Überreste von Virus

Kajika · 24.07.2009, 13:47

Hallo allerseits

Ich ahbe mir letzt einen mehr oder weniger schlimmen Virus (ob Trojaner, Mal- oder Spyware weiß ich nicht genau) geholt.
Dieser ließ Werbepopups erscheinen, verhinderte das Abrufen von Antivirenprogramm-Herstellern und leitete Google-Anfragen auf andere Seiten weiter.
Naja, nach ewigem rummachen etc. ist das Googleproblem, sowie das Aufploppen von Werbepopups und die Sperre zu den Virenprogrammen behoben.

Leider scheint immernoch etwas übrig zu sein, Programme wie "Spybot" und "HijackThis" sind geblockt, außerdem erscheint unabhängig von der besuchten Seite ein Werbepopup das besagt ich solle ein Antivirenprogramm installieren, das Popup ist aufgemacht wie eine WindowsFenster.

So, nachdem ich die HiJack-Exe umbenannt habe hier mal ein Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:20:03, on 24.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\programme\steam\steam.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\pruefung.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe /boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Installer) - h**p://t1.battlefield-heroes.com/patcher/westpatcher.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.21,85.255.112.89
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.21,85.255.112.89
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.21,85.255.112.89
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Programme\Hotspot Shield\bin\HssTrayService.EXE (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 7549 bytes

Ich danke euch schonmal im Vorraus

MfG

Kajika

Mellosun · 24.07.2009, 16:31

Hallo und

Hier geht es lang: Für alle Neuen

Bitte abarbeiten und Berichte Posten!

Kajika · 26.07.2009, 14:57

Ok, sorry, daran hatte ich nicht gedacht ^^

-Also, mit CCleaner habe ich alles gereinigt, Dateien und Registry, wie in der Anleitung beschrieben.

-Malwarebytes' Anti-Malware scheint ebenfalls vom Virus geblockt zu sein, es öffnet sich kein sichtbares Fenster, in der Symbolleiste ist ebenfalls nichts vorhanden. Da ich nicht weiß wie der Prozess benannt ist kann ich nicht sagen ob da was läuft (sowas wie mbam.exe oder so habe ich nciht gefunden).

-Hier die beiden Logfiles von RSIT:

log.txt

info.txt

Nochmal danke für die Mühe, einfach klasse das hier sowas angeboten wird

MfG

Kajika

john.doe · 26.07.2009, 18:42

Hallo und

Das sieht übel aus, du hast u.a. eine Umleitung in die Ukraine drin. Alle deine Internetanfragen können beliebig umgeleitet und abgefangen werden. Kein Onlinebanking, ebay, Paypal o.ä., nach Abschluss alle Kennwörter von einem sauberen Rechner ändern. Du sparst dir eine Menge Zeit wenn du die schnelle und sichere Alternative wählst => http://www.trojaner-board.de/51262-a...sicherung.html

Ansonsten beginne mit Combofix.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Kajika · 26.07.2009, 19:35

Hmm, wenn da jetzt steht dass das Programm unter anderem schwere Schäden bei falscher Benutzung hervorrufen kann bin ich da ein bisschen vorsichtig. Wie man ja aus den Log-Dateien entnehmen kann benutze ich viele Grafikprogramme und nutze diese teilweise beruflich und ein VErlust der Daten wäre ziemlich schrecklich. Sichern geht ja schlecht da die Gefahr besteht das der Virus sich auf externe Festplatten speichert.

Vorhin habe ich es geschafft einen Suchlauf mit SUPERAntiSpyware zu starten, dieser hat dann auch diverse Funde verbuchen können, hier ein Auszug aus der Logfile:

Code:

ATTFilter

Rootkit.Agent/Gen-ESQUL
	HKLM\system\controlset001\services\ESQULserv.sys
	C:\WINDOWS\SYSTEM32\DRIVERS\ESQULXDQGOESJYXYBENGFINKCCFBLTOYVCSOW.SYS
	HKLM\system\controlset003\services\ESQULserv.sys

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\vanWetten\Cookies\vanwetten@atwola[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@yieldmanager[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@doubleclick[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@elitepartner[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@im.banner.t-online[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@kabelbw.112.2o7[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@clicksor[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@atdmt[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad2.yieldmanager[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@ads.heias[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.traffictrack[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.adservex[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@apmebf[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@adtech[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@komtrack[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@webmasterplan[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@a2.adserver01[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@media6degrees[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@mediaplex[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.etracker[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@tto2.traffictrack[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@cache.trafficmp[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@bs.serving-sys[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.zanox[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.yieldmanager[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@myroitracking[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@ads.dzo-marketing[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@xm.xtendmedia[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@zanox[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@mediagenerate[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@adserver.easyad[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@serving-sys[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@tracking.quisma[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@trafficmp[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.zanox-affiliate[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.active-tracking[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@eas.apm.emediate[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@specificclick[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@tradedoubler[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@zanox-affiliate[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@traffictrack[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.adnet[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@advertising[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@unitymedia[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@adfarm1.adition[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@adviva[2].txt

Trojan.Unknown Origin
	HKU\.DEFAULT\Software\ColdWare
	HKU\S-1-5-18\Software\ColdWare

Trojan.Agent/Gen-Tmp
	C:\WINDOWS\TEMP\TEMPO-51033250.TMP
	C:\WINDOWS\Prefetch\TEMPO-51033250.TMP-0F538013.pf

Nach dem Rüberziehen in die Quarantäne konnte ich Programme wie "Spybot" und "Malwarebytes' Anti Malware" wieder starten. Ist das Problem damit gelöst? Sollte ich noch weitere Durchlaufe mit Spybot oder Anti Malware starten oder ratet ihr weiterhin zu ComboFix?

john.doe · 26.07.2009, 19:42

Zitat:

oder ratet ihr weiterhin zu ComboFix?

Ja, du hast da einen Rootkit und kein Programm kann das besser und sauberer entfernen als ComboFix.

ciao, andreas

Kajika · 26.07.2009, 20:00

Code:

ATTFilter

ComboFix 09-07-25.08 - vanWetten 26.07.2009 20:51.1.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1529 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\vanWetten\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\cleanup.exe
c:\windows\regedit.com
c:\windows\system32\ESQULpjgtlotversaaycrocrdlvoaukeylkfi.dll
c:\windows\system32\ESQULzcounter
c:\windows\system32\taskmgr.com
c:\windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job

.
(((((((((((((((((((((((   Dateien erstellt von 2009-06-26 bis 2009-07-26  ))))))))))))))))))))))))))))))
.

2009-07-26 18:24 . 2009-07-26 18:24	--------	d-----w-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\Malwarebytes
2009-07-26 17:22 . 2009-07-26 18:17	117760	----a-w-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-07-26 17:21 . 2009-07-26 17:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-07-26 17:20 . 2009-07-26 17:21	--------	d-----w-	c:\programme\SUPERAntiSpyware
2009-07-26 17:20 . 2009-07-26 17:20	--------	d-----w-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\SUPERAntiSpyware.com
2009-07-26 13:45 . 2009-07-26 13:45	--------	d-----w-	C:\rsit
2009-07-24 17:00 . 2009-07-24 17:00	--------	d---a-w-	c:\windows\system32\runouce.exe
2009-07-24 16:59 . 2009-07-24 16:59	626688	----a-w-	c:\windows\system32\msvcr80.dll
2009-07-24 16:59 . 2009-07-24 16:59	548864	----a-w-	c:\windows\system32\msvcp80.dll
2009-07-24 16:59 . 2009-07-24 16:59	28672	----a-w-	c:\windows\system32\eEmpty.exe
2009-07-24 16:59 . 2008-04-14 02:23	140800	----a-w-	c:\windows\system32\T.COM
2009-07-24 16:59 . 2008-04-14 02:22	153600	----a-w-	c:\windows\R.COM
2009-07-24 16:59 . 2009-07-24 16:59	--------	d-----w-	c:\programme\Gemeinsame Dateien\MicroWorld
2009-07-24 16:59 . 2009-07-24 16:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2009-07-24 16:53 . 2009-07-13 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-24 16:53 . 2009-07-24 16:53	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-07-24 16:53 . 2009-07-24 16:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-24 16:53 . 2009-07-13 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-24 16:19 . 2009-07-24 16:19	--------	d-----w-	c:\programme\CCleaner
2009-07-24 11:50 . 2009-07-26 13:45	--------	d-----w-	c:\programme\Trend Micro
2009-07-24 11:43 . 2009-07-24 11:43	0	----a-w-	C:\backup.reg
2009-07-24 11:43 . 2009-07-24 11:43	574	----a-w-	C:\cleanup.bat
2009-07-24 11:43 . 2009-07-24 11:43	135168	----a-w-	C:\zip.exe
2009-07-24 06:28 . 2009-07-26 18:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-24 06:28 . 2009-07-24 11:35	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2009-07-24 06:20 . 2009-06-22 15:05	3015544	----a-w-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\Simply Super Software\Trojan Remover\wqf5.exe
2009-07-24 06:12 . 2009-07-24 06:12	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
2009-07-24 06:12 . 2006-06-19 10:01	69632	----a-w-	c:\windows\system32\ztvcabinet.dll
2009-07-24 06:12 . 2006-05-25 12:52	162304	----a-w-	c:\windows\system32\ztvunrar36.dll
2009-07-24 06:12 . 2005-08-25 22:50	77312	----a-w-	c:\windows\system32\ztvunace26.dll
2009-07-24 06:12 . 2003-02-02 17:06	153088	----a-w-	c:\windows\system32\UNRAR3.dll
2009-07-24 06:12 . 2002-03-05 22:00	75264	----a-w-	c:\windows\system32\unacev2.dll
2009-07-24 06:12 . 2009-07-24 06:18	--------	d-----w-	c:\programme\Trojan Remover
2009-07-24 06:12 . 2009-07-24 06:12	--------	d-----w-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\Simply Super Software
2009-07-22 05:08 . 2009-07-03 14:49	64160	----a-w-	c:\windows\system32\drivers\Lbd.sys
2009-07-22 05:06 . 2009-07-22 05:06	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
2009-07-22 05:06 . 2009-07-08 17:28	2920112	-c--a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe
2009-07-22 05:06 . 2009-07-22 05:08	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-07-22 05:06 . 2009-07-22 05:06	--------	d-----w-	c:\programme\Lavasoft
2009-07-21 16:15 . 2009-07-21 16:15	--------	d-----w-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\LucasArts
2009-07-21 16:11 . 2009-07-21 16:14	--------	d-----w-	c:\programme\LucasArts
2009-07-21 16:11 . 2009-07-21 16:11	--------	d-----w-	c:\windows\LucasArts
2009-07-21 10:39 . 2009-07-21 10:39	12862	----a-r-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\Microsoft\Installer\{0E2B767B-EA6A-489B-BF83-8083FE1DB661}\_1EEFFF72773535163E4216.exe
2009-07-21 10:39 . 2009-07-21 10:39	--------	d-----w-	c:\programme\Pcsx2
2009-07-13 11:41 . 2009-07-13 11:41	--------	d-----w-	c:\programme\iPod
2009-07-13 11:41 . 2009-07-13 11:41	--------	d-----w-	c:\programme\iTunes
2009-07-13 11:41 . 2009-07-13 11:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-07-13 11:40 . 2009-07-13 11:40	--------	d-----w-	c:\programme\QuickTime
2009-07-13 11:37 . 2009-07-13 11:37	75048	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 8.2.0.23\SetupAdmin.exe
2009-07-06 13:26 . 2009-07-06 13:33	--------	d-----w-	c:\dokumente und einstellungen\vanWetten\Lokale Einstellungen\Anwendungsdaten\Hotspot_Shield
2009-07-05 17:03 . 2009-07-06 16:36	--------	d-----w-	c:\dokumente und einstellungen\vanWetten\Lokale Einstellungen\Anwendungsdaten\Conduit
2009-07-05 17:03 . 2009-07-06 16:36	--------	d-----w-	c:\programme\Hotspot_Shield
2009-07-05 17:03 . 2009-07-06 16:36	--------	d-----w-	c:\programme\Conduit
2009-06-30 17:28 . 2009-06-25 14:36	1291640	----a-w-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\BFHUpdater.exe
2009-06-30 17:28 . 2009-06-25 14:36	729088	----a-w-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-26 18:54 . 2008-08-25 12:29	--------	d-----w-	c:\programme\Steam
2009-07-26 17:20 . 2008-11-30 11:56	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-07-26 13:58 . 2008-12-16 19:39	--------	d-----w-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\FileZilla
2009-07-24 13:40 . 2009-03-04 19:13	1	----a-w-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-07-24 06:20 . 2008-09-04 18:45	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-07-21 18:43 . 2008-08-22 14:32	--------	d-----w-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\uTorrent
2009-07-19 20:48 . 2008-08-24 16:14	--------	d-----w-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\Skype
2009-07-19 19:51 . 2008-08-24 16:15	--------	d-----w-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\skypePM
2009-07-16 18:00 . 2008-12-04 13:33	--------	d-----w-	c:\programme\CAPCOM
2009-07-13 11:41 . 2008-10-19 19:52	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2009-07-13 11:40 . 2008-08-01 05:58	--------	d-----w-	c:\programme\Bonjour
2009-07-06 16:38 . 2008-07-31 13:04	40048	----a-w-	c:\dokumente und einstellungen\vanWetten\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-02 05:21 . 2008-07-31 12:57	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-07-02 05:17 . 2008-10-27 22:09	--------	d-----w-	c:\programme\Ubisoft
2009-06-30 17:31 . 2008-10-27 22:12	139152	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2009-06-30 17:31 . 2008-10-27 22:12	139152	----a-w-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\PnkBstrK.sys
2009-06-30 17:31 . 2008-10-27 22:12	139152	----a-w-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\PnkBstrK.sys
2009-06-30 17:30 . 2008-10-27 22:12	111928	----a-w-	c:\windows\system32\PnkBstrB.exe
2009-06-30 17:30 . 2008-10-27 22:12	75064	----a-w-	c:\windows\system32\PnkBstrA.exe
2009-06-30 17:30 . 2008-10-27 22:12	794408	----a-w-	c:\windows\system32\pbsvc.exe
2009-06-26 10:11 . 2009-05-12 11:36	--------	d-----w-	c:\programme\NJStar Japanese WP
2009-06-22 12:51 . 2009-06-22 12:51	--------	d-----w-	c:\programme\Gemeinsame Dateien\DirectX
2009-06-22 12:45 . 2008-11-30 11:56	--------	d-----w-	c:\programme\AGEIA Technologies
2009-06-22 12:43 . 2009-06-22 12:43	--------	d-----w-	c:\programme\Codemasters
2009-06-17 12:19 . 2009-06-17 12:19	--------	d-----w-	c:\programme\Microsoft GIF Animator
2009-06-16 14:36 . 2004-08-04 10:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2004-08-04 10:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-06-13 22:18 . 2008-11-06 17:14	--------	d-----w-	c:\programme\Activision
2009-06-09 16:32 . 2009-03-03 13:43	8	----a-w-	c:\windows\system32\nvModes.dat
2009-06-08 16:46 . 2008-08-23 16:25	--------	d-----w-	c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\dvdcss
2009-06-03 19:09 . 2004-08-04 10:00	1296896	----a-w-	c:\windows\system32\quartz.dll
2009-05-31 10:54 . 2008-07-31 16:30	--------	d-----w-	c:\programme\Lexmark X1100 Series
2009-05-07 15:32 . 2004-08-04 10:00	348160	----a-w-	c:\windows\system32\localspl.dll
2009-04-29 04:42 . 2006-03-04 03:34	827392	----a-w-	c:\windows\system32\wininet.dll
2009-04-29 04:41 . 2004-08-04 10:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2004-08-09 21:30 . 2008-09-13 14:53	40960	----a-w-	c:\programme\Uninstall_CDS.exe
2009-07-22 10:32 . 2008-07-31 15:13	134648	----a-w-	c:\programme\mozilla firefox\components\brwsrcmp.dll
2006-05-03 09:06 . 2008-08-01 18:12	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2008-08-01 18:12	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2008-08-01 18:12	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Steam"="c:\programme\steam\steam.exe" [2009-06-12 1217784]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 204288]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\e35fed8e-9a41-421b-962e-efe552e0fb8e.exe" [2009-06-23 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Lexmark X1100 Series"="c:\programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
"RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-06-28 32768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13672448]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-06-05 292136]
"TrojanScanner"="c:\programme\Trojan Remover\Trjscan.exe" [2009-07-24 1059720]
"SigmatelSysTrayApp"="stsystra.exe" - c:\windows\stsystra.exe [2006-03-20 282624]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-11-12 1630208]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2008-11-12 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Cisco Systems VPN Client.lnk - c:\programme\Cisco Systems\VPN Client\vpngui.exe [2008-12-9 1385400]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05	356352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"c:\\Programme\\Mass Effect\\Binaries\\MassEffect.exe"=
"c:\\Programme\\Mass Effect\\MassEffectLauncher.exe"=
"c:\\Programme\\Steam\\steamapps\\victor61292\\team fortress 2\\hl2.exe"=
"c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=
"c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
"c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Steam\\steam.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Programme\\CAPCOM\\LOSTPLANETCOLONIES\\LostPlanetColoniesDX9.exe"=
"c:\\Programme\\CAPCOM\\LOSTPLANETCOLONIES\\LostPlanetColoniesDX10.exe"=
"c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"c:\\Programme\\Electronic Arts\\Burnout(TM) Paradise The Ultimate Box\\BurnoutLauncher.exe"=
"c:\\Programme\\Electronic Arts\\Burnout(TM) Paradise The Ultimate Box\\BurnoutConfigTool.exe"=
"c:\\Programme\\Electronic Arts\\Burnout(TM) Paradise The Ultimate Box\\BurnoutParadise.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Adobe\\Adobe After Effects CS3\\Support Files\\AfterFX.exe"=
"c:\\Programme\\Vuze\\Azureus.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Aspyr\\Guitar Hero III\\GH3.exe"=
"c:\\Programme\\Activision\\X-Men Origins - Wolverine(TM)\\Binaries\\Wolverine.exe"=
"c:\\Programme\\Activision\\Prototype\\prototypef.exe"=
"c:\\Programme\\Ubisoft\\Techland\\Call of Juarez - Bound in Blood\\CoJBiBGame_x86.exe"=
"c:\\Programme\\CAPCOM\\STREETFIGHTERIV\\StreetFighterIV.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [22.07.2009 07:08 64160]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [23.06.2009 11:01 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [23.06.2009 11:01 72944]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.03.2009 08:52 108289]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [23.06.2009 11:01 7408]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.07.2009 16:49 1029456]
S3 HssTrayService;Hotspot Shield Tray Service;c:\programme\Hotspot Shield\bin\HssTrayService.EXE --> c:\programme\Hotspot Shield\bin\HssTrayService.EXE [?]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [25.03.2009 23:13 272128]
.
Inhalt des "geplante Tasks" Ordners

2009-07-22 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49]

2009-07-21 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} - hxxp://t1.battlefield-heroes.com/patcher/westpatcher.cab
FF - ProfilePath - c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1561552&SearchSource=3&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - plugin: c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll
FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll

---- FIREFOX Richtlinien ----
FF - user.js: dom.disable_open_during_load - false // Popupblocker control handled by McAfee Privacy Service
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-26 20:54
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1004336348-261903793-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:2c,3b,5c,3d,2d,fe,4b,61,b1,c1,de,f7,a8,19,1b,0e,a5,32,30,16,c6,f0,22,
   13,f4,10,3f,69,6f,21,1d,ae,88,d4,07,5b,41,61,52,d5,cc,17,91,30,90,2f,88,df,\
"??"=hex:24,1c,2b,09,84,42,2a,fa,21,58,5e,3f,ef,55,71,29

[HKEY_USERS\S-1-5-21-1004336348-261903793-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:8c,fd,4e,a4,51,5e,25,fe,35,98,5e,52,3a,b0,25,d5,8e,4c,a7,4c,a5,
   3c,bd,a5,c4,79,2b,3a,61,15,94,86,2a,6d,ec,cd,88,3c,c2,45,e6,fb,94,fa,25,cd,\
"rkeysecu"=hex:b5,9d,7e,42,2f,68,ad,40,d7,d0,97,57,4a,8c,68,18

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
"Version"=hex:64,3e,f1,21,78,06,9e,da,f6,ad,99,00,fa,6d,22,ec,e4,31,93,0d,f3,
   30,59,09,a9,fa,73,a3,78,ab,63,ff,7d,36,5c,5a,ba,8a,8f,1e,01,4d,8d,95,31,51,\

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\

[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
"Version"=hex:64,3e,f1,21,78,06,9e,da,f6,ad,99,00,fa,6d,22,ec,e4,31,93,0d,f3,
   30,59,09,a9,fa,73,a3,78,ab,63,ff,7d,36,5c,5a,ba,8a,8f,1e,01,4d,8d,95,31,51,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1028)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
.
Zeit der Fertigstellung: 2009-07-26 20:55
ComboFix-quarantined-files.txt  2009-07-26 18:55

Vor Suchlauf: 23 Verzeichnis(se), 195.159.838.720 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 195.214.753.792 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

262	--- E O F ---	2009-07-15 22:09

john.doe · 26.07.2009, 20:28

Siehst du die Löschungen von ComboFix?

Zitat:

c:\windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job

Der hätte dafür gesorgt, dass er wieder kommt.

Zitat:

c:\windows\system32\ESQULpjgtlotversaaycrocrdlvoaukeylkfi.dll
c:\windows\system32\ESQULzcounter

Die beiden hat SuperAntiSpyware übersehen.

Ich brauche jetzt etwas Zeit um das Script zu basteln.

1.) Deinstalliere:

AdAware
Apple Software Update
Bonjour
Java(TM) 6 Update 13
Skype™ 3.8
Spybot - Search & Destroy
SuperAntiSpyware
VideoLAN VLC media player 0.8.6i
Vuze (Virenschleuder)

2.) Installiere (Toolbars immer abwählen, Haken weg):

3.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

4.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

Kajika · 27.07.2009, 06:18

So alle Schritte durchgeführt, hier einmal die Ergebnisse des Kaspersky Online Scanners:

Code:

ATTFilter

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Montag, 27. Juli 2009 00:25:50
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken: 26/07/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 2312196
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\
	I:\
	K:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 220923
	Viren gefunden: 1
	Infizierte Objekte gefunden: 1
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 02:26:38

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\DRM\drmstore.hds	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Anwendungsdaten\ICQ\409313858\Messages.mdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Anwendungsdaten\ICQ\409313858\Owner.mdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Anwendungsdaten\ICQ\Application.mdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\cert8.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\content-prefs.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\cookies.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\downloads.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\formhistory.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\key3.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\parent.lock	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\permissions.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\places.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\places.sqlite-journal	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\search.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Eigene Dateien\ICQ\409313858\ReceivedFiles\447704540 johannes\GREETI~1.EXE	Infizierte Objekte: Hoax.Win32.BadJoke.Delf.m	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpace.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpace.db.shadow	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Lokale Einstellungen\Anwendungsdaten\Microsoft\Media Player\CurrentDatabase_360.wmdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\Cache\_CACHE_001_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\Cache\_CACHE_002_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\Cache\_CACHE_003_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\Cache\_CACHE_MAP_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\b7lydc8n.default\urlclassifier3.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Lokale Einstellungen\Temp\etilqs_zETGRgvXgbzru99Du1D9	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Lokale Einstellungen\Temp\JET57EE.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\vanWetten\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\logs\sw_ae-20090726-210336.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Steam\logs\connection_log.txt	Das Objekt ist gesperrt	übersprungen
C:\Programme\Steam\Steam.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Steam\steamapps\winui.gcf	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{27F47FC1-4720-461B-B928-7791EAB3427C}\RP340\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\drivers\sptd.sys	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_8a8.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiaservc.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.

Und hier ein Screenshot von Prevx:

Soll ich die gefundenen Viren mit dem programm beseitigen?

john.doe · 27.07.2009, 17:01

Zitat:

Soll ich die gefundenen Viren mit dem programm beseitigen?

Dazu müsstest du es kaufen.

1.) Der Fund von Kaspersky ist ein Jokeprogramm. Entscheide du, ob du es behalten möchtest oder ob ich es löschen soll.

2.) Lade den zweiten Fund von Prevx bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2)

3.) Deinstalliere (falls möglich):

uTorrent (Virenschleuder)
Vuze (Virenschleuder)
Escan
Spybot
SuperAntiSpyware
Trojan Remover
AdAware

Einfach mal alle ausprobiert?

4.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
a7am8m9z
aihz4nvq
vsdatant
Bonjour Service
Lavasoft Ad-Aware Service
Lbd
SASDIFSV
SASKUTIL
SASENUM

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
""=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2750d1e7-0b23-11de-af15-0019d1e153c2}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5bc916e8-5efd-11dd-a04c-806d6172696f}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"iTunesHelper"=-
"TrojanScanner"=-
"nwiz"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\uTorrent\\uTorrent.exe"=-
"c:\\Programme\\Vuze\\Azureus.exe"=-
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-

Rootkit::
C:\WINDOWS\system32\vsdatant.sys

Folder::
C:\rsit
C:\WINDOWS\system32\runouce.exe
C:\Programme\Gemeinsame Dateien\MicroWorld
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
C:\Avenger
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Simply Super Software
C:\Programme\Trojan Remover
C:\Dokumente und Einstellungen\vanWetten\Anwendungsdaten\Simply Super Software
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
C:\Programme\Lavasoft
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
C:\Dokumente und Einstellungen\vanWetten\Anwendungsdaten\uTorrent
C:\Programme\Bonjour
C:\Programme\uTorrent
c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\SUPERAntiSpyware.com
c:\programme\SUPERAntiSpyware
c:\Programme\Vuze
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com

Files::
C:\WINDOWS\system32\drivers\aihz4nvq.sys
C:\WINDOWS\system32\drivers\a7am8m9z.sys
C:\WINDOWS\system32\ztvunrar36.dll
C:\WINDOWS\system32\ztvunace26.dll
C:\WINDOWS\system32\ztvcabinet.dll
C:\WINDOWS\system32\UNRAR3.dll
C:\WINDOWS\system32\unacev2.dll
C:\cleanup.bat
C:\cleanup.exe
C:\zip.exe
C:\avenger.txt
C:\WINDOWS\R.COM
C:\WINDOWS\REGEDIT.COM
C:\WINDOWS\system32\T.COM
C:\WINDOWS\system32\TASKMGR.COM
C:\WINDOWS\system32\eEmpty.exe
C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

SysRst::

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Kajika · 27.07.2009, 18:27

Uff, in der Log-Datei kommen die ganzen schmutzigen Geheimnisse ans Tageslicht

Naja, man muss dazusagen dass ich die meisten heruntergeladenen Dateien inzwischen Original besitze (zumindest die die mir gefallen haben). Wer mich kennt weiß was ich für Unsummen für DVDs und Games ausgebe

Wie dem auch sei, ich danke nochmal für den großartigen Service :aplaus: Kann man sich irgendwie erkenntlich zeigen?

ComboFix-Log

MfG

Kajika

john.doe · 27.07.2009, 18:39

Zitat:

Uff, in der Log-Datei kommen die ganzen schmutzigen Geheimnisse ans Tageslicht

Genau deshalb muss ich an dieser Stelle den Support einstellen. Wer sich Crack und Keygens runterlädt, infiziert sich absichtlich und verschwendet unsere Zeit.

Zitat:

c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\uTorrent\2d3 boujou three v 3.0 + Crack (the real one).rar.torrent
c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\uTorrent\Dead Space Crack- Darkc0der.torrent
c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\uTorrent\Dreamweaver.v8.0.German.Incl.KeyGen-Sp33dcrew.rar.torrent
c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\uTorrent\Google SketchUp Pro v7.0.10247 + Serials [RH].torrent
c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\uTorrent\Grand.Theft.Auto.4.CrackOnly.Proper-Wurstsuppe.torrent
c:\dokumente und einstellungen\vanWetten\Anwendungsdaten\uTorrent\SynthEyes.v2008.0.1000.Incl.Keymaker-EMBRACE.torrent

Schau auch hier vorbei => http://www.trojaner-board.de/449021-post16.html

Hier geht es für dich weiter => http://www.trojaner-board.de/51262-a...sicherung.html

Du bist entlassen und ich bin raus,
Andreas

Kajika · 27.07.2009, 19:06

Schade, ich weiß das nicht lange gutgeht, aber in nächster Zeit werde ich von sowas auch die Finger lassen. Die beschriebenen Downloads sind mittlerweile schon gut ein halbes Jahr alt, aber Viren kommen ja meistens nur aufgrund von Fehlverhalten des Nutzers auf den PC (Die größte Sicherheitslücke eines Computers sitzt vor der Tastatur)

Das mit dem Systemneuaufsetzen sagst du dann wahrscheinlich auch nur wegen der illegalen Inhalte in der Log, oder?

Ich danke dir trotzdem für den klasse Support bis zu dieser Stelle und danke für die Mühe (Beratung, Script etc.). Vielleicht komme ich ja irgendwann wieder mit einem Problem zu euch, diesmal ohne Inhalte dieser Art auf dem PC

Ich werde dieses Board auf jeden Fall weiterempfehlen.

MfG

Kajika

Überreste von Virus

Log-Analyse und Auswertung: Überreste von Virus