die trojaner- warnung, was nervtötend wird. im abgesicherten modus scannen und entfernen hat auch nichts geändert...
bitte um hilfe!

herzlichen dank!

hubernst

Antwort
Seite 1 von 2 1 2

Themen zu Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"
.com, adobe, bho, canon, cdburnerxp, central, entfernen, explorer, firefox, flash player, format, google, hijack.startmenu, hijackthis, internet, internet explorer, jusched.exe, log-file, mozilla, object, photoshop, plug-in, registrierungsschlüssel, rundll, scan, secunia, sketchup, software, superantispyware, system, trojan, trojan:win32/alureon, windows xp, windows-tool, wlan


« WINXP mit mehreren Trojanern verseucht!? | Desktophintergund verschwindet immer wieder!! Windows Vista »


Ähnliche Themen: Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"


  1. Windows-Tool zum Entfernen bösartiger Software installieren ?
    Alles rund um Windows - 15.05.2015 (1)
  2. Windows-Tool zum Entfernen bösartiger Software x64 - März 2015 (KB890830)
    Alles rund um Windows - 08.03.2015 (4)
  3. Microsoft Windows-Tool zum entfernen bösartiger Software findet Win32/Rotbrow
    Log-Analyse und Auswertung - 19.01.2014 (14)
  4. Windows Tool zum entfernen bösartiger Software - Wo sind die Logs?
    Antiviren-, Firewall- und andere Schutzprogramme - 16.01.2014 (7)
  5. Windows 7 "PUP Babylon Toolbar" und "a variant of Win32/Bundled.Toolbar.Ask.D" gefunden
    Log-Analyse und Auswertung - 26.09.2013 (9)
  6. PWS:Win32/Zbot.gen!Y wird gemeldet von Windows Tool zum Entfernen von bösartiger Software
    Plagegeister aller Art und deren Bekämpfung - 23.06.2013 (13)
  7. "Licensevalidator.exe" u.A.: ESET meldet "Win32/Kryptik.ADPW trojan" sowie "Win32/Gataka.A trojan"
    Log-Analyse und Auswertung - 12.04.2012 (21)
  8. "Windows Tool Patch" entfernen
    Plagegeister aller Art und deren Bekämpfung - 11.03.2012 (1)
  9. "Trojan:Win32/EyeStye.D!cfg" gefunden
    Plagegeister aller Art und deren Bekämpfung - 18.10.2011 (7)
  10. [doppelt] "Trojan:Win32/EyeStye.D!cfg" gefunden
    Mülltonne - 16.10.2011 (1)
  11. "trojan-dropper.win32.Agent.dglg" und "trojan.Win32.Autohit.wh"
    Log-Analyse und Auswertung - 03.02.2011 (10)
  12. Unerwünschtes Programm 'BDS/TDSS.6246458.1' [backdoor] gefunden! + Trojaner "TR/Alureon.EC.63"
    Plagegeister aller Art und deren Bekämpfung - 30.01.2011 (1)
  13. "0.05870814618642739.exe" ("Win32:Trojan-gen") in "C:\Users\***\AppData\Local\Temp\"
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (25)
  14. Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen"....
    Plagegeister aller Art und deren Bekämpfung - 13.10.2008 (38)
  15. Mehrer Trojaner gefunden "Trojan-Spy.Win32.GreenScreen" ...
    Plagegeister aller Art und deren Bekämpfung - 14.09.2008 (3)
  16. Malware "DyFuCA" ;Win32.Trojan.Downloader mit Ad-Aware SE Personal gefunden
    Log-Analyse und Auswertung - 11.08.2006 (13)
  17. Habe auf meinem System "Trojan.Win32.Dialer.fr" (?) gefunden. Schlimm?
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" - Hallo, vor 2 Monaten hatte ich mir einen Trojan.DNSChanger eingefangen. Nachdem der Befund klar war, hatte ich nicht lange gefackelt und Neuaufgesetzt. Jetzt findet jedoch das "MS Windows-Tool zum Entfernen - Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"...
Archiv
Du betrachtest: Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131