| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojanerfund tr/dropper.genWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
02.07.2009, 15:16
| #1 |
 |  Trojanerfund tr/dropper.gen Hilfe, ich habe mir einen Trojaner eingefangen. Betriebssystemname Microsoft Windows XP Home Edition Version 5.1.2600 Service Pack 3 Build 2600 Betriebssystemhersteller Microsoft Corporation Systemname SERVICETERMINAL Systemhersteller VIAP4M Systemmodell P4M266A-8235 Systemtyp X86-basierter PC Prozessor x86 Family 15 Model 2 Stepping 9 GenuineIntel ~2203 Mhz BIOS-Version/-Datum Award Software International, Inc. 6.00 PG, 20.03.2003 SMBIOS-Version 2.2 Windows-Verzeichnis C:\WINDOWS Systemverzeichnis C:\WINDOWS\system32 Startgerät \Device\HarddiskVolume1 Gebietsschema Deutschland Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)" Benutzername ***\*** Zeitzone Westeuropäische Sommerzeit Gesamter realer Speicher 256,00 MB Verfügbarer realer Speicher 11,40 MB Gesamter virtueller Speicher 2,00 GB Verfügbarer virtueller Speicher 1,96 GB Größe der Auslagerungsdatei 617,54 MB Auslagerungsdatei C:\pagefile.sys Antivir antivir meldet: TR/Dropper.Gen Entdeckt am: 19/06/2007 Art: Trojan Nebenart: Dropper In freier Wildbahn: Ja Gemeldete Infektionen: Niedrig Verbreitungspotenzial: Niedrig Schadenspotenzial: Niedrig Statische Datei: Nein Engine Version: 7.04.00.34 Beim ersten Versuch bleibt der Scanner (Filewalker) bei 62,4% hängen, kann aber gestoppt werden und ein Reparaturversuch gestartet werden. Beim Versuch, die beschädigte Datei zu reparieren, kommt die Meldung, sie sei in die Quarantäne verschoben worden. Anschliesend läuft der Filewalker zwar über den Punkt der Fundmeldung weg weiter, bleibt dann aber wieder bei 62,4 % einfach stehen dazu die reportdatei: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 1. Juli 2009 23:57 Es wird nach 1442962 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : SPRECHZIMMER Versionsinformationen: BUILD.DAT : 9.0.0.403 17961 Bytes 03.06.2009 17:00:00 AVSCAN.EXE : 9.0.3.6 466689 Bytes 20.06.2009 15:41:49 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 11:43:56 ANTIVIR2.VDF : 7.1.4.133 2048 Bytes 24.06.2009 11:43:56 ANTIVIR3.VDF : 7.1.4.165 278528 Bytes 01.07.2009 21:29:17 Engineversion : 8.2.0.199 AEVDF.DLL : 8.1.1.1 106868 Bytes 26.05.2009 21:13:50 AESCRIPT.DLL : 8.1.2.10 418171 Bytes 26.06.2009 11:44:03 AESCN.DLL : 8.1.2.3 127347 Bytes 26.05.2009 21:13:49 AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41 AEPACK.DLL : 8.1.3.18 401783 Bytes 03.06.2009 13:05:29 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 20.06.2009 15:41:48 AEHEUR.DLL : 8.1.0.137 1823095 Bytes 28.06.2009 15:54:33 AEHELP.DLL : 8.1.3.6 205174 Bytes 20.06.2009 15:41:48 AEGEN.DLL : 8.1.1.46 348533 Bytes 20.06.2009 15:41:48 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40 AECORE.DLL : 8.1.6.12 180599 Bytes 03.06.2009 13:05:29 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 20.06.2009 15:41:48 RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, E:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Mittwoch, 1. Juli 2009 23:57 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '32764' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WkDStore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'fbserver.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'FjtwSetup.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FtLnSOP.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'opware32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'fbguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'adminsvcff.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '34' Prozesse mit '34' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '58' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. Ende des Suchlaufs: Donnerstag, 2. Juli 2009 00:21 Benötigte Zeit: 23:28 Minute(n) Der Suchlauf wurde abgebrochen! 3103 Verzeichnisse wurden überprüft 198189 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 198188 Dateien ohne Befall 3972 Archive wurden durchsucht 1 Warnungen 1 Hinweise 32764 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Danach lässt der Filewalker sich gar nicht mehr beenden, auch auf Beendigungsversuch über den Taskmanager erscheint nur die (windows-)Meldung: "Das Programm kann nicht beendet werden,, weil es durch das System gesperrt ist" (Weiteres Herumsuchen meinerseits in den Antivirprotokollen bring die Meldung, dass schon vor einiger zeit ein Virusfund germacht wurde, der hat aber doch wahrscheinlich nichts mit dem jetzigen Problem zu tun? Im „Guard“: In der Datei 'C:\System Volume Information\_restore{9F816BC2-1D94-40AE-B04D-78095F3B9D2A}\RP145\A0024761.exe' wurde ein Virus oder unerwünschtes Programm 'SPR/Tool.Reboot.J' [riskware] gefunden. Ausgeführte Aktion: Zugriff verweigern) Nach dem gescheiterten Versuch, das Problem mit dem Antivir-Programm zu lösen, habe ich herumgegoogelt, Eure Seite gefunden, mich registriert und versucht , den Anleitungen zu folgen. Leider ging das nicht so, wie geplant a.) Reinigung mit Cclean: Sieht erstmal ganz gut aus, cclean kann nur zwei Fehler nicht beheben: Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} Ungültiges Standardsymbol C:\Programme\Zone Labs\ZoneAlarm\UpdClient.exe,-279 HKCR\ZAMailSafe\DefaultIcon b.) Scan mit Mawarbytes Anti Malware MAM läuft ca 14 min u. bleibt dann einfach stehen. Das Programm lässt sich auf keine Weise (außer herunterfahren des Rechners) stoppen, eine Reportdatei kann somit nicht erstellt werden. c.) Hijackthis bringt folgendes logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:12:15, on 01.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\Twain_32\Fjscan32\SOP\FtLnSOP.exe C:\WINDOWS\Twain_32\fjscan32\FjtwSetup.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Avira\AntiVir Desktop\avscan.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [FtLnSOP_setup] C:\WINDOWS\Twain_32\Fjscan32\SOP\FtLnSOP.exe O4 - HKLM\..\Run: [FJTWAIN Setup] C:\WINDOWS\Twain_32\fjscan32\FjtwSetup.exe /Station O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{C6DD2D02-2D08-4EB1-BFF4-B760F1ADAE3C}: NameServer = 213.191.92.86 62.109.123.7 O17 - HKLM\System\CCS\Services\Tcpip\..\{D48B98ED-7983-4614-A892-F3A166035109}: NameServer = 0.0.0.0 O23 - Service: GMX Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 6716 bytes d.) Das ist die UnInstall list: Adobe Acrobat 5.0 Adobe Acrobat 7.1.0 Standard - English, Français, Deutsch Adobe Flash Player Plugin Avira AntiVir Personal - Free Antivirus AVM FRITZ! AVM FRITZ! LAN Assistent boso USB Serial Converter Drivers Bullzip PDF Printer 6.0.0.702 Canon CanoScan Toolbox 4.1 Canon iP4200 Canon iP4300 Canon Setup Utility 2.0 Canon Utilities Easy-PhotoPrint Canon Utilities Easy-PrintToolBox CanoScan LiDE20,30 Manual CCleaner (remove only) CD-LabelPrint CompuGROUP Java 1.6.0.11.1 Copy File Name 2.0.0.7 EasyWare USB Drivers EasyWare V2.9.2.0 Rev B Easy-WebPrint Error Recovery Guide Firebird 1.5.4 GMX Firefox Browser Update GMX Firefox Paket GPL Ghostscript Lite 8.63 High Definition Audio Driver Package - KB888111 HijackThis 2.0.2 ifap index® PRAXIS Java(TM) SE Runtime Environment 6 Update 1 Malwarebytes' Anti-Malware Microsoft Encarta Enzyklopädie 2004 Microsoft Picture It! Foto Premium 9 Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Word 2002 Microsoft Works Microsoft Works Suite-Add-Ins für Microsoft Word Mozilla Firefox (3.0.11) Mozilla Thunderbird (2.0.0.22) Nero - Burning Rom NVIDIA Drivers OmniPage SE phase5 praxisCENTER Realtek High Definition Audio Driver ScandAll 21 Scanner Utility for Microsoft Windows Setup-Start von Microsoft Works 2004 Shockwave Software Operation Panel StarMoney 6.0 apoEdition telemed.net TurboMed Ulead Photo Explorer 8.0 SE Basic Windows Driver Package - boso CDM Driver Package (05/19/2006 2.00.00) Windows Driver Package - boso CDM Driver Package (05/19/2006 2.00.00) Windows XP Service Pack 3 ZoneAlarm Ich hoffe, meine Angaben sind verständlich und können jemanden helfen, mir selbst zu helfen. Im Vorraus meinen riesengroßen Dank http://www.trojaner-board.de/images/smilies/taenzer.gif! Bitte teilt mir auch mit, ob ich momentan mit dem Rechner überhaupt noch arbeiten soll, ins Netz gehen kann usw. (meine Frau nervt, weil sich die Buchhaltung (!) und Überweisungen (!) machen will… Bin wahnsinnig gespannt auf Antworten! Grüße Makagucaflo Geändert von makagucaflo (02.07.2009 um 15:23 Uhr) |
|
02.07.2009, 18:26
| #2 |
| | Trojanerfund tr/dropper.gen Muss mich nochmal melden: habe nun festgestellt, das Malwarebyte doch einige Protokolle erstellt hat, wobei wie gesagt, das Programm immer irgendwann hängenblieb und nur noch durch langes Drücken auf den netzschalter auszuschalten war. Hier die files:
__________________Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2353 Windows 5.1.2600 Service Pack 3 29.06.2009 23:05:16 mbam-log-2009-06-29 (23-05-16).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 93970 Laufzeit: 3 minute(s), 25 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) und ein späteres File: Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2353 Windows 5.1.2600 Service Pack 3 30.06.2009 07:17:18 mbam-log-2009-06-30 (07-17-18).txt Scan-Methode: Vollständiger Scan (C:\|E:\|) Durchsuchte Objekte: 13064 Laufzeit: 20 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Please help! Makagucaflo |
|
02.07.2009, 19:23
| #3 |
  | Trojanerfund tr/dropper.gen Hallo, Gruß nach Hamburg und
__________________ 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. 2.) Deinstalliere:
Code:
ATTFilter Alle O2, O3, O8 und O9-Einträge
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{D48B98ED-7983-4614-A892-F3A166035109}: NameServer = 0.0.0.0
5.) Versuche es noch einmal mit Malwarebytes. 6.) Poste ein neues HJT-Log. ciao, andreas
__________________ |
|
13.07.2009, 23:05
| #4 |
| | Trojanerfund tr/dropper.gen Hallo john.doe (oder Andreas? - und wieso eigentlich Grüße nach Hamburg??), vielen vielen Dank für deine Hilfe und sorry, dass ich mich so lange nicht gemeldet habe, hatte viel Stress auf Arbeit und traute mich bis heute nicht an die Kiste. Immerhin hab´ich´s heute wider Erwarten geschafft, die Anleitung abzuarbeiten, und wie ich hoffe, vielleicht sogar erfolgreich. hier sind meine files: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:56:57, on 13.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: -- End of file - 4963 bytes dazu noch den Report vom mwb: Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2297 Windows 5.1.2600 Service Pack 3 13.07.2009 16:30:22 mbam-log-2009-07-13 (16-30-22).txt Scan-Methode: Vollständiger Scan (C:\|E:\|) Durchsuchte Objekte: 242861 Laufzeit: 1 hour(s), 51 minute(s), 50 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: e:\WINDOWS\jestertb.dll (Trojan.Agent) -> Quarantined and deleted successfully. Ich warte jetzt noch sehnsuchtsvoll auf die Nachricht, dass alles wieder Gut ist.... BTW, was ist nun mit meiner Firewall? soll ich die Windows-FW nutzen oder gibt´s da was bessres? Und was mach ich mit meinem adobeacrobat? ein einfacher reader reicht mir nicht, kann ich den Acrobat jetzt einfach wieder installieren? Bitte noch einmal um Antwort und nochmal vielen, vielen Dank für die Hilfe!!!! PS: bin immer noch zu blöd, im forum die Antworten (angeblich 4) auf meine beiträge zu finden... Geändert von makagucaflo (13.07.2009 um 23:51 Uhr) |
|
13.07.2009, 23:15
| #5 | |||
| | Trojanerfund tr/dropper.gen Moin, klicke auf Editieren und entferne die Links aus deinem Log. Zitat:
Zitat:
Zitat:
Läuft Avira denn mittlerweile wieder komplett durch? ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer.  Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
14.07.2009, 00:00
| #6 |
| | Trojanerfund tr/dropper.gen nochmals danke für die schnelle Antwort, habe aber wieder mal gemerkt, dass ich zu unwissend für die ganze Kompjuterei bin; dachte ja eigentlich es geht nur um die Hyperlinks - also was, was nach meinem Verständnis mit http:www... anfange müsste, was ich aber in meinen logs nicht gefunden habe. Wenn aber mit link jedweder datenpfad gemeint ist, dann betrifft das doch fast alles, was im log steht, oder? Habe jetzt jedenfalls vorsichtshalber das alles rausgelöscht, was sicher falsch ist, aber ich kapier´s halt nicht... Übrigens, der Avira ist glatt durchgelaufen, hat aber einen neuen Trojaner gefunden (TR/trasch.gen), avira und mwb-report sowie hjt-logfile bring ich morgen in einem neuen Beitrag, muss jetzt einfach mal ins Bett... Viele Grüße! Makagucaflo |
|
14.07.2009, 15:33
| #7 | ||
| | Trojanerfund tr/dropper.gen Es geht um aktive Links, also alles, was blau ist und sich anklicken lässt. Zitat:
 Zitat:
 ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
14.07.2009, 23:39
| #8 |
| | Trojanerfund tr/dropper.gen ´Sags ja, ich bin eben doch zu dumm für dat janze - ich dachte Thema wäre das, was in der überschrift steht (also trojanerfund tr/dropper.gen vs trojanerfund/trash.gen) und wollte die beiden Sachen voneinander getrennt halten - wieso sind das zwei beiträge zum gleichen Thema? Hat´s Sinn, die files trotzdem noch zu posten? Gruß Makagucaflo |
|
16.07.2009, 23:29
| #9 |
| | Trojanerfund tr/dropper.gen Ja. Ein User, ein Thema und du darfst erst dann gehen, wenn da steht: Du bist entlassen. Für eine Falschmeldung ein neues Thema aufzumachen ist nicht sinnvoll. Wir ziehen die Sache jetzt bis zum Ende durch. Also poste alle Logs, damit ich sehen kann, ob wieder alles in Ordnung ist. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
24.07.2009, 07:08
| #10 |
| | Trojanerfund tr/dropper.gen war ´ne Woche weg und hatte jetzt schon wieder am Rechner gearbeitet, deshalb wieder ne Verzögerung; hier meine Files; hjt gibt eine mir unverständliche Warnmeldung, gemäß der ich einige Zeilen (welche?) löschen soll und irgendwelche hosts files umbenennen soll (die ich anscheinend suchen soll mit dem Befehl "notepad C:\w***ws\sys***32\drivers\etc\hosts" -ist das überhaupt ein ausführbarer Befehl? - ich hab mal lieber die Finger von allem gelassen und poste meine files! Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2297 Windows 5.1.2600 Service Pack 3 24.07.2009 08:04:39 mbam-log-2009-07-24 (08-04-39).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 1 Laufzeit: 1 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Logfile of Trend Micro Hij***ackThis v2.0.2 Scan saved at 08:24:26, on 24.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\W***INDOWS\Explorer.EXE C:\W***INDOWS\RTHDCPL.EXE C:\Pr***ogramme\ScanSoft\OmniPageSE\opware32.exe C:\W***INDOWS\Twain_32\Fjscan32\SOP\FtLnSOP.exe C:\W***INDOWS\Twain_32\fjscan32\FjtwSetup.exe C:\Pr***ogramme\Avira\AntiVir Desktop\avgnt.exe C:\W***INDOWS\system32\ctfmon.exe c:\p***rogramme\avira\antivir desktop\avcenter.exe C:\Pr***ogramme\Mozilla Firefox\firefox.exe C:\Pr***ogramme\Malwarebytes' Anti-Malware\mbam.exe C:\Pr***ogramme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**ttp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [FtLnSOP_setup] C:\WINDOWS\Twain_32\Fjscan32\SOP\FtLnSOP.exe O4 - HKLM\..\Run: [FJTWAIN Setup] C:\WINDOWS\Twain_32\fjscan32\FjtwSetup.exe /Station O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{C6DD2D02-2D08-4EB1-BFF4-B760F1ADAE3C}: NameServer = 213.191.92.86 62.109.123.7 O23 - Service: GMX Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 4053 bytes Geändert von makagucaflo (24.07.2009 um 07:37 Uhr) |
|
24.07.2009, 17:10
| #11 |
| | Trojanerfund tr/dropper.gen Gibt des denn noch Probleme oder Meldungen? Starte HJT => Do a system scan only => Markiere: Code:
ATTFilter Alle R0, R1, O2, O8 und O9-Einträge
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
Poste die beiden Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
24.07.2009, 23:04
| #12 |
| | Trojanerfund tr/dropper.gen hier das logfile von RSIT Logfile of random's system information tool 1.06 (written by random/random) Run by A**t at 2009-07-24 23:48:38 Microsoft Windows XP Professional Service Pack 3 System drive C: has 219 GB (92%) free of 238 GB Total RAM: 895 MB (60% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:48:47, on 24.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\E***rn\Desktop\RSIT.exe C:\Programme\Trend Micro\HijackThis\A***.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://169.254.103.99/ O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [FtLnSOP_setup] C:\WINDOWS\Twain_32\Fjscan32\SOP\FtLnSOP.exe O4 - HKLM\..\Run: [FJTWAIN Setup] C:\WINDOWS\Twain_32\fjscan32\FjtwSetup.exe /Station O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-436374069-1801674531-725345543-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Eltern') O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{C6DD2D02-2D08-4EB1-BFF4-B760F1ADAE3C}: NameServer = 213.191.92.86 62.109.123.7 O23 - Service: GMX Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 6699 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\WGASetup.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-07-13 41368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-07-13 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"=C:\WINDOWS\System32\NvCpl.dll [2007-04-20 8429568] "nwiz"=nwiz.exe /install [] "NvMediaCenter"=C:\WINDOWS\System32\NvMcTray.dll [2007-04-20 81920] "RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-07-05 16380416] "SkyTel"=C:\WINDOWS\SkyTel.EXE [2007-06-15 1826816] "Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632] "Easy-PrintToolBox"=C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2004-01-14 409600] "Omnipage"=C:\Programme\ScanSoft\OmniPageSE\opware32.exe [2002-06-03 49152] "FtLnSOP_setup"=C:\WINDOWS\Twain_32\Fjscan32\SOP\FtLnSOP.exe [2005-01-06 212992] "FJTWAIN Setup"=C:\WINDOWS\Twain_32\fjscan32\FjtwSetup.exe [2004-09-01 126976] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "NeroCheck"=C:\WINDOWS\system32\\NeroCheck.exe [2001-07-09 155648] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-07-13 148888] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2009-07-13 414992] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2008-04-14 239616] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "notification packages"= scecli scecli scecli [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\TurboMed\Programm\FastObjectsServer.exe"="C:\TurboMed\Programm\FastObjectsServer.exe:*:Enabled:FastObjects Server 10" "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\gmx_Update.exe"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\gmx_Update.exe:*:Enabled:GMX Update" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" ======List of files/folders created in the last 1 months====== 2009-07-24 08:41:06 ----D---- C:\Dokumente und Einstellungen\Arzt\Anwendungsdaten\Malwarebytes 2009-07-15 11:33:24 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$ 2009-07-15 11:33:20 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$ 2009-07-15 11:32:15 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$ 2009-07-14 11:47:29 ----D---- C:\rsit 2009-07-14 03:00:17 ----D---- C:\WINDOWS\ie8updates 2009-07-13 14:04:13 ----A---- C:\WINDOWS\system32\javaws.exe 2009-07-13 14:04:13 ----A---- C:\WINDOWS\system32\javaw.exe 2009-07-13 14:04:13 ----A---- C:\WINDOWS\system32\java.exe 2009-07-13 14:04:13 ----A---- C:\WINDOWS\system32\deploytk.dll 2009-07-13 14:04:03 ----D---- C:\Programme\Java 2009-07-13 13:51:50 ----D---- C:\Programme\Foxit Software 2009-07-13 13:43:00 ----D---- C:\WINDOWS\WBEM 2009-07-13 13:42:01 ----HDC---- C:\WINDOWS\ie8 2009-07-13 13:03:27 ----A---- C:\WINDOWS\system32\MRT.exe 2009-07-08 17:27:17 ----D---- C:\WINDOWS\system32\KB905474 2009-07-03 14:28:00 ----A---- C:\WINDOWS\DEINSTAL.INI 2009-07-03 14:27:51 ----D---- C:\DATEV 2009-07-03 14:19:44 ----A---- C:\WINDOWS\DvInit.exe 2009-07-03 14:19:41 ----A---- C:\WINDOWS\unin0407.exe 2009-07-03 12:35:56 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$ 2009-07-03 12:35:51 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$ 2009-07-03 12:35:46 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$ 2009-07-03 12:35:42 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$ 2009-07-03 12:35:37 ----HDC---- C:\WINDOWS\$NtUninstallKB961373$ 2009-07-03 12:35:33 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$ 2009-07-03 12:35:28 ----HDC---- C:\WINDOWS\$NtUninstallKB955839$ 2009-07-03 12:35:19 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$ 2009-07-03 12:35:13 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$ 2009-07-03 12:35:09 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$ 2009-07-03 12:34:58 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$ 2009-07-03 12:34:51 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$ 2009-07-03 12:34:42 ----HDC---- C:\WINDOWS\$NtUninstallKB969897$ 2009-07-03 12:34:37 ----HDC---- C:\WINDOWS\$NtUninstallKB938464-v2$ 2009-07-03 12:34:31 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$ 2009-07-03 12:34:26 ----HDC---- C:\WINDOWS\$NtUninstallKB969898$ 2009-07-03 12:34:22 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$ 2009-07-03 12:34:18 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$ 2009-07-03 12:34:13 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$ 2009-07-03 12:34:09 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$ 2009-07-03 12:34:03 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$ 2009-07-03 12:33:58 ----HDC---- C:\WINDOWS\$NtUninstallKB950760$ 2009-07-03 12:33:53 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$ 2009-07-03 12:33:49 ----HDC---- C:\WINDOWS\$NtUninstallKB954459$ 2009-07-03 12:33:43 ----HDC---- C:\WINDOWS\$NtUninstallKB952069_WM9$ 2009-07-03 12:33:38 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$ 2009-07-03 12:33:32 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$ 2009-07-03 12:33:28 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$ 2009-07-03 12:33:23 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$ 2009-07-03 12:33:18 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$ 2009-07-03 12:33:14 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$ 2009-07-03 12:33:09 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$ 2009-07-03 12:33:04 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$ 2009-07-03 12:33:01 ----D---- C:\Programme\MSXML 4.0 2009-07-03 12:32:49 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$ 2009-07-03 10:59:13 ----A---- C:\WINDOWS\imsins.BAK 2009-07-03 10:59:10 ----D---- C:\WINDOWS\system32\PreInstall 2009-07-03 10:59:08 ----HDC---- C:\WINDOWS\$NtUninstallKB898461$ 2009-07-02 07:06:12 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-07-02 03:31:36 ----D---- C:\WINDOWS\system32\SoftwareDistribution 2009-07-01 23:11:57 ----D---- C:\Programme\Trend Micro 2009-07-01 22:35:45 ----D---- C:\Programme\CCleaner 2009-06-29 22:50:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes ======List of files/folders modified in the last 1 months====== 2009-07-24 23:47:59 ----D---- C:\WINDOWS\system32 2009-07-24 23:47:59 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-07-24 23:44:32 ----D---- C:\WINDOWS\Temp 2009-07-24 23:44:09 ----D---- C:\WINDOWS\system32\CatRoot2 2009-07-24 23:43:03 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-07-24 23:41:24 ----D---- C:\WINDOWS\Prefetch 2009-07-24 08:41:33 ----D---- C:\WINDOWS\system32\drivers 2009-07-18 10:38:47 ----D---- C:\Programme\StarMoney 6.0 apoEdition 2009-07-15 11:52:20 ----HD---- C:\WINDOWS\inf 2009-07-15 11:43:04 ----SD---- C:\Dokumente und Einstellungen\Arzt\Anwendungsdaten\Microsoft 2009-07-15 11:42:26 ----D---- C:\WINDOWS 2009-07-15 11:33:24 ----HD---- C:\WINDOWS\$hf_mig$ 2009-07-15 11:33:21 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-07-15 11:31:02 ----SHD---- C:\WINDOWS\Installer 2009-07-15 09:37:12 ----D---- C:\Programme\Mozilla Thunderbird 2009-07-15 09:16:06 ----D---- C:\Programme\Mozilla Firefox 2009-07-14 12:31:33 ----SHD---- C:\System Volume Information 2009-07-14 12:31:33 ----D---- C:\WINDOWS\system32\Restore 2009-07-14 03:00:26 ----D---- C:\Programme\Internet Explorer 2009-07-13 22:52:09 ----D---- C:\WINDOWS\system32\de-de 2009-07-13 22:52:08 ----D---- C:\WINDOWS\Help 2009-07-13 14:04:03 ----RD---- C:\Programme 2009-07-13 13:43:03 ----D---- C:\WINDOWS\system32\config 2009-07-13 13:42:54 ----D---- C:\WINDOWS\Media 2009-07-13 13:38:46 ----D---- C:\Programme\Gemeinsame Dateien\Adobe 2009-07-13 13:38:46 ----D---- C:\Programme\Adobe 2009-07-13 13:37:53 ----D---- C:\WINDOWS\Internet Logs 2009-07-13 13:35:05 ----D---- C:\Programme\Gemeinsame Dateien 2009-07-13 13:31:44 ----D---- C:\WINDOWS\WinSxS 2009-07-13 13:30:41 ----RSD---- C:\WINDOWS\Fonts 2009-07-13 13:03:29 ----D---- C:\WINDOWS\Debug 2009-07-08 17:27:17 ----SD---- C:\WINDOWS\Tasks 2009-07-03 14:25:03 ----A---- C:\WINDOWS\ODBC.INI 2009-07-03 14:24:30 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared 2009-07-03 14:24:27 ----D---- C:\WINDOWS\ShellNew 2009-07-03 14:22:06 ----D---- C:\WINDOWS\system 2009-07-03 12:37:08 ----D---- C:\WINDOWS\system32\wbem 2009-07-03 12:37:07 ----D---- C:\WINDOWS\AppPatch 2009-07-03 12:35:43 ----D---- C:\Programme\Messenger 2009-07-02 03:32:06 ----D---- C:\WINDOWS\SoftwareDistribution 2009-06-29 22:52:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox 2009-06-27 13:56:19 ----A---- C:\WINDOWS\PEX.INI 2009-06-27 13:56:14 ----A---- C:\WINDOWS\Ulead32.ini ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-20 28520] R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\System32\DRIVERS\wmiacpi.sys [2008-04-14 8832] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640] R2 AVMPORT;AVMPORT; C:\WINDOWS\System32\drivers\avmport.sys [2001-10-23 59520] R2 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2003-04-02 5888] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\System32\DRIVERS\HDAudBus.sys [2008-04-13 144384] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-07-10 4449280] R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2007-04-20 6728032] R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\System32\DRIVERS\NVENETFD.sys [2007-03-06 58752] R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\System32\DRIVERS\nvnetbus.sys [2007-03-06 19968] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208] R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-14 17152] R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856] S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] S1 Tosrfcom;Bluetooth RFCOMM; C:\WINDOWS\System32\Drivers\tosrfcom.sys [] S3 FTD2XX;FTD2XX.SYS FT8U2XX device driver; C:\WINDOWS\System32\Drivers\FTD2XX.sys [2004-10-15 29292] S3 FTDIBUS;boso USB Serial Converter Driver; C:\WINDOWS\system32\drivers\ftdibus.sys [2006-05-18 47249] S3 FTSER2K;USB Serial Port Driver; C:\WINDOWS\system32\drivers\ftser2k.sys [2006-05-18 61067] S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368] S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288] S3 PDNMp50;PDNMp50 NDIS Protocol Driver; \??\C:\WINDOWS\system32\drivers\PDNMp50.sys [] S3 PDNSp50;PDNSp50 NDIS Protocol Driver; \??\C:\WINDOWS\system32\drivers\PDNSp50.sys [] S3 toshidpt;Bluetooth HID Port; C:\WINDOWS\system32\drivers\Toshidpt.sys [] S3 tosporte;Bluetooth COM Port; C:\WINDOWS\system32\DRIVERS\tosporte.sys [] S3 tosrfbd;Bluetooth RFBUS; C:\WINDOWS\system32\DRIVERS\tosrfbd.sys [] S3 tosrfbnp;Bluetooth RFBNEP; C:\WINDOWS\System32\Drivers\tosrfbnp.sys [] S3 Tosrfhid;Bluetooth RFHID; C:\WINDOWS\system32\DRIVERS\Tosrfhid.sys [] S3 tosrfnds;Bluetooth Personal Area Network; C:\WINDOWS\system32\DRIVERS\tosrfnds.sys [] S3 TosRfSnd;Bluetooth Audio; C:\WINDOWS\system32\drivers\tosrfsnd.sys [] S3 tosrfusb;Bluetooth USB Controller; C:\WINDOWS\system32\DRIVERS\tosrfusb.sys [] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-14 26368] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AdminSVCff;GMX Firefox Update; C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe [2006-10-31 180224] R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-20 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-06-20 185089] R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance; C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe [2007-01-31 65536] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-07-13 152984] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\System32\nvsvc32.exe [2007-04-20 163908] R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance; C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe [2007-01-31 1527893] -----------------EOF----------------- |
|
24.07.2009, 23:06
| #13 |
| | Trojanerfund tr/dropper.gen und hier das info von RSIT info.txt logfile of random's system information tool 1.06 2009-07-14 11:47:31 ======Uninstall list====== -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{580E9BBC-A51E-4AE9-A977-7B0939BEDAD3}\Setup.exe" -l0x7 UNINSTALL -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE AVM FRITZ! LAN Assistent-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\FRITZ!\FRITZ! LAN\Uninst.isu" AVM FRITZ!-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\FRITZ!\Uninst.isu -cC:\Programme\FRITZ!\UNINST.DLL boso USB Serial Converter Drivers-->C:\WINDOWS\system32\bosounin.exe C:\WINDOWS\system32\ftdiun2k.ini Bullzip PDF Printer 6.0.0.702-->"C:\Programme\Bullzip\PDF Printer\unins000.exe" Canon CanoScan Toolbox 4.1-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BCE46757-7674-4416-BEDB-68205A60409E}\setup.exe" -l0x7 Canon iP4200-->C:\WINDOWS\system32\CNMCP78.exe "-PRINTERNAMECanon iP4200" "-HELPERDLLC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ\IJPrinter\CNMWINDOWS\Canon iP4200 Installer\Inst2\cnmis.dll" "-RCDLLcnmi0407.dll" Canon iP4300-->"C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300 /L0x0007 Canon Setup Utility 2.0-->"C:\Programme\Canon\Canon Setup Utility 2.0\Maint.exe" /Uninstall C:\Programme\Canon\Canon Setup Utility 2.0\uninst.ini Canon Utilities Easy-PhotoPrint-->C:\Programme\Canon\Easy-PhotoPrint\uninst.exe uninst.ini Canon Utilities Easy-PrintToolBox-->C:\WINDOWS\BJPSUNST.EXE CanoScan LiDE20,30 Manual-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B360A8E5-C171-4AAE-9777-65B3CDB0072C}\setup.exe" -l0x7 CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe" CD-LabelPrint-->"C:\Programme\Canon\CD-LabelPrint\Uninstal.exe" Canon.CDLabelPrint.Application CompuGROUP Java 1.6.0.11.1-->"C:\Programme\CG\Java\unins000.exe" Copy File Name 2.0.0.7-->"C:\Programme\Bullzip\Copy File Name\unins000.exe" DATEV Kassenerfassung für Office V.1.22-->C:\DATEV\PROGRAMM\Kassenerfassung\DEINSTAL.EXE -FDATEV -KT0000080 -V1.0 EasyWare USB Drivers-->C:\WINDOWS\system32\FTDIUNIN.exe C:\WINDOWS\system32\FTD2XXUN.INI EasyWare V2.9.2.0 Rev B-->MsiExec.exe /X{4DA02862-0BB9-4BF1-B46A-3CB827C2B323} Easy-WebPrint-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Canon\Easy-WebPrint\Uninst.isu Error Recovery Guide-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9DD19562-CB7B-45E3-8041-58070274FB78}\Setup.exe" -l0x7 UNINSTALL Firebird 1.5.4-->C:\Programme\Firebird\Firebird_1_5\unins000.exe Foxit Reader-->C:\Programme\Foxit Software\Foxit Reader\Uninstall.exe GMX Firefox Browser Update-->C:\WINDOWS\system32\RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\ff_gmx_update.inf, RemoveInstall.NTx86 GMX Firefox Paket-->MsiExec.exe /X{11BBAE1C-27AE-4ABA-A54C-9FFE3844CCEC} GPL Ghostscript Lite 8.63-->"C:\Programme\GSLITE\unins000.exe" High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXP$\spuninst\spuninst.exe" HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" ifap index® PRAXIS-->C:\WINDOWS\IsUn0407.exe -fC:\Ifapwin\Uninst.isu Java(TM) 6 Update 14-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF} Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft Encarta Enzyklopädie 2004-->MsiExec.exe /I{04440040-9149-45C6-A806-F2BF9CFCE762} Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9} Microsoft Picture It! Foto Premium 9-->C:\WINDOWS\system32\msiexec.exe /i {DBA8B9E1-C6FF-4624-9598-73D3B41A0903} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Microsoft Word 2002-->MsiExec.exe /I{901B0407-6000-11D3-8CFE-0050048383C9} Microsoft Works Suite-Add-Ins für Microsoft Word-->MsiExec.exe /I{4EAD2E21-1D4A-4E2B-A082-8D08961539C9} Microsoft Works-->MsiExec.exe /I{5B680750-760B-49E4-81E7-21B2B337F9F7} Mozilla Firefox (3.0.11)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe Mozilla Thunderbird (2.0.0.22)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0} NVIDIA Drivers-->C:\WINDOWS\System32\nvudisp.exe UninstallGUI OmniPage SE-->MsiExec.exe /I{6249C22D-E6A8-407B-BA8B-40298848ED94} phase5-->"C:\Programme\phase5\uninstall.exe" praxisCENTER-->C:\Programme\InstallShield Installation Information\{F01F2A23-F232-4B32-BE1B-34AAD4263E3E}\setup3.exe -runfromtemp -l0x0007 -removeonly Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7 -removeonly ScandAll 21-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{AEFF1CC5-2774-4EAE-A19F-8A86F2E9EFDB}\Setup.exe" -l0x7 UNINSTALL Scanner Utility for Microsoft Windows-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{580E9BBC-A51E-4AE9-A977-7B0939BEDAD3}\Setup.exe" -l0x7 UNINSTALL Setup-Start von Microsoft Works 2004-->C:\Programme\Microsoft Works Suite 2004\Setup\Launcher.exe /ARP D:\ Shockwave-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Software Operation Panel-->C:\WINDOWS\UninstOP.exe StarMoney 6.0 apoEdition-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{978693C9-1B23-4B6D-BFED-FD8408379F14}\setup.exe" -l0x7 -removeonly telemed.net-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B02B2154-7774-4EA3-9311-8F86B5B7F61D}\Setup.exe" -l0x7 TurboMed-->C:\WINDOWS\IsUn0407.exe -fC:\TurboMed\Uninst.isu Ulead Photo Explorer 8.0 SE Basic-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D271DAE0-8D68-4C97-8356-A126D48A1D8C}\setup.exe" -l0x7 Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe" Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" Windows Driver Package - boso CDM Driver Package (05/19/2006 2.00.00)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\DpInst.exe /u C:\WINDOWS\system32\DRVSTORE\bosobus_41D0094FD82F5ACEF718F53EE402A5C1DA98AD8F\bosobus.inf Windows Driver Package - boso CDM Driver Package (05/19/2006 2.00.00)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\DpInst.exe /u C:\WINDOWS\system32\DRVSTORE\bosoport_350623C56B97DFD1EB0CF43C088F965E0305F4FD\bosoport.inf Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe" Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" =====HijackThis Backups===== O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') [2009-07-13] O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE [2009-07-13] O17 - HKLM\System\CCS\Services\Tcpip\..\{D48B98ED-7983-4614-A892-F3A166035109}: NameServer = 0.0.0.0 [2009-07-13] O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') [2009-07-13] ======Security center information====== AV: AntiVir Desktop ======System event log====== Computer Name: S***IMMER Event Code: 7036 Message: Dienst "HID Input Service" befindet sich jetzt im Status "Ausgeführt". Record Number: 3814 Source Name: Service Control Manager Time Written: 20090421122301.000000+120 Event Type: Informationen User: Computer Name: S***IMMER Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "HID Input Service" gesendet. Record Number: 3813 Source Name: Service Control Manager Time Written: 20090421122301.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: S***IMMER Event Code: 29 Message: Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit. Record Number: 3812 Source Name: W32Time Time Written: 20090421122058.000000+120 Event Type: Fehler User: Computer Name: S***IMMER Event Code: 17 Message: Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15 Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751) Record Number: 3811 Source Name: W32Time Time Written: 20090421122058.000000+120 Event Type: Fehler User: Computer Name: S***IMMER Event Code: 7036 Message: Dienst "SSDP-Suchdienst" befindet sich jetzt im Status "Ausgeführt". Record Number: 3810 Source Name: Service Control Manager Time Written: 20090421122053.000000+120 Event Type: Informationen User: =====Application event log===== Computer Name: S***IMMER Event Code: 251 Message: Record Number: 1244 Source Name: FirebirdGuardianDefaultInstance Time Written: 20090505065752.000000+120 Event Type: Informationen User: Computer Name: S****IMMER Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 1243 Source Name: SecurityCenter Time Written: 20090505065748.000000+120 Event Type: Informationen User: Computer Name: SPRECHZIMMER Event Code: 0 Message: Record Number: 1242 Source Name: TOSHIBA Bluetooth Service Time Written: 20090505065748.000000+120 Event Type: Informationen User: Computer Name: SPRECHZIMMER Event Code: 100 Message: Service started sucessfuly Modul: adminsvcff For more information, see Help and Support Service at W**.DE - E-Mail - Suche - DSL - Modem - Shopping - Entertainment Record Number: 1241 Source Name: Web.de Update Service (AdminSVC) Time Written: 20090505065748.000000+120 Event Type: Informationen User: Computer Name: S****IMMER Event Code: 101 Message: wuauclt (260) Das Datenbankmodul wurde beendet. Record Number: 1240 Source Name: ESENT Time Written: 20090504074015.000000+120 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Gemeinsame Dateien\Ulead Systems\MPEG;C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD;C:\Programme\AIS.net;C:\DATEV\SYSTEM "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 107 Stepping 2, AuthenticAMD "PROCESSOR_REVISION"=6b02 "NUMBER_OF_PROCESSORS"=2 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO -----------------EOF----------------- Ciao und thanks von Makagucaflo! Geändert von makagucaflo (24.07.2009 um 23:20 Uhr) |
|
24.07.2009, 23:25
| #14 |
| | Trojanerfund tr/dropper.gen Firebird ist veraltet, die Web.de-Software ist mir suspekt, aber ansonsten ist alles sauber. Wie geht es dem Rechner? Gibt es noch irgendwelche Auffälligkeiten oder Meldungen? ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
25.07.2009, 10:36
| #15 |
| | Trojanerfund tr/dropper.gen firebird wird natürlich geupdated, was web.de ist, weiß ich auch nicht - kann ich das irgendwie deinstallieren? - ansonsten habe ich derzeit keine Auffälligkeiten feststellen können - bin jetzt erstmal wieder für ne Woche weg. Tschüß und nochmals danke! Makagucaflo |
|
| Themen zu Trojanerfund tr/dropper.gen |
| 1.exe, antivir, antivir guard, antivir meldet, avgnt.exe, bho, browser, canon, converter, desktop, fehler, firefox, flash player, fundmeldung, handel, hijack, hijackthis, hkus\s-1-5-18, home, hängen, konvertieren, logfile, logon.exe, notepad.exe, nt.dll, pdf-datei, problem, registry, riskware, rthdcpl.exe, scan, sched.exe, software, suchlauf, svchost.exe, system gesperrt, taskmanager, trojaner, trojanerfund, usb, versteckte objekte, verweise, virus gefunden, windows, windows xp |
Linear-Darstellung
