trojaner - backdoor -- 'TR/Spy.123392' / 'BDS/Bredavi.aq

iguana · 16.11.2009, 21:35

hallo
hoffe es kann jemand helfen !??
vor kurzem haben wir uns einen trojaner/backdoorvirus eingefangen -
und zwar müsste es entweder
- 'BDS/Bredavi.aql.3' backdoor

UND/ODER

- 'TR/Spy.123392' trojaner

sein !!!

der pc war definitiv infiziert - u.a. funktionierte der browser nicht mehr...

nutze den pc selbst sehr selten , nur die verwandschaft
- problem ist das dieser trojaner oder das backdoor virus es geschafft hat auf ein konto zuzugreifen !!
habe nun einige virenscanner etc. durchlaufen lassen und glaube er ist soweit sauber.

poste den hijack log hier - hoffe jemand mit mehr ahnung als ich , schaut es sich einmal an !!! und hilft mir weiter !!

vielen dank im vorraus

--------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:09:35, on 16.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\ESET\ESET Smart Security\ekrn.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\ESET\ESET Smart Security\egui.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;*.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Append to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET Smart Security\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7172 bytes

---------------------------------------------------------------------

virenprogramm ist eigentlich avira antivire ( zur zeit eset nod 32 )
avira hatte folgendes gefunden

11.11.2009 - 16.27 uhr

In der Datei 'C:\System Volume Information\_restore{859DA159-5D93-466B-A9DA-B0E434CB8043}\RP127\A0101042.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.123392' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

------------------------------------------------------------------------
12.11.2009 - 15.03 uhr

In der Datei 'C:\WINDOWS\system32\bjor.lio'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bredavi.aql.3' [backdoor] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

---------------------------------------------------------------------------

das sind die zurzeit installierten programme falls es von bedeutung ist

Add or Remove Adobe Creative Suite 3 Master Collection
Adobe Encore DVD 2.0
Adobe Flash Player 9 ActiveX
Adobe Flash Player 9 Plugin
Adobe Photoshop Elements
Adobe Premiere Pro 2.0
Adobe Reader 9.1 - Deutsch
Ahead Nero Burning ROM
Ahead NeroMediaPlayer
Ahead NeroVision Express
Avira AntiVir Personal - Free Antivirus
AVM FRITZ!DSL
AVM FRITZ!WLAN
CCleaner (remove only)
DVD Audio Extractor 3.5.1
FLV Player 2.0 (build 25)
HijackThis 2.0.2
HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series
HP Speicher-Disc
ICQ6.5
iTunes
Java(TM) 6 Update 15
Malwarebytes' Anti-Malware
Medion Flash XL
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Office XP Professional mit FrontPage
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.5.5)
MSXML 4.0 SP2 (KB954430)
NVIDIA Drivers
NVIDIA ForceWare Network Access Manager
OpenOffice.org 3.1
Panda ActiveScan 2.0
Phase 5 HTML-Editor
RealPlayer
Realtek High Definition Audio Driver
Revo Uninstaller 1.80
RunAlyzer
SUPER © Version 2008.bld.33 (Sep 2, 2008)
TeamViewer 4
VideoLAN VLC media player 0.8.6a
Windows Media Format 11 runtime
Windows Media Player 11
WinRAR archiver
Yu-Gi-Oh! Power of Chaos YUGI THE DESTINY

hoffe es kann jemand helfen und festellen ob noch mehr verseucht ist !!

mfg

cosinus · 17.11.2009, 14:52

Hallo und

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

iguana · 17.11.2009, 17:03

moin lop S&D: EXE WURDE AUSGEFÜHRT

- hier ist der scanbericht

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3000+ )
BIOS : Default System BIOS
USER : Schnuddel Buddel ( Administrator )
BOOT : Normal boot
Antivirus : ESET Smart Security 3.0 3.0 (Not Activated)
Firewall : ActiveArmor Firewall 1.0 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:48 Go (Free:14 Go)
D:\ (CD or DVD)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (Local Disk) - NTFS - Total:100 Go (Free:44 Go)
J:\ (USB) - FAT32 - Total:244 Mo (Free:0 Go)
K:\ (CD or DVD) - CDFS - Total:4 Go (Free:0 Go)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 17.11.2009|16:54 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[03.08.2009|13:34] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{55A29068-F2CE-456C-9148-C869879E2357}
[02.08.2009|19:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[12.06.2009|09:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[02.08.2009|19:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
[16.11.2009|21:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ESET
[20.01.2007|17:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet
[10.08.2009|18:45] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Innovative Solutions
[15.11.2009|17:17] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[28.07.2009|14:08] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[06.05.2009|15:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Miracle
[03.08.2009|14:47] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NOS
[16.11.2009|19:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
[16.11.2009|20:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
[03.08.2009|13:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
[06.05.2009|15:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[17|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[18.01.2007|19:51] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[15.06.2009|17:26] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[18.01.2007|19:51] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

[06.05.2009|14:06] C:\DOKUME~1\SCHNUD~1\ANWEND~1\Adobe
[03.08.2009|15:03] C:\DOKUME~1\SCHNUD~1\ANWEND~1\Ahead
[02.08.2009|19:31] C:\DOKUME~1\SCHNUD~1\ANWEND~1\Apple Computer
[07.05.2009|14:38] C:\DOKUME~1\SCHNUD~1\ANWEND~1\CD-LabelPrint
[16.11.2009|20:25] C:\DOKUME~1\SCHNUD~1\ANWEND~1\Dev-Cpp
[01.11.2009|11:10] C:\DOKUME~1\SCHNUD~1\ANWEND~1\dvdcss
[16.11.2009|21:02] C:\DOKUME~1\SCHNUD~1\ANWEND~1\ESET
[17.11.2009|13:33] C:\DOKUME~1\SCHNUD~1\ANWEND~1\FRITZ!
[13.05.2009|18:19] C:\DOKUME~1\SCHNUD~1\ANWEND~1\Help
[18.08.2009|18:22] C:\DOKUME~1\SCHNUD~1\ANWEND~1\Hewlett-Packard
[15.08.2009|19:11] C:\DOKUME~1\SCHNUD~1\ANWEND~1\ICQ
[05.05.2009|16:55] C:\DOKUME~1\SCHNUD~1\ANWEND~1\ICQLite
[18.01.2007|19:56] C:\DOKUME~1\SCHNUD~1\ANWEND~1\Identities
[04.08.2009|18:42] C:\DOKUME~1\SCHNUD~1\ANWEND~1\LimeWire
[20.01.2007|17:12] C:\DOKUME~1\SCHNUD~1\ANWEND~1\Macromedia
[15.11.2009|17:17] C:\DOKUME~1\SCHNUD~1\ANWEND~1\Malwarebytes
[03.11.2009|18:15] C:\DOKUME~1\SCHNUD~1\ANWEND~1\Microsoft
[16.11.2009|17:49] C:\DOKUME~1\SCHNUD~1\ANWEND~1\Mozilla
[04.05.2009|19:35] C:\DOKUME~1\SCHNUD~1\ANWEND~1\NeroVision
[26.08.2009|18:51] C:\DOKUME~1\SCHNUD~1\ANWEND~1\OpenOffice.org
[15.06.2009|18:57] C:\DOKUME~1\SCHNUD~1\ANWEND~1\Opera
[15.06.2009|16:04] C:\DOKUME~1\SCHNUD~1\ANWEND~1\Real
[03.08.2009|16:41] C:\DOKUME~1\SCHNUD~1\ANWEND~1\Sun
[05.11.2009|20:26] C:\DOKUME~1\SCHNUD~1\ANWEND~1\TeamViewer
[03.08.2009|13:35] C:\DOKUME~1\SCHNUD~1\ANWEND~1\TuneUp Software
[20.01.2007|15:26] C:\DOKUME~1\SCHNUD~1\ANWEND~1\vlc
[0|Datei(en)] C:\DOKUME~1\SCHNUD~1\ANWEND~1\Bytes
[28|Verzeichnis(se),] C:\DOKUME~1\SCHNUD~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[17.11.2009 16:00][--a------] C:\WINDOWS\tasks\1-Klick-Wartung.job
[28.10.2009 15:53][--a------] C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1251294722.job
[17.11.2009 14:16][--ah-----] C:\WINDOWS\tasks\SA.DAT
[02.04.2003 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[12.06.2009|09:23] C:\Programme\Adobe
[25.06.2009|08:13] C:\Programme\Ahead
[07.05.2009|18:21] C:\Programme\Alcohol Soft
[26.10.2009|17:01] C:\Programme\AVM_update
[26.10.2009|17:02] C:\Programme\avmwlanstick
[03.08.2009|13:35] C:\Programme\CCleaner
[01.11.2009|11:09] C:\Programme\DVD Audio Extractor
[07.05.2009|17:47] C:\Programme\eRightSoft
[16.11.2009|21:00] C:\Programme\ESET
[02.07.2009|08:51] C:\Programme\FLV Player
[26.10.2009|16:55] C:\Programme\FRITZ!DSL
[16.11.2009|19:40] C:\Programme\Gemeinsame Dateien
[16.11.2009|19:42] C:\Programme\Hewlett-Packard
[28.09.2009|15:57] C:\Programme\htmledit
[17.07.2009|17:58] C:\Programme\ICQ6
[17.07.2009|18:01] C:\Programme\ICQ6.5
[06.05.2009|14:12] C:\Programme\ICQLite
[07.05.2009|15:01] C:\Programme\InstallShield Installation Information
[07.05.2009|15:14] C:\Programme\Internet Explorer
[02.08.2009|19:30] C:\Programme\iPod
[02.08.2009|19:31] C:\Programme\iTunes
[24.10.2009|10:25] C:\Programme\KONAMI
[15.11.2009|17:17] C:\Programme\Malwarebytes' Anti-Malware
[07.05.2009|15:16] C:\Programme\Messenger
[18.01.2007|19:52] C:\Programme\microsoft frontpage
[18.01.2007|20:22] C:\Programme\Microsoft Office
[07.05.2009|15:14] C:\Programme\Movie Maker
[17.11.2009|14:18] C:\Programme\Mozilla Firefox
[18.01.2007|19:49] C:\Programme\MSN
[18.01.2007|19:49] C:\Programme\MSN Gaming Zone
[05.05.2009|13:53] C:\Programme\MSXML 4.0
[07.05.2009|15:11] C:\Programme\NetMeeting
[19.01.2007|18:19] C:\Programme\NVIDIA Corporation
[18.01.2007|19:49] C:\Programme\Online Services
[26.08.2009|18:02] C:\Programme\OpenOffice.org 3
[12.08.2009|10:57] C:\Programme\Outlook Express
[16.11.2009|18:02] C:\Programme\Panda Security
[05.10.2009|05:54] C:\Programme\phase5
[20.01.2007|17:11] C:\Programme\Programme (Setups, externe Festplatte)
[20.01.2007|17:19] C:\Programme\Realtek
[06.08.2009|09:41] C:\Programme\Reference Assemblies
[05.11.2009|20:26] C:\Programme\TeamViewer
[16.11.2009|18:47] C:\Programme\Trend Micro
[16.11.2009|21:39] C:\Programme\TuneUp Utilities 2009
[18.01.2007|19:56] C:\Programme\Uninstall Information
[20.01.2007|15:16] C:\Programme\VideoLAN
[06.05.2009|16:47] C:\Programme\VS Revo Group
[16.11.2009|20:14] C:\Programme\Windows Media Connect 2
[07.05.2009|15:11] C:\Programme\Windows Media Player
[07.05.2009|15:11] C:\Programme\Windows NT
[18.01.2007|19:49] C:\Programme\WindowsUpdate
[18.01.2007|20:23] C:\Programme\WinRAR
[18.01.2007|19:52] C:\Programme\xerox
[0|Datei(en)] C:\Programme\Bytes
[55|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[12.06.2009|09:23] C:\Programme\Gemeinsame Dateien\Adobe
[20.01.2007|17:06] C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
[25.06.2009|08:11] C:\Programme\Gemeinsame Dateien\Ahead
[26.08.2009|14:02] C:\Programme\Gemeinsame Dateien\Apple
[26.10.2009|16:55] C:\Programme\Gemeinsame Dateien\AVM
[18.01.2007|20:22] C:\Programme\Gemeinsame Dateien\Designer
[18.01.2007|19:50] C:\Programme\Gemeinsame Dateien\Dienste
[18.08.2009|18:19] C:\Programme\Gemeinsame Dateien\Hewlett-Packard
[19.01.2007|17:26] C:\Programme\Gemeinsame Dateien\InstallShield
[20.01.2007|16:11] C:\Programme\Gemeinsame Dateien\Macrovision Shared
[26.08.2009|18:55] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[18.01.2007|19:50] C:\Programme\Gemeinsame Dateien\MSSoap
[18.01.2007|01:30] C:\Programme\Gemeinsame Dateien\ODBC
[11.05.2009|22:01] C:\Programme\Gemeinsame Dateien\Real
[18.01.2007|01:30] C:\Programme\Gemeinsame Dateien\SpeechEngines
[07.05.2009|15:11] C:\Programme\Gemeinsame Dateien\System
[11.05.2009|22:01] C:\Programme\Gemeinsame Dateien\xing shared
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[19|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 29 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

C:\DOKUME~1\SCHNUD~1\LOKALE~1\Temp\stadistic.log

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER

--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-17 16:55:10
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen

Kein anderen Infektionen gefunden !

[F:251][D:7]-> C:\DOKUME~1\SCHNUD~1\LOKALE~1\Temp
[F:5][D:0]-> C:\DOKUME~1\SCHNUD~1\Cookies
[F:160][D:4]-> C:\DOKUME~1\SCHNUD~1\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 17.11.2009|16:55 - Option : [1]

--------------------\\ Scan beendet um 16:55:43

sieht gut aus oder ??
eine frage nebenbei - wir benutzen 2 rechner / über fritz box router per wlan -
nun war oder ist der eine verseucht , kann der trojaner/VIRUS auch auf den 2. PC zugreifen ??
auf jedem pc besteht nur das administrator konto !!

vielen dank im vorraus

cosinus · 17.11.2009, 20:48

Zitat:

nun war oder ist der eine verseucht , kann der trojaner/VIRUS auch auf den 2. PC zugreifen ??
auf jedem pc besteht nur das administrator konto !!

Rein theoretisch kann auch der andere PC befallen ist. Wenn dann den aber bitte in einen anderen Strang analysieren sonst wird es zu unübersichtlich hier!
Dass mit dem Nur-Admin-Konto solltest Du unbedingt überdenken, zum alltäglichen Surfen ist das ziemlich riskant ständig mit Adminrechten, ist wie ständig mit einee geladenen Schusswaffe rumzulaufen, irgendwann schießt Du Dir damit in den Fuß...

Bitte nun diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

iguana · 19.11.2009, 15:48

hallo die liste wurde abgearbeitet

hier die logfiles
File-Upload.net - medion----log-files.zip

es sind 4 logfiles --- 1. Logfile of random_s system information tool / 2. Logfile of Trend Micro HijackThis / 3. Lop SD 4.2.50 logfile / 4. malwarebyteslog

was denkst du ?

danke

cosinus · 19.11.2009, 16:02

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

Files to delete:
C:\DOKUME~1\SCHNUD~1\LOKALE~1\Temp\pohci13F.sys

Drivers to delete:
pohci13F

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

iguana · 20.11.2009, 07:32

moin hier ist der bericht

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Fri Nov 20 07:25:48 2009

07:25:48: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Fri Nov 20 07:26:12 2009

07:26:12: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Fri Nov 20 07:26:17 2009

07:26:17: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\DOKUME~1\SCHNUD~1\LOKALE~1\Temp\pohci13F.sys" not found!
Deletion of file "C:\DOKUME~1\SCHNUD~1\LOKALE~1\Temp\pohci13F.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "pohci13F" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

alles gut ??

cosinus · 22.11.2009, 19:07

Mach bitte einen Durchluf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

iguana · 23.11.2009, 11:18

moin - hier der bericht !!!

eine wiederherstellungskonsole ist nicht installiert und updates waren nicht möglich , da die internet verbindung etc. ausgeschaltet war - nach dem neustart von combofix. ( wurde auch nicht verlangt )

das programm hat mehrere ordner unter dem - lokalen datenträger C: - abgelegt ( recycler / qoobox / MSOCache / und ein Arbeitsplatz Symbol namens
cofi ) - kann das gelöscht werden ???

HIER DIE LOG FILE

ComboFix 09-11-22.04 - Schnuddel Buddel 23.11.2009 10:50.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1919.1538 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Schnuddel Buddel\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ActiveArmor Firewall *disabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-10-23 bis 2009-11-23 ))))))))))))))))))))))))))))))
.

2009-11-20 20:07 . 2009-11-20 20:38 -------- d-----w- c:\programme\nLite
2009-11-19 16:32 . 2009-11-19 21:31 -------- d-----w- c:\dokumente und einstellungen\Schnuddel Buddel\Anwendungsdaten\Dev-Cpp
2009-11-19 16:31 . 2009-11-19 16:32 -------- d-----w- C:\Dev-Cpp
2009-11-19 10:35 . 2009-03-30 09:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-11-19 10:35 . 2009-02-13 11:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-11-19 10:35 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-11-19 10:35 . 2009-11-19 10:35 -------- d-----w- c:\programme\Avira
2009-11-19 10:35 . 2009-11-19 10:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-11-18 20:08 . 2009-11-18 20:08 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\ESET
2009-11-16 22:29 . 2009-11-16 22:29 -------- d-----w- c:\dokumente und einstellungen\Schnuddel Buddel\Lokale Einstellungen\Anwendungsdaten\ESET
2009-11-16 20:42 . 2009-11-16 20:42 -------- d-----w- c:\dokumente und einstellungen\Schnuddel Buddel\Lokale Einstellungen\Anwendungsdaten\FRITZ!
2009-11-16 20:39 . 2009-11-16 20:39 603904 ----a-w- c:\windows\system32\TUProgSt.exe
2009-11-16 20:39 . 2008-11-12 15:44 27904 ----a-w- c:\windows\system32\uxtuneup.dll
2009-11-16 20:39 . 2009-11-16 20:39 362240 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2009-11-16 20:38 . 2009-11-16 20:39 -------- d-----w- c:\programme\TuneUp Utilities 2009
2009-11-16 17:47 . 2009-11-16 17:47 -------- d-----w- c:\programme\Trend Micro
2009-11-16 17:04 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-11-16 17:02 . 2009-11-16 17:02 -------- d-----w- c:\programme\Panda Security
2009-11-15 16:17 . 2009-11-15 16:17 -------- d-----w- c:\dokumente und einstellungen\Schnuddel Buddel\Anwendungsdaten\Malwarebytes
2009-11-15 16:17 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-15 16:17 . 2009-11-15 16:17 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-11-15 16:17 . 2009-11-15 16:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-15 16:17 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-12 13:38 . 2009-11-12 13:38 79488 ----a-w- c:\dokumente und einstellungen\Schnuddel Buddel\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-05 19:26 . 2009-11-05 19:26 -------- d-----w- c:\programme\TeamViewer
2009-11-01 10:09 . 2009-11-01 10:09 -------- d-----w- c:\programme\DVD Audio Extractor
2009-10-26 16:01 . 2009-10-26 16:01 -------- d-----w- c:\programme\AVM_update
2009-10-26 15:56 . 2009-11-22 13:46 -------- d-----w- c:\dokumente und einstellungen\Schnuddel Buddel\Anwendungsdaten\FRITZ!
2009-10-26 15:55 . 2003-07-11 15:51 31232 ----a-w- c:\windows\system32\i2errDeu.dll
2009-10-26 15:55 . 2002-01-05 02:37 344064 ----a-w- c:\windows\system32\msvcr70.dll
2009-10-26 15:55 . 2005-11-21 09:41 367104 ----a-w- c:\windows\system32\drivers\Netfwdsl.sys
2009-10-26 15:55 . 2005-11-21 09:41 11264 ----a-w- c:\windows\system32\drivers\NETDSL.SYS
2009-10-26 15:55 . 2005-11-21 09:34 28160 ----a-w- c:\windows\system32\drivers\Aadev.sys
2009-10-26 15:55 . 2002-01-05 03:48 974848 ----a-w- c:\windows\system32\mfc70.dll
2009-10-26 15:55 . 2009-10-26 15:55 -------- d-----w- c:\programme\FRITZ!DSL
2009-10-26 15:55 . 2009-10-26 15:55 -------- d-----w- c:\programme\Gemeinsame Dateien\AVM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-19 06:39 . 2009-08-02 18:31 -------- d-----w- c:\dokumente und einstellungen\Schnuddel Buddel\Anwendungsdaten\Apple Computer
2009-11-17 18:58 . 2009-08-26 17:52 1 ----a-w- c:\dokumente und einstellungen\Schnuddel Buddel\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-11-16 19:14 . 2009-05-06 13:36 -------- d-----w- c:\programme\Windows Media Connect 2
2009-11-16 18:59 . 2009-08-26 13:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-11-16 18:42 . 2009-08-26 13:37 -------- d-----w- c:\programme\Hewlett-Packard
2009-11-01 10:10 . 2009-05-07 17:25 -------- d-----w- c:\dokumente und einstellungen\Schnuddel Buddel\Anwendungsdaten\dvdcss
2009-10-26 16:04 . 2003-04-02 12:00 79910 ----a-w- c:\windows\system32\perfc007.dat
2009-10-26 16:04 . 2003-04-02 12:00 448470 ----a-w- c:\windows\system32\perfh007.dat
2009-10-26 16:02 . 2009-08-02 11:42 -------- d-----w- c:\programme\avmwlanstick
2009-10-24 09:25 . 2009-10-24 08:49 -------- d-----w- c:\programme\KONAMI
2009-10-12 18:10 . 2009-09-17 17:41 1924440 ----a-w- c:\dokumente und einstellungen\Schnuddel Buddel\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe
2009-10-05 04:54 . 2009-09-28 19:05 -------- d-----w- c:\programme\phase5
2009-09-28 19:05 . 2009-09-28 19:05 766 ----a-r- c:\dokumente und einstellungen\Schnuddel Buddel\Anwendungsdaten\Microsoft\Installer\{BCB313A5-1AD0-4829-9D6F-EB41C3CFCD4B}\htmledit.exe
2009-09-28 19:05 . 2009-09-28 19:05 10134 ----a-r- c:\dokumente und einstellungen\Schnuddel Buddel\Anwendungsdaten\Microsoft\Installer\{BCB313A5-1AD0-4829-9D6F-EB41C3CFCD4B}\Foren.exe
2009-09-28 14:57 . 2009-09-28 14:57 -------- d-----w- c:\programme\htmledit
2009-09-25 05:35 . 2003-04-02 12:00 672768 ----a-w- c:\windows\system32\wininet.dll
2009-09-25 05:35 . 2007-01-18 19:30 81920 ------w- c:\windows\system32\ieencode.dll
2009-09-11 14:17 . 2003-04-02 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-04 21:03 . 2003-04-02 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-30 14:13 . 2007-01-18 19:34 231632 ----a-w- c:\dokumente und einstellungen\Schnuddel Buddel\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-26 13:50 . 2009-08-26 13:43 21664 ----a-w- c:\windows\hpoins01.dat
2009-08-26 13:49 . 2009-08-26 13:49 82380 ----a-w- c:\windows\system32\drivers\AFS2K.SYS
2009-08-26 08:00 . 2003-04-02 12:00 247326 ----a-w- c:\windows\system32\strmdll.dll
2006-05-03 09:06 . 2009-05-07 16:47 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-05-07 16:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-05-07 16:47 216064 --sh--r- c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2009-05-07 1904640]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13684736]
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Schnuddel Buddel\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2009-10-26 917504]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.exe.lnk]
backup=c:\windows\pss\Adobe Gamma Loader.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 1000 series.lnk]
backup=c:\windows\pss\hp psc 1000 series.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
backup=c:\windows\pss\hpoddt01.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WG111v2 Smart Wizard Wireless Setting.lnk]
backup=c:\windows\pss\WG111v2 Smart Wizard Wireless Setting.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Schnuddel Buddel^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Schnuddel Buddel^Startmenü^Programme^Autostart^FRITZ!DSL Protect.lnk]
path=c:\dokumente und einstellungen\Schnuddel Buddel\Startmenü\Programme\Autostart\FRITZ!DSL Protect.lnk
backup=c:\windows\pss\FRITZ!DSL Protect.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Schnuddel Buddel^Startmenü^Programme^Autostart^FRITZ!DSL Startcenter.lnk]
path=c:\dokumente und einstellungen\Schnuddel Buddel\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk
backup=c:\windows\pss\FRITZ!DSL Startcenter.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Schnuddel Buddel^Startmenü^Programme^Autostart^OpenOffice.org 1.1.4.lnk]
backup=c:\windows\pss\OpenOffice.org 1.1.4.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Schnuddel Buddel^Startmenü^Programme^Autostart^OpenOffice.org 3.1.lnk]
backup=c:\windows\pss\OpenOffice.org 3.1.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [16.11.2009 18:04 28552]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.11.2009 11:35 108289]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [19.01.2007 17:26 66048]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [16.11.2009 21:39 603904]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [02.08.2009 12:42 265088]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [18.01.2007 20:57 24704]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [07.05.2009 02:01 4352]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\DRIVERS\wg111v2.sys --> c:\windows\system32\DRIVERS\wg111v2.sys [?]
S3 SjyPkt;SjyPkt;\??\c:\windows\System32\Drivers\SjyPkt.sys --> c:\windows\System32\Drivers\SjyPkt.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-11-23 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-13 11:03]

2009-10-28 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1200 series5E771253C1676EBED677BF361FDFC537825E15B8251294722.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = fritz.box;*.local
IE: Append to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Save YouTube Video as MP3
LSP: c:\programme\FRITZ!DSL\sarah.dll
FF - ProfilePath - c:\dokumente und einstellungen\Schnuddel Buddel\Anwendungsdaten\Mozilla\Firefox\Profiles\jbwlx4mj.default\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-23 10:56
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="90EA75E0AB666224C0018D130E1D3B5B4990468EA3E4FA55AA0510611630E76F4DA51979CB556E9B281849A15734AB4E022D4EDC79AE813AB104 C08735F3C0DA8679CE4D7019D9D3A3E977FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A9C6 AECB7A5D1407C038D530D6EB3452FEBC9E127BECC74C1786F8EBD23965FDEFE9C084D662ECEAE093D8D680B57A4EAC86DD1A0483C9E6B52F3FD829B5DCF47787DAAB28B83C6D48C4E0F8D1 760958EC1F11D010615B2200243FD3328DF08E2291AEA3875EB3BB055339EFCBBC8429B8FC488AE864DD59D5601C0DF7BE46036EAFE50F2DCA8A4C522FB0F0751959972876972B7E5895E8 CCC84F3AFAEB124C0BED7F9644988FD89D2DEA32C5C00841844CE61B382AD6EB2D22A5172DDB22A6DFBACB626E89A0E389855D702B8C28864F1E7146EE6B8C457298BEDE75F9D3160569F0 22BF8133AC6CD4D36B06F8E00ABB70489F72D1B519CEB89155AED41BDF48326909BD074FBD521B6C65AA27F034AFAECD1983B8E250A576653E299F7F8EAC31034DE6C690DE783D99A7E2DB A7334825BA2ED89D3D988FA7D6E3A6B11BF066E3DD292A90A8A2D10424FCEB81ECF3D4051A591CA1FBE3D986D714DF059F175E2E71DAEC58DA5A049AA435762238AD59E4CB9BEA0CEE6503 B1ABA1FC38CD5834D807A784B57F9CEA920BA327F018D60CBC057A57447818C22BECDF9F10FDCF378D3C523FE403C5155F99A018422C2B596A4BFD685A8EB7FED9072A5AF09B5AED5D8329 DCC66575435AE608558F2AACDF30FBB217FEBAC6D587BA5DB2E7269A92BAA1F8115D3C0D6D3FDE386073DC1EF432462AD10A1D0A96631EDB252330F691FBB19304D1AD35BD2E3F152EB1A0 879E7AAE777BF2660AC500980A2074E01A8C5E9FD1D0EEF7D793AC1B8828AD663518F60C3468595D139D52E65387D474705A01AE0D88A66A2580A2D87A2A6F3339D2F70AFC637D5CB909B5 9A24315D39AC826674242F0A688FCADB34DD86262165F03329F22B47D0CE2969996EE84E93C5C3F6D9F93CD3EC4FEC89BA2580A15CD14A43BC3A71BFBE6FD28D1928ED89F9758EFC1E749B 5E81DE173FD0C6545628DB69A36D7BDA933BF48DABA9C97116773A8AA851FE2EA8C7FC2A76AB40ABDDD7230FB736620496700496AB2AD29D9FABD58F0DDA8748D8F3ADBD8AD69029F4550C 2EC3E521783E9D00DEDB4FC28AF34ACDAB22738130364EB69B3C313BE1FC9EBE6FF0226C3BA393910A70A2A1C8071AED9F4328E3A3AB332542B1EB47DDF844272D4C617C42053A2770FE80 F6DAEFF6C362AE5D2851C9914664EF11421C93EBF5F6C8708CF7C48A71200299D1B7E7CE201D88C64EDEC36F2EE866F7398B98CD1E11BAEEDF3AE79365575773C34B"
.
Zeit der Fertigstellung: 2009-11-23 10:58
ComboFix-quarantined-files.txt 2009-11-23 09:58

Vor Suchlauf: 7 Verzeichnis(se), 14.715.469.824 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 14.836.711.424 Bytes frei

- - End Of File - - 4D274EC2009F96EFF4CD4FE030DF4111

iguana · 23.11.2009, 11:21

schonmal danke für deine mühe !!!

wie schaut das denn aus ??????????

cosinus · 24.11.2009, 13:18

Wie ist es denn nun um Deinen Rechner bestllt, noch Probleme?

Zur Kontrolle: Überprüfe mal den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

24.11.2009, 13:18	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	trojaner - backdoor -- 'TR/Spy.123392' / 'BDS/Bredavi.aq Wie ist es denn nun um Deinen Rechner bestllt, noch Probleme? Zur Kontrolle: Überprüfe mal den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade. __________________ Logfiles bitte immer in CODE-Tags posten

trojaner - backdoor -- 'TR/Spy.123392' / 'BDS/Bredavi.aq

Log-Analyse und Auswertung: trojaner - backdoor -- 'TR/Spy.123392' / 'BDS/Bredavi.aq