Virtumonde und Smitfraud-c

Winterborn · 25.10.2009, 18:09

Hallo, ich habe durch Spybotscan erfahren das ich die Trojaner auf meinem Rechner habe.

Hier mal ein aktueller Log mit HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:07, on 25.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5c255c8a-e604-49b4-9d64-90988571cecb} - (no file)
O2 - BHO: Search Helper - {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {e15a8dc0-8516-42a1-81ea-dc94ec1acf10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\RunOnce: [ShOsPostRemover] C:\sh4ldr\shospostremover.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150595.exe -Update -1150595 -"Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_de;_rv:1.9.0.14)_Gecko/2009082707_Firefox/3.0.14" -"http://www.freeplaynow.com/online-games/play/1265/alias-runner.html"
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: In Blog veröffentlichen - {219c3416-8cb2-491a-a3c7-d9fcddc9d600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219c3416-8cb2-491a-a3c7-d9fcddc9d600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://mittelfeldpower.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131082271875
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Planer (antivirschedulerservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - Unknown owner - C:\Programme\Firebird\Firebird_2_1\bin\fbserver.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: ICQ Service (icq service) - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: My Web Search Service (mywebsearchservice) - Unknown owner - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Deployment Agent Service (sandraagentsrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP3c\RpcAgentSrv.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

Als ich das mit Spybot reparieren wollte, ging mein PC nicht mehr und mir bleib nichts anderes übrig wie die Reperatur wieder rückgängig zu machen.

Weiß jemand Rat?

kira · 25.10.2009, 20:59

Hallo und Herzlich Willkommen!

Service Pack 3 Installiert nicht? (aber versuche zuerst noch nicht, ansonsten schadet mehr als nutzt!) Die Installation kann nur auf dem " sauberen PC" durchgeführt werden. Da dein Log verweist auf "Backdoor-Spur" (auch)

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Winterborn · 25.10.2009, 21:22

Hallo Coverflow, vielen Dank :-)

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 28B7-BB3F

Verzeichnis von C:\

25.10.2009 21:15 43 filelist.txt
25.10.2009 21:15 5.953 winzip.log
25.10.2009 20:57 536.399.872 hiberfil.sys
25.10.2009 20:57 805.306.368 pagefile.sys
24.09.2009 19:38 225 boot.ini
06.07.2009 15:52 3.888.054 drachenritterburg_1440.bmp
02.04.2009 18:02 185.833 shldr
15.11.2008 08:57 2.318 IPH.PH
03.11.2005 13:58 0 IO.SYS
03.11.2005 13:58 0 MSDOS.SYS
03.11.2005 13:58 0 AUTOEXEC.BAT
03.11.2005 13:58 0 CONFIG.SYS
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 251.184 ntldr
04.08.2004 13:00 47.564 NTDETECT.COM
15 Datei(en) 1.346.092.366 Bytes
0 Verzeichnis(se), 59.587.125.248 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 28B7-BB3F

Verzeichnis von C:\WINDOWS

25.10.2009 21:15 1.197 win.ini
25.10.2009 20:57 0 0.log
25.10.2009 20:57 50 wiaservc.log
25.10.2009 20:57 159 wiadebug.log
25.10.2009 20:57 2.048 bootstat.dat
25.10.2009 20:48 32.350 SchedLgU.Txt
25.10.2009 20:47 18.587 WindowsUpdate.log
23.10.2009 12:33 4.637 wininit.ini
15.10.2009 06:21 116 NeroDigital.ini
14.10.2009 19:12 49.350 ModemLog_Motorola USB Modem #4.txt
13.09.2009 22:05 30 Iedit_.INI
25.08.2009 12:18 685 BeatBox.INI
01.08.2009 21:14 754 WORDPAD.INI
30.07.2009 15:01 3.097 ChatControl.INI
10.07.2009 12:10 307.568 WLXPGSS.SCR
07.07.2009 22:09 130 Goya.INI
02.07.2009 13:40 4.096 d3dx.dat
30.06.2009 19:13 966 Mobile Partner Manager.INI
30.06.2009 11:29 24 popcinfo.dat
24.06.2009 10:48 227 system.ini
17.06.2009 17:54 71 pex.INI
27.05.2009 13:26 9.606 ModemLog_Motorola USB Modem #3.txt
14.04.2009 12:56 700 flowstatics.db
14.04.2009 12:56 15.296 ModemLog_GlobeTrotter GI210 - Modem Interface.txt
14.04.2009 11:46 5.846 ModemLog_Standard 2400 bps Modem.txt
13.04.2009 20:44 9.606 ModemLog_Motorola USB Modem #2.txt

----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 28B7-BB3F

Verzeichnis von C:\WINDOWS\system

04.08.2004 13:00 70.368 AVICAP.DLL
04.08.2004 13:00 109.504 AVIFILE.DLL
04.08.2004 13:00 33.744 COMMDLG.DLL
04.08.2004 13:00 2.000 KEYBOARD.DRV
04.08.2004 13:00 9.936 LZEXPAND.DLL
04.08.2004 13:00 73.760 MCIAVI.DRV
04.08.2004 13:00 25.296 MCISEQ.DRV
04.08.2004 13:00 28.160 MCIWAVE.DRV
04.08.2004 13:00 69.632 MMSYSTEM.DLL
04.08.2004 13:00 1.152 MMTASK.TSK
04.08.2004 13:00 2.032 MOUSE.DRV
04.08.2004 13:00 127.104 MSVIDEO.DLL
04.08.2004 13:00 82.944 OLECLI.DLL
04.08.2004 13:00 24.064 OLESVR.DLL
04.08.2004 13:00 59.167 setup.inf
04.08.2004 13:00 5.120 SHELL.DLL
04.08.2004 13:00 1.744 SOUND.DRV
04.08.2004 13:00 5.532 stdole.tlb
04.08.2004 13:00 3.360 SYSTEM.DRV
04.08.2004 13:00 19.200 TAPI.DLL
04.08.2004 13:00 4.048 TIMER.DRV
04.08.2004 13:00 9.200 VER.DLL
04.08.2004 13:00 2.176 VGA.DRV
04.08.2004 13:00 13.600 WFWNET.DRV
04.08.2004 13:00 146.944 WINSPOOL.DRV
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 59.587.117.056 Bytes frei

----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 28B7-BB3F

Verzeichnis von C:\WINDOWS\system32

25.10.2009 21:05 43.573 nvapps.xml
25.10.2009 20:57 1.158 wpa.dbl
24.09.2009 05:27 464.312 perfh009.dat
24.09.2009 05:27 491.664 perfh007.dat
24.09.2009 05:27 88.550 perfc009.dat
24.09.2009 05:27 108.596 perfc007.dat
24.09.2009 05:27 1.166.432 PerfStringBackup.INI
24.09.2009 05:22 181.040 FNTCACHE.DAT
22.09.2009 11:12 28.672 f3PSSavr.scr
02.09.2009 16:04 1.181.022 TmpA474379343
02.09.2009 16:04 900.015 TmpA474360671
26.07.2009 15:44 48.448 sirenacm.dll
22.07.2009 18:23 34.064 lhacm.acm
29.06.2009 22:55 413.696 wrap_oal.dll
29.06.2009 22:55 110.592 OpenAL32.dll
29.06.2009 21:16 107.888 CmdLineExt.dll
05.06.2009 10:41 3.877 lvcoinst.log
01.06.2009 17:51 23.635.392 MRT.exe
13.05.2009 06:02 915.456 wininet.dll
13.05.2009 06:02 5.936.128 mshtml.dll
07.05.2009 16:42 346.624 localspl.dll
01.05.2009 22:03 66.296 pxcpya64.exe
01.05.2009 22:03 1.628.920 pxsfs.dll
01.05.2009 22:03 379.640 pxwave.dll
01.05.2009 22:03 129.784 pxafs.dll
01.05.2009 22:03 120.056 pxcpyi64.exe
01.05.2009 22:03 72.440 pxhpinst.exe
01.05.2009 22:03 551.672 px.dll
01.05.2009 22:03 187.128 pxmas.dll
01.05.2009 22:03 88.824 vxblock.dll
01.05.2009 22:03 118.520 pxinsi64.exe
01.05.2009 22:03 518.904 pxdrv.dll
01.05.2009 22:03 64.760 pxinsa64.exe
01.05.2009 22:02 90.112 dpl100.dll
01.05.2009 22:02 802.816 divx_xx11.dll
01.05.2009 22:02 815.104 divx_xx0a.dll
01.05.2009 22:02 811.008 divx_xx16.dll
01.05.2009 22:02 823.296 divx_xx07.dll
01.05.2009 22:02 823.296 divx_xx0c.dll
01.05.2009 22:02 685.056 DivX.dll
30.04.2009 22:13 1.985.024 iertutil.dll
30.04.2009 22:13 11.064.832 ieframe.dll
30.04.2009 22:12 25.600 jsproxy.dll
30.04.2009 22:12 1.469.440 inetcpl.cpl
30.04.2009 22:12 1.207.808 urlmon.dll
30.04.2009 22:12 385.536 iedkcs32.dll
30.04.2009 12:21 173.056 ie4uinit.exe
19.04.2009 21:06 1.846.784 win32k.sys
15.04.2009 16:11 584.192 rpcrt4.dll
15.04.2009 10:56 374.272 xpsp3res.dll

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 28B7-BB3F

Verzeichnis von C:\WINDOWS\Prefetch

25.10.2009 21:15 12.246 FIND.EXE-0EC32F1E.pf
25.10.2009 21:15 31.982 CMD.EXE-087B4001.pf
25.10.2009 21:15 18.774 WINZIP32.EXE-29102163.pf
25.10.2009 21:08 12.042 JQSNOTIFY.EXE-1E60A522.pf
25.10.2009 21:08 120.110 FIREFOX.EXE-1D57670A.pf
25.10.2009 21:08 130.390 SKYPEPM.EXE-03F1BFBD.pf
25.10.2009 21:07 142.112 WMIPRVSE.EXE-28F301A9.pf
25.10.2009 21:07 79.166 WLCSDK.EXE-0480C889.pf
25.10.2009 21:06 86.226 SKYPE.EXE-21F19BC8.pf
25.10.2009 21:06 103.536 WLCOMM.EXE-222494DB.pf
25.10.2009 21:05 63.296 SWHELPER_1150595.EXE-055884D9.pf
25.10.2009 21:05 12.372 READER_SL.EXE-36135169.pf
25.10.2009 21:05 25.114 MSNMSGR.EXE-3ACF7E89.pf
25.10.2009 21:05 54.946 SPYHUNTER3.EXE-1705D214.pf
25.10.2009 21:05 15.184 CTFMON.EXE-0E17969B.pf
25.10.2009 21:05 53.434 AVGNT.EXE-39CD89BF.pf
25.10.2009 21:05 43.456 AVWSC.EXE-24612965.pf
25.10.2009 21:05 20.278 RUNDLL32.EXE-415F88EC.pf
25.10.2009 21:01 16.992 WMIADAP.EXE-2DF425B2.pf
25.10.2009 20:58 1.249.480 NTOSBOOT-B00DFAAD.pf
25.10.2009 20:47 57.224 LOGONUI.EXE-0AF22957.pf
25.10.2009 20:46 66.726 RSTRUI.EXE-03C49A96.pf
25.10.2009 20:19 61.552 SNDVOL32.EXE-383480B7.pf
25.10.2009 19:16 20.998 FFMPEG.EXE-03BB1812.pf
25.10.2009 19:06 46.822 FREEYOUTUBETOMP3CONVERTER.EXE-2777458B.pf
25.10.2009 19:06 25.270 REGSVR32.EXE-25EEFE2F.pf
25.10.2009 18:29 32.774 FREESTUDIOMANAGER.EXE-019C2D18.pf
25.10.2009 18:29 58.672 MSIEXEC.EXE-2F8A8CAE.pf
25.10.2009 18:21 68.856 MUSICMAKER.EXE-1D9F2B10.pf
25.10.2009 18:21 91.814 WMPLAYER.EXE-09969338.pf
25.10.2009 18:16 289.600 WINRAR.EXE-3588DFE8.pf
25.10.2009 18:06 55.476 NOTEPAD.EXE-336351A9.pf
25.10.2009 18:05 30.552 HIJACKTHIS.EXE-39024128.pf
25.10.2009 18:02 14.410 SPYHUNTER-COMPACT-OS.EXE-0C948AFD.pf
25.10.2009 18:02 6.910 INSTALLUTIL.EXE-21CFFC19.pf
25.10.2009 18:02 57.648 SPYHUNTER-COMPACT-OS.TMP-21AA0E92.pf
25.10.2009 18:02 29.494 WLTUSER.EXE-231BB668.pf
25.10.2009 18:02 134.440 IEXPLORE.EXE-2CA9778D.pf
25.10.2009 18:02 38.578 ESGRKCHK.EXE-0EAD784F.pf
25.10.2009 18:00 29.526 SHSETUP.EXE-1E5C040B.pf
25.10.2009 17:58 60.922 SPYHUNTER-INSTALLER.EXE-178A998F.pf
25.10.2009 17:58 53.392 AVSCAN.EXE-25724B6E.pf
25.10.2009 17:21 64.250 GUARDGUI.EXE-147E0160.pf
25.10.2009 17:20 381.142 Layout.ini
25.10.2009 15:17 61.676 UPDATE.EXE-3398FCD6.pf
25.10.2009 13:37 29.134 MSPAINT.EXE-11CBB631.pf
25.10.2009 13:35 15.038 RUNDLL32.EXE-451FC2C0.pf
25.10.2009 10:55 52.400 SHREDDER.EXE-0C43FCDA.pf
25.10.2009 10:48 18.788 DLLHOST.EXE-42807EE4.pf
25.10.2009 10:38 76.282 AVCENTER.EXE-1D2DB8A2.pf
25.10.2009 10:33 30.610 DUMPREP.EXE-1B46F901.pf
25.10.2009 10:25 77.258 SDUPDATE.EXE-30CF90C0.pf
25.10.2009 10:24 70.374 SPYBOTSD.EXE-1D495A65.pf
25.10.2009 10:23 19.980 RUNDLL32.EXE-327ED30F.pf
25.10.2009 10:23 31.208 RUNDLL32.EXE-2905E326.pf
25.10.2009 10:21 65.752 AVNOTIFY.EXE-31D7686A.pf
25.10.2009 10:12 31.188 WORDPAD.EXE-1EFCC5C1.pf
25.10.2009 09:22 26.320 SETUP.EXE-39DE52BB.pf
25.10.2009 08:23 32.678 RUNDLL32.EXE-2576181F.pf
24.10.2009 20:41 80.738 DFRGNTFS.EXE-269967DF.pf
24.10.2009 20:41 50.722 DEFRAG.EXE-273F131E.pf
24.10.2009 20:14 258.480 HELPSVC.EXE-2878DDA2.pf
24.10.2009 12:47 36.082 PHOTOSNAPVIEWER.EXE-1BCDA4AE.pf
24.10.2009 10:18 46.496 WGATRAY.EXE-0ED38BED.pf
24.10.2009 10:18 74.752 WMIAPSRV.EXE-1E2270A5.pf
24.10.2009 10:08 18.954 IMAPI.EXE-0BF740A4.pf
23.10.2009 13:37 19.326 NTVDM.EXE-1A10A423.pf
14.09.2009 10:48 70.604 LIVECALL.EXE-20729A75.pf
10.07.2009 10:35 32.004 AVWSC.EXE-3AC95876.pf
30.06.2009 18:32 23.998 WUAUCLT.EXE-399A8E72.pf
70 Datei(en) 5.419.026 Bytes
0 Verzeichnis(se), 59.587.006.464 Bytes frei

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 28B7-BB3F

Verzeichnis von C:\WINDOWS\tasks

25.10.2009 20:57 6 SA.DAT
04.08.2004 13:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 59.587.006.464 Bytes frei

----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 28B7-BB3F

Verzeichnis von C:\WINDOWS\Temp

25.10.2009 20:57 409 WGANotify.settings
25.10.2009 20:57 4.152 LVCOMSX.LOG
25.10.2009 20:57 255 WGAErrLog.txt
23.10.2009 12:43 16.384 Perflib_Perfdata_68c.dat
23.10.2009 12:37 131.072 B86FFCE18B714C9218.tmp
23.10.2009 12:37 131.072 ACDB1F95B01F829A11.tmp
23.10.2009 12:37 131.072 793301CFDCB914CFC0.tmp
23.10.2009 12:37 43.727 43B04F981738424DB4.tmp
23.10.2009 12:36 16.384 Perflib_Perfdata_688.dat
23.10.2009 12:35 7.168 etilqs_OffGKsY6F9LqR1sr8i6B
23.10.2009 12:35 1.028 etilqs_ePFDJgq5EpN0TPiIbqzL
23.10.2009 12:35 512 etilqs_PBOdewHvhO2PfYLsLVZR
27.05.2008 15:29 5 msksetup.log
13 Datei(en) 483.240 Bytes
0 Verzeichnis(se), 59.587.006.464 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 28B7-BB3F

Verzeichnis von C:\DOKUME~1\MITTEL~1\LOKALE~1\Temp

25.10.2009 21:14 0 etilqs_NCxUgMlOtulOAHUqPmBD
25.10.2009 21:06 332.612 shtdf~~
25.10.2009 17:59 10.674.960 SHSetup.exe
24.10.2009 14:21 101.616 LastScan.txt
24.10.2009 14:13 200 restart.a2s
24.10.2009 12:44 299 temp.bat
24.10.2009 12:40 458 MSI41971.LOG
21.09.2009 14:00 881.781 msgpl_b59b.tmp
21.09.2009 13:58 881.781 msgpl_611f.tmp
01.03.2009 11:59 88.824 IcqUpdater.exe
10 Datei(en) 12.962.531 Bytes
0 Verzeichnis(se), 59.587.006.464 Bytes frei

Und hier die installierten Programme:

Acronis*True*Image
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 7.0 - Deutsch
Adobe Shockwave Player 11.5
AnalogX AutoTune
a-squared Free 4.5
Athlon 64 Processor Driver
Avira AntiVir Personal - Free Antivirus
BitTorrent
CCleaner (remove only)
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
DNA
DVD Solution
Easy Video Downloader v. 2.1
Firebird SQL Server - MAGIX Edition
Gekko Mahjongg (Oster-Edition)
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 2.0.2
iCON 210
J2SE Runtime Environment 5.0 Update 10
Java(TM) 6 Update 11
Java(TM) 6 Update 7
LabelPrint 1.0
Learn2 Player (Uninstall Only)
Logitech QuickCam
Logitech Updater
Logitech® Camera-Treiber
MAGIX Music Maker Rock Edition 4.0.0.13 (D)
MAGIX Screenshare 4.3.6.1987 (D)
MediaShow 3.0
Messenger Plus! Live
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office PowerPoint Viewer 2003
Microsoft Silverlight
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft Sync Framework Runtime Native v1.0 (x86)
Microsoft Sync Framework Services Native v1.0 (x86)
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Windows-Journal-Viewer
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket
Motorola Phone Tools
Mozilla Firefox (3.0.14)
MSI Star Cam 370i
MSN
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MySQL Servers and Clients 3.23.58
Nero 7 Demo
Nero Suite
Nokia Multimedia Player
NVIDIA Drivers
OpenOffice.org 3.0
PhotoNow! 1.0
Power2Go 4.0
PowerBackup 1.0
PowerDVD
PowerProducer
QuickTime
RocketDock 1.3.5
Sacred Underworld
Sicherheitsupdate für Windows Media Encoder (KB954156)
SiSoftware Sandra Lite 2009.SP3c
Skype™ 3.8
Spybot - Search & Destroy
SpyHunter
Spyhunter Compact OS 1.0b
Text-To-Speech-Runtime
TuneUp Utilities 2006
Ulead Photo Explorer 8.6
Ulead PhotoImpact 11
USB Disk Win98 Driver
VIA Platform Device Manager
VIA Rhine-Family Fast Ethernet Adapter
VIA Vinyl Audio Codecs Driver Setup Program
VideoLAN VLC media player 0.8.5
VideoSecurity
Viewpoint Media Player
Vista Codec Package
Vista Visual Pack 7.0
VS2005 Redistributable Package
Winamp
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 8
Windows Live Anmelde-Assistent
Windows Live Essentials
Windows Live Sync
Windows Live-Uploadtool
Windows Media Connect
Windows Media Encoder 9-Reihe
Windows Media Player-Hotfix [Weitere Informationen finden Sie in Q828026]
WinRAR

Winterborn · 25.10.2009, 21:25

Achso...und Servicepack 3 lässt sich nicht installieren....ich galub ich hab nichtmal den Servicepack 2...weil es nie geklappt hat.

kira · 25.10.2009, 22:04

hi

1.
Firebird SQL-Server:
unter `Systemsteuerung -->Software -->Ändern/Entfernen...`
Firebird SQL Server - mit MAGIX wird `automatisch` installiert. Falls nicht benötigst, kannst Du bedenkslos deinstallieren
Du hast einen Server mit einer Datenbank (er wird automatisch und ungefragt bei der Installation der Magix-Programme mitinstalliert, aber von den meisten Usern gar nicht benötigt)
Jedes Mal wenn Du das Programm Magix startest, ein Script dafür sorgt, das alle vorhandenen Datensätze der Datenbank werden aufgerufen, die wiederum meisten gar nicht benötigen...

2.
ich würde mal BitTorrent/DNA deinstallieren...
Was ist BitTorrent/DNA

3.
Messenger Plus! Live...

Zitat:

Der *Messenger Plus* enthält einige Komponenten, die deinen Rechner ausspionieren (Trojaner) deshalb wird von diesem Programm abgeraten. Bei der Deinstallation ► *achte aber darauf, ob da etwas beim Deinstallieren mit da steht, wie "Partnerprogramme entfernen"!*
Wenn du unbedingt möchtest (es ist besser ein Spy- und Adware freies Messenger Tool einzusetzen - wie Trillian,kann man in der Basisversion von Trillian die Instant Messenger ICQ, AIM, Yahoo! Messenger, Windows Live Messenger (MSN) und IRC vereinen) oder Miranda ),kannst du nochmal installieren,aber alles genau durchlesen, und Partnerprogrammen,Sponsoren etc musst du abwählen!

Immer die benutzerdefinierte Installation wählen, nicht die Standardinstallation, weil dann oft Sachen mitinstalliert werden, die man nicht braucht oder nicht möchte.

4.
Viewpoint Media Player - auch ohne zum fragen wird mitinstalliert, kann weg falls Du nicht benötigst

5.
Alte Java-Versionen entfernen:
- Lade Dir JavaRa von prm753 herunter
- auf dem Desktop entpacken
- die JavaRa.exe per Doppelklick starten
- wähle "Remove Older Versions" und klicke auf "Yes
- wird ein Log erstellt, kannst Du speichern (posten nicht nötig)
- Installiere die Offline-Version von Java Java Runtime Environment (JRE) 6 Update aktuelle Version ) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url]

6.
Adobe Reader: auch bitte erneuen!

7.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

Installieren und per Doppelklick starten.
Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
"Komplett Scan durchführen" wählen (überall Haken setzen)
wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

8.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

Winterborn · 25.10.2009, 22:17

Danke :-)

Frebird Sql lässt sich nicht löschen und das mit dem java lässt sich auch nicht aktualisieren ebenso wie der Adobereader...

kira · 27.10.2009, 20:27

hi

gibt es Fehlermeldung?

1.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird GMER beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

2.
lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.

schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)

nichts am Pc machen während der Scan läuft!

starte in diesem Ordner fsbl.exe
klicke auf "I accept the agreement" → "next" → "Scan"
wenn der Scan beendet ist, wähle Close.
der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.

Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

3.
Punkt 7. - Malwarebytes bitte weiter-> http://www.trojaner-board.de/78814-v...tml#post475979

4.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Virtumonde und Smitfraud-c

Plagegeister aller Art und deren Bekämpfung: Virtumonde und Smitfraud-c