Hallo Leute,

ich habe ein Problem:

es wurde nach Verlauf von Avira ein trojanisches Pferd gefunden 'TR/Buzus.cpoy'

kann mir jemand helfen, wie ich das Troj. Pferd entfernen kann?

Gruß

Zitat:

es wurde nach Verlauf von Avira ein trojanisches Pferd gefunden 'TR/Buzus.cpoy'

Bitte bei Meldungen zu Viren immer die genauen Schädlingsnamen und Pfadangaben notieren und hier posten! Du bist ja schon länger hier und solltest das eigentlich wissen!

Du solltest auch nun diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo Arne,

vielen Dank für die Rückmeldung und Tipps.

CCleaner habe ich genauso wie Malwarebytes Anti-Malware gestern durchgeführt, aber nichts gebracht.

In der Datei 'C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\137.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.cpoy' [trojan] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KFYTJ2YL\Cryptedzzz[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.cpoy' [trojan] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\564.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.cpoy' [trojan] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\783.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.cpoy' [trojan] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\627.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.cpoy' [trojan] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\015.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.cpoy' [trojan] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\593.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.cpoy' [trojan] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CQO07ZZP\Cryptedzzz[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.cpoy' [trojan] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZESOYFYN\Cryptedzzz[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.cpoy' [trojan] gefunden.

P.S. Mein PC ist einfach langsammmmmmm.

Kann man was hier unternehmen?

Anbei Logfiles HijachThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:56:14, on 24.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\vVX1000.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\program files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Ask.com Deutschland - die andere Suchmaschine
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\program files\real\realplayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Google Update Service (gupdate1c9d66681c4570a) (gupdate1c9d66681c4570a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6836 bytes

Danke für die Hilfe.

Gruß
Ah.

Zitat:

CCleaner habe ich genauso wie Malwarebytes Anti-Malware gestern durchgeführt, aber nichts gebracht.

Heißt das, Malwarebytes hat nichts gefunden?
Du hast ein Hijackthis-Log gepostet, was ist jetzt erstmal haben wollte sind die beiden Logs von RSIT (log.txt + info.txt).

Heißt das, Malwarebytes hat nichts gefunden:

Abei Log von Malwarebytes:


Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1970
Windows 5.1.2600 Service Pack 3

24.11.2009 07:00:10
mbam-log-2009-11-24 (07-00-10).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 156151
Laufzeit: 1 hour(s), 24 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Was ist dann zu machen?

Gruß
Ah.

Anbei info.txt:

http://www.file-upload.net/download-2034483/info.txt.html

log.txt:

http://www.file-upload.net/download-2034495/log.txt.html

Bitte teile mir mit, wie ich dann alles nach Hochladen löschen kann.

Gruß

Ah.

Zitat:

Bitte teile mir mit, wie ich dann alles nach Hochladen löschen kann.

Das kann ich Dir nicht sagen, file-upload.net teilt Dir nach dem Upload einen Löschlink mit. Wieso willst Du die Logfiles löschen? Ob die bei file-upload sind oder hier stehen würden, was macht das für einen Unterschied?

F:\ZABORAVI/nikada.exe

Erkennst Du das hier wieder? F: = USB-Stick? Wenn Du die Datei noch hast und Du sie auch nicht kennst, bitte bei Virustotal auswerten lassen und den Ergebnislink posten.

Schon klar

Aber egal... hast du dann was entdeckt?

Gruß

Ah.

Die Datei kenne ich nicht.
Was ist Virustotal? Sorry kenne ich nicht.

Gruß

Ah.

Sorry, ich hätte Virustotal verlinken sollen => VirusTotal - Free Online Virus and Malware Scan

Virustotal habe ich schon gefunden, aber ich weiss nicht, wo F:\ZABORAVI/nikada.exe liegt. Nach dem Durchsuchen habe ich gefunden. Wo kann das liegen? Auf Festplatte?

Sorry, ich bin kein Profi.

Gruß
Ah.

Deswegen fragte ich ja was F: bei Dir ist - ich vermute ein USB-Stick!

leider habe ich nichts, was mit F: anfängt.... Das ist komisch

Vergiss das Laufwerk F. Mach lieber mal einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

SO sieht es aus:

ComboFix 09-11-23.06 - ******* 24.11.2009 20:58.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.447.121 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\*********\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\gkmycaw.dat
c:\dokumente und einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\gkmycaw_nav.dat
c:\dokumente und einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\gkmycaw_navps.dat
c:\dokumente und einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\wwsmgky.dat
c:\dokumente und einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\wwsmgky_nav.dat
c:\dokumente und einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\wwsmgky_navps.dat
c:\recycler\S-1-5-21-1868521635-2528377343-2793992762-1003
c:\recycler\S-1-5-21-3199961890-8550676526-730013521-9740
c:\recycler\S-1-5-21-3199961890-8550676526-730013521-9740\Desktop.ini
c:\recycler\S-1-5-21-3199961890-8550676526-730013521-9740\nissan.exe
c:\recycler\S-1-5-21-5521671444-1882203955-926120014-0503
c:\recycler\S-1-5-21-8273280518-4363272648-291275363-5524
c:\recycler\S-1-5-21-8486791788-3260964406-447943946-0108
c:\windows\system32\pthreadVC.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Legacy_SERVICE


((((((((((((((((((((((( Dateien erstellt von 2009-10-24 bis 2009-11-24 ))))))))))))))))))))))))))))))
.

2009-11-24 18:18 . 2009-11-24 18:18 -------- d-----w- C:\rsit
2009-11-18 20:22 . 2009-11-18 20:22 5562672 ----a-w- c:\dokumente und einstellungen\*******\Anwendungsdaten\TVU networks\AutoUpgrade\TVUPlayer2.4.9.1.exe
2009-11-14 10:20 . 2009-10-16 14:50 2520888 ----a-w- c:\dokumente und einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\xypx4myc.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
2009-11-14 10:20 . 2007-05-17 12:58 143360 ----a-w- c:\dokumente und einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\xypx4myc.default\extensions\firefox@tvunetworks.com\plugins\libexpatw.dll
2009-11-14 10:20 . 2006-10-18 16:32 499712 ----a-w- c:\dokumente und einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\xypx4myc.default\extensions\firefox@tvunetworks.com\plugins\msvcp71.dll
2009-11-14 10:20 . 2006-10-18 16:32 348160 ----a-w- c:\dokumente und einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\xypx4myc.default\extensions\firefox@tvunetworks.com\plugins\msvcr71.dll
2009-11-14 10:20 . 2006-10-16 17:44 196608 ----a-w- c:\dokumente und einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\xypx4myc.default\extensions\firefox@tvunetworks.com\plugins\ssleay32.dll
2009-11-14 10:20 . 2006-10-16 17:44 1028096 ----a-w- c:\dokumente und einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\xypx4myc.default\extensions\firefox@tvunetworks.com\plugins\libeay32.dll
2009-11-14 10:20 . 2008-03-04 17:52 286720 ----a-w- c:\dokumente und einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\xypx4myc.default\extensions\firefox@tvunetworks.com\plugins\zlib1.dll
2009-11-07 21:13 . 2009-11-07 21:13 -------- d-----w- c:\windows\system32\XPSViewer
2009-11-07 21:12 . 2009-11-07 21:12 -------- d-----w- c:\programme\Reference Assemblies
2009-11-07 21:12 . 2009-11-07 21:12 -------- d-----w- C:\32fc2c397154c486bedf68
2009-11-06 19:21 . 2009-11-24 17:37 -------- d-----w- c:\dokumente und einstellungen\*******\Tracing
2009-11-06 19:15 . 2009-11-07 17:52 -------- d-----w- c:\programme\Microsoft Silverlight
2009-11-06 19:14 . 2009-08-05 21:48 54752 ----a-w- c:\windows\system32\drivers\fssfltr_tdi.sys
2009-11-06 18:55 . 2009-11-06 18:55 -------- d-----w- c:\programme\Microsoft SQL Server Compact Edition
2009-11-06 18:52 . 2009-11-06 18:52 -------- d-----w- c:\programme\Microsoft
2009-11-06 18:52 . 2009-11-06 18:52 -------- d-----w- c:\programme\Windows Live SkyDrive
2009-11-06 18:42 . 2009-11-06 18:42 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live
2009-11-01 19:13 . 2009-11-01 19:13 -------- d-----w- c:\dokumente und einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\Temp
2009-10-31 20:41 . 2009-11-02 20:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bluetooth
2009-10-29 20:34 . 2009-10-29 21:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2009-10-29 20:32 . 2009-10-29 20:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-23 19:19 . 2008-10-25 13:26 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-11-18 20:22 . 2003-09-25 19:10 80384 ----a-w- c:\dokumente und einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-14 16:49 . 2008-11-26 20:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-11-09 21:04 . 2003-07-30 14:22 86912 ----a-w- c:\windows\system32\perfc007.dat
2009-11-09 21:04 . 2003-07-30 14:22 464638 ----a-w- c:\windows\system32\perfh007.dat
2009-11-07 21:13 . 2008-11-26 20:41 -------- d-----w- c:\programme\MSBuild
2009-11-06 21:02 . 2003-08-05 09:49 -------- d-----w- c:\programme\Microsoft Works
2009-11-06 19:14 . 2008-12-15 00:56 -------- d-----w- c:\programme\Windows Live
2009-10-31 22:45 . 2003-09-23 16:41 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-10-10 20:01 . 2009-10-10 20:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2009-10-10 20:01 . 2008-12-19 22:13 -------- d-----w- c:\programme\TVUPlayer
2009-09-29 18:02 . 2009-09-29 18:01 5519752 ----a-w- c:\dokumente und einstellungen\*******\Anwendungsdaten\TVU networks\TVU AutoUpgrade\TVUPlayer2.4.7.2.exe
2009-09-27 13:40 . 2003-09-23 16:29 -------- d-----w- c:\programme\Gemeinsame Dateien\Real
2009-09-27 13:40 . 2009-09-27 13:40 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared
2009-09-27 13:40 . 2006-09-13 15:55 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-09-27 13:40 . 2005-03-23 13:07 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-09-27 12:09 . 2009-09-27 12:09 152576 ----a-w- c:\dokumente und einstellungen\*******\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-09-26 12:35 . 2009-09-25 20:14 -------- d-----w- c:\dokumente und einstellungen\*******\Anwendungsdaten\uTorrent
2009-09-26 11:40 . 2006-04-23 10:13 -------- d-----w- c:\programme\Yahoo!
2009-09-26 11:40 . 2006-07-02 20:36 -------- d--h--r- c:\dokumente und einstellungen\*******\Anwendungsdaten\yahoo!
2009-09-26 11:37 . 2008-08-02 14:10 -------- d-----w- c:\programme\Nokia
2009-09-26 09:10 . 2009-09-26 09:10 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-09-11 14:17 . 2003-07-30 14:21 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-06 13:51 . 2009-03-19 13:42 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-04 21:03 . 2003-07-30 14:21 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 07:54 . 2003-07-30 14:22 916480 ----a-w- c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-05-02 4640768]
"VX1000"="c:\windows\vVX1000.exe" [2006-06-29 707376]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-09-27 198160]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HPAiODevice(hp psc 700 series) - 1.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HPAiODevice(hp psc 700 series) - 1.lnk
backup=c:\windows\pss\HPAiODevice(hp psc 700 series) - 1.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 14:42 108289]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [06.11.2009 20:14 54752]
R2 rvsport;RVS Virtual COM Port;c:\windows\system32\drivers\RVSPORT.sys [06.09.2005 17:17 38400]
S2 gupdate1c9d66681c4570a;Google Update Service (gupdate1c9d66681c4570a);c:\programme\Google\Update\GoogleUpdate.exe [16.05.2009 21:40 133104]
S3 fsssvc;Windows Live Family Safety-Dienst;c:\programme\Windows Live\Family Safety\fsssvc.exe [05.08.2009 22:48 704864]
S3 k510bus;Sony Ericsson K510 Driver driver (WDM);c:\windows\system32\drivers\k510bus.sys [29.05.2007 13:50 58288]
S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;c:\windows\system32\drivers\k510mdfl.sys [29.05.2007 14:05 8336]
S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;c:\windows\system32\drivers\k510mdm.sys [29.05.2007 14:05 94064]
S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\k510mgmt.sys [29.05.2007 13:53 85408]
S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;c:\windows\system32\drivers\k510obex.sys [29.05.2007 13:52 83344]
S3 ulisa;Telekom Eumex 504PC USB;c:\windows\system32\DRIVERS\ulisa.sys --> c:\windows\system32\DRIVERS\ulisa.sys [?]
S3 ZD1211U(Sitecom);Sitecom Wireless Network USB Adapter Driver(Sitecom);c:\windows\system32\drivers\ZD1211U.sys [24.05.2007 19:29 233472]
.
Inhalt des "geplante Tasks" Ordners

2009-11-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-16 20:39]

2009-11-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-16 20:39]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mWindow Title = Microsoft Internet Explorer
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\xypx4myc.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage -
FF - prefs.js: keyword.URL -
FF - component: c:\program files\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\dokumente und einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\xypx4myc.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\real\realplayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\real\realplayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\program files\real\realplayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-Wizard - (no file)
AddRemove-NVIDIA Audio Driver - c:\windows\System32\nvuAudio.exe Uninstall
AddRemove-NVIDIA Gart Driver - c:\windows\System32\nvugart.exe Uninstall
AddRemove-RealPlayer 12.0 - c:\programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|12.0



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-24 21:13
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3596)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\nvsvc32.exe
c:\windows\System32\HPZipm12.exe
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-11-24 21:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-11-24 20:21

Vor Suchlauf: 29 Verzeichnis(se), 50.178.117.632 Bytes frei
Nach Suchlauf: 35 Verzeichnis(se), 52.092.841.984 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - 857A794BB62E59492B983305BA34E352