Trojan.Win32.TDSS.ajrr

Gateway · 08.09.2009, 16:57

Grüßt euch,
bin neu hier und habe folgendes Problem:

Ich kann nicht mehr auf die Festplattenpartitionen C und F zugreifen, wegen dem Fehler: "RECYCLER-S-8-4-18-100002092-1000023841-100001124-6376.com konnte nicht gefunden werden"
Das Problem habe ich seit einigen Wochen.
Das gleiche Problem trat auch bei meiner Externen Festplatte und meinem USB- Stick auf. Nachdem ich diese formatiert hatte, war die Meldung weg.

Hab alles mit „Kaspersky“ nach Viren durchgesucht. Das hat folgende Trojaner gefunden, die nicht desinfiziert, sondern nur gelöscht werden konnten:

gelöscht: trojanisches Programm Trojan.Win32.TDSS.ajrr Datei: C:\RECYCLER\S-4-9-14-100011029-100013907-100014148-6144.com

gelöscht: trojanisches Programm Trojan.Win32.TDSS.ajrr Datei: F:\System Volume Information\_restore{F98E8DE2-1FF8-429E-A4EC-843FFC9294C}\RP149\A0082511.com

Die Fehlermeldung kommt aber weiterhin und ich kann immer noch nicht auf die Partitionen zugreifen.

Ich habe versucht, alle "Schritte für Hilfesuchende" auszuführen.
1. CCleaner ausgeführt

2. Malwarebytes Anti-Malware hat sich leider, nachdem es das erste infizierte Objekt gefunden hat, festgefahren- und das zweimal hintereinander. Hab also keinen Bericht.

3 .Hier die Berichte von RSIT:

log.text

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:23:09, on 08.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS
C:\WINDOWS\System32\svchost.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\alg.exe
C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\trend micro\***.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu22\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{122DBD08-7B62-44D2-A5A3-2A59E85337ED}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{9234F2C7-AC02-4350-8BBD-58A62CF356E0}: NameServer = 139.7.30.125 139.7.30.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3BFD672-7224-4F84-889D-FC06E1B6DDC4}: NameServer = 85.255.112.60,85.255.112.82
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.60,85.255.112.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{122DBD08-7B62-44D2-A5A3-2A59E85337ED}: NameServer = 192.168.178.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.60,85.255.112.82
O17 - HKLM\System\CS2\Services\Tcpip\..\{122DBD08-7B62-44D2-A5A3-2A59E85337ED}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.60,85.255.112.82
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

Vielen Dank schonmal im Voraus.
Hoffe mir kann jemand von euch helfen.

BataAlexander · 08.09.2009, 23:51

Mache bitte einen Scan mit Combofix:

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Gateway · 10.09.2009, 19:48

Hallo BataAlexander,
danke für die schnelle Antwort.

Der Scan mit "Malwarebytes" hat nach längerem Probieren doch noch geklappt. Hier das Ergebnis:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2754
Windows 5.1.2600 Service Pack 2

08.09.2009 19:18:43
mbam-log-2009-09-08 (19-18-37).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 93050
Laufzeit: 4 minute(s), 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{e3bfd672-7224-4f84-889d-fc06e1b6ddc4}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{e3bfd672-7224-4f84-889d-fc06e1b6ddc4}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{e3bfd672-7224-4f84-889d-fc06e1b6ddc4}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\autorun.inf (SuspectAutorun.Rootdrive.H) -> No action taken.
C:\WINDOWS\system32\dlh9jkd1q8.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> No action taken.
C:\Programme\ICQToolbar\tbu22\toolbaru.dll (Trojan.BHO) -> No action taken.

Hier auch noch die ComboFix- Ergebnisse:

Code:

ATTFilter

ComboFix 09-09-09.08 - *** 10.09.2009 19:14.1.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-1177238915-606747145-682003330-1004
c:\windows\AUTOLNCH.REG
c:\windows\Installer\11936.msi
F:\Autorun.inf

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_gaopdxserv.sys
-------\Service_gaopdxserv.sys


(((((((((((((((((((((((   Dateien erstellt von 2009-08-10 bis 2009-09-10  ))))))))))))))))))))))))))))))
.

2009-09-10 17:04 . 2009-09-10 17:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Vodafone
2009-09-10 16:50 . 2009-09-10 16:50	--------	d-----w-	c:\windows\system32\wbem\Repository
2009-09-08 15:22 . 2009-09-08 15:23	--------	d-----w-	C:\rsit
2009-09-07 19:22 . 2009-09-07 19:22	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-09-07 19:21 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-07 19:21 . 2009-09-10 16:50	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-09-07 19:21 . 2009-09-07 19:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-07 19:21 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-06 19:28 . 2009-09-10 16:49	--------	d-----w-	c:\programme\ICQ6.5
2009-09-03 20:00 . 2009-09-03 20:00	--------	d-----w-	c:\programme\MSBuild
2009-09-03 19:59 . 2009-09-03 19:59	--------	d-----w-	c:\programme\Microsoft.NET
2009-09-03 19:57 . 2009-09-03 19:57	--------	d-----w-	c:\programme\Microsoft Visual Studio 8
2009-09-03 19:56 . 2009-09-03 19:56	--------	d-----w-	c:\windows\SHELLNEW
2009-09-03 19:17 . 2004-03-02 14:37	125184	------w-	c:\windows\system32\drivers\imagesrv.sys
2009-09-03 19:17 . 2004-03-02 14:37	5504	------w-	c:\windows\system32\drivers\imagedrv.sys
2009-09-03 19:17 . 2000-06-26 08:45	106496	----a-w-	c:\windows\system32\TwnLib20.dll
2009-09-03 19:17 . 2004-07-26 14:16	476320	------w-	c:\windows\system32\ImagXpr7.dll
2009-09-03 19:17 . 2004-07-26 14:16	471040	------w-	c:\windows\system32\ImagXRA7.dll
2009-09-03 19:17 . 2004-07-26 14:16	262144	------w-	c:\windows\system32\ImagXR7.dll
2009-09-03 19:17 . 2004-07-26 14:16	1568768	------w-	c:\windows\system32\ImagX7.dll
2009-09-03 19:17 . 2001-07-09 08:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-10 17:24 . 2009-03-22 15:19	9800480	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2009-09-10 17:23 . 2009-03-22 15:19	570912	--sha-w-	c:\windows\system32\drivers\fidbox2.dat
2009-09-10 17:22 . 2009-03-22 15:19	57680	--sha-w-	c:\windows\system32\drivers\fidbox2.idx
2009-09-10 17:22 . 2009-03-22 15:19	135368	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2009-09-10 17:04 . 2007-04-13 16:25	--------	d-----w-	c:\programme\Vodafone
2009-09-10 16:59 . 2009-03-22 15:19	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-09-10 16:50 . 2009-09-08 15:22	--------	d-----w-	c:\programme\trend micro
2009-09-10 16:50 . 2009-09-10 16:50	--------	d-----w-	c:\programme\CCleaner
2009-09-10 16:50 . 2008-07-03 19:53	--------	d-----w-	c:\programme\ICQ6Toolbar
2009-09-10 16:49 . 2007-07-14 12:43	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-09-10 16:22 . 2008-07-03 19:52	--------	d-----w-	c:\programme\ICQ6
2009-09-06 19:33 . 2008-07-03 19:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-09-06 18:15 . 2007-03-15 17:18	2323072	----a-w-	c:\windows\system32\TUKernel.exe
2009-09-06 18:12 . 2007-04-07 12:43	93360	----a-w-	c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-09-03 20:00 . 2007-08-16 18:10	--------	d-----w-	c:\programme\Microsoft Works
2009-09-03 19:17 . 2007-04-13 17:22	--------	d-----w-	c:\programme\Ahead
2009-09-03 18:09 . 2007-04-22 16:36	--------	d-----w-	c:\programme\s25atonce
2009-09-03 17:57 . 2007-04-07 12:49	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems
2009-09-03 17:57 . 2007-03-15 13:20	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-09-02 20:15 . 2007-04-07 13:30	--------	d-----w-	c:\programme\Google
2006-05-03 10:06 . 2007-04-21 17:43	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2007-04-21 17:43	31744	--sh--r-	c:\windows\system32\msfDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="c:\programme\TuneUp Utilities 2006\MemOptimizer.exe" [2005-08-24 295936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVRaidService"="c:\windows\system32\nvraidservice.exe" [2004-06-11 83968]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-12 196608]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-04-07 155648]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2003-02-06 114741]
"StorageGuard"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-02-12 155648]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 57344]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2006-10-25 35328]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-21 136600]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-08-06 185896]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"MobileConnect"="c:\programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2008-03-13 2060288]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-04-15 77824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
CoreCenter.lnk - c:\programme\MSI\Core Center\CoreCenter.exe [2007-4-2 914944]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [03.07.2008 21:53 222968]
R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [13.03.2008 19:08 24576]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.12.2007 15:28 24592]
S3 siusbmod;siusbmod;c:\windows\system32\drivers\siusbmod.sys [15.03.2007 20:20 26880]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - PCALERTDRIVER
*Deregistered* - mchInjDrv
*Deregistered* - PCAlertDriver
.
Inhalt des "geplante Tasks" Ordners

2009-06-19 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 00:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
TCP: {122DBD08-7B62-44D2-A5A3-2A59E85337ED} = 192.168.178.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\unnge8t6.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-10 19:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\windows\TEMP\mc21.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1192)
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\klogon.dll

- - - - - - - > 'lsass.exe'(1248)
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\dnsq.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll

- - - - - - - > 'explorer.exe'(3888)
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\scrchpg.dll
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS
c:\programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-10 19:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-09-10 17:28

Vor Suchlauf: 14 Verzeichnis(se), 28.693.704.704 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 56.740.126.720 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /TUTag=6DHVC6 /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /fastdetect /NoExecute=OptIn /TUTag=6DHVC6-BAK

202

Hab jetzt aber ein Problem mit meinem Internet. Ich benutz einen USB-Stick und surf über UMTS. Da kommt beim Netzaufbau die Fehlermeldung: "Fehler 720". Hab bei meinen Netzbetreiber angerufen und die meinten das liegt an "Winsock six" Hab aber keine Ahnung, was ich jetzt machen soll?

Gateway · 12.09.2009, 11:16

Das Problem mit der Internetverbindung hab ich hinbekommen.
Auf meine Festplattenpartitionen kann ich wieder zugreifen.

kira · 02.10.2009, 19:57

hi

Alles deutet darauf hin, dass dein PC ist mit Rootkit/Wikipedia ) und mit dem Virus "Virus.Win32.AutoRun" verseucht.

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest:

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

► CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird GMER beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

5.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Gateway · 04.10.2009, 08:54

Danke Coverflow für die Antwort.

Hab ComboFix entfernt und die versteckten- und Systemdateien sichtbar gemacht.

Hier ist der logfile von filelist:

Code:

ATTFilter

----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 1C4D-35A2

 Verzeichnis von C:\

03.10.2009  22:11                43 filelist.txt
03.10.2009  20:57     2.147.012.608 hiberfil.sys
03.10.2009  20:57       805.306.368 pagefile.sys
16.09.2009  21:22           107.111 stub.log
10.09.2009  19:28            13.255 ComboFix.txt
10.09.2009  19:13               460 boot.ini
06.09.2009  20:15               389 Boot.bak
26.05.2009  18:56                 0 Log.txt

              16 Datei(en)  2.953.006.382 Bytes
               0 Verzeichnis(se), 57.227.468.800 Bytes frei
 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 1C4D-35A2

 Verzeichnis von C:\WINDOWS

03.10.2009  21:51            14.916 ModemLog_HUAWEI Mobile Connect - 3G Modem #6.txt
03.10.2009  20:58                 0 0.log
03.10.2009  20:58               159 wiadebug.log
03.10.2009  20:57                50 wiaservc.log
03.10.2009  20:57             2.048 bootstat.dat
02.10.2009  18:20            32.584 SchedLgU.Txt
02.10.2009  18:20             4.473 WindowsUpdate.log
11.09.2009  18:15               860 setupapi.log
11.09.2009  18:11             9.852 resetlog.txt
10.09.2009  19:24               227 system.ini
08.09.2009  18:33            54.156 QTFont.qfn
06.09.2009  21:44             1.409 QTFont.for
03.09.2009  22:25           230.912 PEV.exe
03.09.2009  21:56               718 win.ini
03.09.2009  19:48                52 pex.INI
03.09.2009  19:47               518 Ulead32.ini
02.09.2009  21:36                29 Battle.ini
03.08.2009  16:12             3.141 tpl.cfg
03.08.2009  16:01               821 ISISAIM.INI
25.07.2009  20:36            10.208 ModemLog_HUAWEI Mobile Connect - 3G Modem #5.txt
22.04.2009  13:00               400 ODBC.INI
20.04.2009  12:56            31.232 NIRCMD.exe

             121 Datei(en)     10.683.947 Bytes
               0 Verzeichnis(se), 57.227.452.416 Bytes frei
 
----- System  --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 1C4D-35A2

 Verzeichnis von C:\WINDOWS\system

15.03.2007  15:20               167 CmiCnfg.ini

              29 Datei(en)      5.873.826 Bytes
               0 Verzeichnis(se), 57.227.448.320 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 1C4D-35A2

 Verzeichnis von C:\WINDOWS\system32

03.10.2009  20:41             2.206 wpa.dbl
06.09.2009  20:15         2.323.072 TUKernel.exe
06.09.2009  20:12            93.360 GDIPFONTCACHEV1.DAT
06.09.2009  20:12           328.296 FNTCACHE.DAT
07.04.2009  13:54            20.648 dopdfmn6.dll
07.04.2009  13:54            18.088 dopdfmi6.dll
29.03.2009  11:11           401.064 perfh009.dat
29.03.2009  11:11            74.996 perfc007.dat
29.03.2009  11:11            62.344 perfc009.dat
29.03.2009  11:11           415.470 perfh007.dat
29.03.2009  11:11           966.314 PerfStringBackup.INI

            2171 Datei(en)    441.137.629 Bytes
               0 Verzeichnis(se), 57.227.264.000 Bytes frei
 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 1C4D-35A2

 Verzeichnis von C:\WINDOWS\Prefetch

03.10.2009  22:11            11.788 FIND.EXE-0EC32F1E.pf
03.10.2009  22:11            11.754 CMD.EXE-087B4001.pf
03.10.2009  22:11            13.730 WINRAR.EXE-3588DFE8.pf
03.10.2009  22:06            27.886 DW20.EXE-005BA42F.pf
03.10.2009  22:06            28.978 WMIPRVSE.EXE-28F301A9.pf
03.10.2009  22:06            77.212 MOBILECONNECT.EXE-39D15BA7.pf
03.10.2009  22:03            71.124 WINAMP.EXE-08C38ED9.pf
03.10.2009  21:21            15.692 RUNDLL32.EXE-451FC2C0.pf
03.10.2009  21:20            32.982 RUNDLL32.EXE-341904CC.pf
03.10.2009  21:20            19.094 HPZENG04.EXE-129A6FF3.pf
03.10.2009  21:19            11.988 HPZSTC04.EXE-1001DF4D.pf
03.10.2009  21:18            96.360 WINWORD.EXE-0B995611.pf
03.10.2009  21:02             8.934 JQSNOTIFY.EXE-1E60A522.pf
03.10.2009  21:02            80.410 FIREFOX.EXE-1D57670A.pf
03.10.2009  20:59            15.720 ALG.EXE-0F138680.pf
03.10.2009  20:59            20.282 WMIAPSRV.EXE-1E2270A5.pf
03.10.2009  20:59         1.553.936 NTOSBOOT-B00DFAAD.pf
03.10.2009  20:53            34.262 RUNDLL32.EXE-42D6F25F.pf
03.10.2009  20:52            17.886 TASKMGR.EXE-20256C55.pf
03.10.2009  20:45            59.722 AVP.EXE-0ED7EF87.pf
02.10.2009  18:20            24.410 TU_LOGONUI.EXE-381C5638.pf
02.10.2009  17:17            51.528 DISKCLEANER.EXE-015A6E3D.pf
02.10.2009  17:15           106.966 REALPLAY.EXE-1BF219BD.pf
02.10.2009  17:15            34.354 RUNDLL32.EXE-171D38C1.pf
02.10.2009  17:15            48.990 REGISTRYCLEANER.EXE-2ACFEEF7.pf
02.10.2009  17:15            50.976 SYSTEMOPTIMIZER.EXE-191231CF.pf
29.09.2009  19:05            34.504 RUNDLL32.EXE-1557B42A.pf
28.09.2009  22:36            17.818 RUNDLL32.EXE-458E2BBF.pf
28.09.2009  21:07            34.664 RUNDLL32.EXE-1898A762.pf
27.09.2009  21:51            15.700 SNDVOL32.EXE-383480B7.pf
27.09.2009  21:35            15.474 REALONEMESSAGECENTER.EXE-0A4B9E3A.pf
27.09.2009  21:35            33.138 RUNDLL32.EXE-27DD5781.pf
27.09.2009  21:35            35.902 RECORDINGMANAGER.EXE-34557554.pf
27.09.2009  21:16            48.258 IEXPLORE.EXE-2CA9778D.pf
27.09.2009  21:15            33.784 RUNDLL32.EXE-35BDE132.pf
27.09.2009  20:47            65.948 ACRORD32.EXE-153330F0.pf
27.09.2009  20:44            37.546 ADOBEUPDATER.EXE-370FC314.pf
27.09.2009  20:44            65.702 ACRORD32INFO.EXE-19D979CC.pf
27.09.2009  20:14            44.652 AGENT.EXE-027CAB18.pf
27.09.2009  20:13            21.922 REALSCHED.EXE-0A2A7558.pf
27.09.2009  20:13            29.966 SETUP.EXE-23A4758C.pf
27.09.2009  20:12            28.894 SETUP.EXE-00C4F53C.pf
24.09.2009  16:42            34.518 RUNDLL32.EXE-154A2FEA.pf
22.09.2009  20:39            65.712 HELPSVC.EXE-2878DDA2.pf
22.09.2009  20:35            86.164 DFRGNTFS.EXE-269967DF.pf
22.09.2009  20:34            40.156 DEFRAG.EXE-273F131E.pf
22.09.2009  20:34           910.970 Layout.ini
21.09.2009  20:49            19.948 NOTEPAD.EXE-336351A9.pf
18.09.2009  09:59            35.598 CSC.EXE-01730C27.pf
18.09.2009  09:59            12.788 CVTRES.EXE-2329DCD5.pf
12.09.2009  11:59            38.398 EPMWORKER.EXE-36EA6AD1.pf
12.09.2009  11:59           105.368 GENERIC.EXE-0FF6F96D.pf
12.09.2009  11:59            26.240 CONNECTIONWIZARD.EXE-36F3825D.pf
10.09.2009  21:35            41.538 SETUP.EXE-310A209C.pf
08.09.2009  21:13            27.234 LOGON.SCR-151EFAEA.pf
03.09.2009  20:20            22.726 SIFXINST.EXE-3950183F.pf
02.09.2009  21:59            78.544 GOOGLEUPDATER.EXE-36CE3796.pf
02.09.2009  21:38            83.786 WINWORD.EXE-3395695A.pf
22.03.2009  17:13            30.512 AVWSC.EXE-2F6C3C95.pf
              59 Datei(en)      4.751.036 Bytes
               0 Verzeichnis(se), 57.227.337.728 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 1C4D-35A2

 Verzeichnis von C:\WINDOWS\tasks

03.10.2009  20:57                 6 SA.DAT
02.10.2009  17:18               410 1-Klick-Wartung.job
               3 Datei(en)            481 Bytes
               0 Verzeichnis(se), 57.227.337.728 Bytes frei
 
----- Windows/Temp ----------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 1C4D-35A2

 Verzeichnis von C:\WINDOWS\Temp

03.10.2009  20:58            16.384 Perflib_Perfdata_6d0.dat
03.10.2009  20:41            16.384 Perflib_Perfdata_6cc.dat
11.09.2009  18:11            16.384 Perflib_Perfdata_ec.dat
               3 Datei(en)         49.152 Bytes
               0 Verzeichnis(se), 57.227.337.728 Bytes frei
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 1C4D-35A2

 Verzeichnis von C:\DOKUME~1\***~1\LOKALE~1\Temp

03.10.2009  22:06                81 dw.log
03.10.2009  22:06                 0 JET4DBF.tmp
03.10.2009  21:02             7.203 jusched.log
03.10.2009  20:58            16.384 Perflib_Perfdata_4e4.dat
               4 Datei(en)         23.668 Bytes
               0 Verzeichnis(se), 57.227.337.728 Bytes frei

Hier die vom CCleaner erstellte Liste aller installierten Programme:

Code:

ATTFilter

Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Reader 8.1.3 - Deutsch
Adobe Shockwave Player
Adobe® Photoshop® Album Starter Edition 3.0
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
C-Media 3D Audio
CCleaner (remove only)
Cisco Systems VPN Client 5.0.02.0090
CloneCD
Core Center
Disc2Phone
DivX Codec
DivX Content Uploader
DivX Converter Mobile
DivX Player
DivX Web Player
doPDF 6.2  printer
eMusic - 50 Free MP3 offer
Free YouTube to Mp3 Converter version 3.1
Google Earth
HijackThis 2.0.2
hp deskjet 930c series (nur entfernen)
HP PrecisionScan LTX
ICQ Toolbar
ICQ6.5
IrfanView (remove only)
ISIS Draw 2.1.4 Standalone
Java(TM) 6 Update 11
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Kaspersky Security Suite CBE
Malwarebytes' Anti-Malware
MDL CrossFire Commander 7.0
Microsoft .NET Framework 1.1
Microsoft .NET Framework 2.0
Microsoft Office Enterprise 2007
Mozilla Firefox (3.5.3)
MyDVD
Nero 6 Ultra Edition
NVIDIA Drivers
PowerQuest PartitionMagic 8.0
QuickTime
RealPlayer
Realtek AC'97 Audio

Trojan.Win32.TDSS.ajrr

Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.TDSS.ajrr