|
Plagegeister aller Art und deren Bekämpfung: Mein Internetzugang wird missbraucht, Trojaner Vundo.HWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.12.2009, 12:17 | #1 |
| Mein Internetzugang wird missbraucht, Trojaner Vundo.H Hallo zusammen, bitte kann mir hier jemand helfen? Vorneweg muss ich noch zugeben, dass ich mit mit dem PC nicht so gut auskenne. Ich habe von meinem Provider ein Email bekommen, dass mein Internetzugang missbraucht würde. Ich hab mich mit einem Anruf bei denen noch versichert, dass das Email kein Fake war. Meine Daten: XP Home Edition Service Pack 3 AMD Sempron Prozessor 3300+ 2,01 GHz, 512 MB RAM Windows-Firewall ist aktiv Virenschutz ist Avira (seit ein paar Tagen, vorher AVG) Avira hat mir einen Trojaner gemeldet: TR Crypt ZPAK.Gen Folgendes hab ich bereits gemacht: CC Cleaner ausgeführt. Am Ende bleibt ein Fehler bestehen, auch nach dem 20. Versuch. Malwarebytes Scan ausführt: Malwarebytes' Anti-Malware 1.42 Datenbank Version: 3450 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 30.12.2009 10:52:53 mbam-log-2009-12-30 (10-52-48).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 336173 Laufzeit: 2 hour(s), 8 minute(s), 13 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 2 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 50 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\dllupnic.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\botasms.dll (Trojan.Vundo.H) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{cd3efbd9-d2d8-4edd-9236-c424916aa72c} (Trojan.Vundo.H) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{c13ee24c-6411-4236-9810-75002a72b2f6} (Trojan.Vundo.H) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\resakctl (Trojan.Vundo.H) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\winuravi.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\dllupnic.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\botasms.dll (Trojan.Vundo.H) -> No action taken. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp (Trojan.Vundo.H) -> No action taken. C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\FA.tmp (Rootkit.MBR) -> No action taken. C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\FC.tmp (Rootkit.MBR) -> No action taken. C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BCPCRHT2\eHf7fb35f9V03f01530002Rc412a4cd102Tbcd9bb66Q000002fc901807F002f0009J03000501l0007K1debf9d5316P000001070[1] (Rootkit.MBR) -> No action taken. C:\Dokumente und Einstellungen\HelpAssistant.***\Lokale Einstellungen\Temp\gYri.dll (Rootkit.MBR) -> No action taken. C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat (Trojan.Vundo.H) -> No action taken. C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG (Trojan.Vundo.H) -> No action taken. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat (Trojan.Vundo.H) -> No action taken. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG (Trojan.Vundo.H) -> No action taken. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat (Trojan.Vundo.H) -> No action taken. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG (Trojan.Vundo.H) -> No action taken. C:\System Volume Information\_restore{2ABBAC0F-C363-4FD0-B221-CABF91D6AD5A}\RP703\A0374285.dll (Rootkit.MBR) -> No action taken. C:\System Volume Information\_restore{2ABBAC0F-C363-4FD0-B221-CABF91D6AD5A}\RP704\A0376332.dll (Rootkit.MBR) -> No action taken. C:\System Volume Information\_restore{2ABBAC0F-C363-4FD0-B221-CABF91D6AD5A}\RP707\A0377359.dll (Rootkit.MBR) -> No action taken. C:\System Volume Information\_restore{2ABBAC0F-C363-4FD0-B221-CABF91D6AD5A}\RP708\A0378055.dll (Rootkit.MBR) -> No action taken. C:\WINDOWS\system32\dskefsap.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\dotodipx.exe (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\drvexdlg.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\disipsap32.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\CatRoot2\edb.log (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\CatRoot2\tmp.edb (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\0FED88DDDE898FF6257A764221025347532B8DEE.dpu (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\11E79C8330C0B05872D5B7E47E8E141F5B875084.dpu (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\581E4C1A221E9F5785774C1B12FCF621CD592F1C.dpu (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\6103F775923ED708F1A0D165AB302A95D9248A40.dpu (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\191BEF85364C2CD1674CBEF3071DE183BD081F64.dpu (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\2522A4F3AE0FC085AF8AF3FD7F4E7A3DBD17D469.dpu (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\2DC3DA976E3A646A41074CC86DDB1DBBD30C59A5.dpu (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\4A9A8BA6FA62317D1F386128BC0507F224362C7F.dpu (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\75D9211D2E738E78745E8A6D54392E9C41D068D9.dpu (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\7E718082A7BB8C1E9F41655F54D77BA30D13AB08.dpu (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\9A06296B83A767FB74CCB436C15F2FA0F498A68F.dpu (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\A2C5527C566401C11F81137A74B8C7D90E394B5B.dpu (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\DE3EB6F90BDC3E179EFE6D40D05AD4FEF1E500A0.dpu (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\EAA8C16167B9F00ACA6D58DA14A3D39AED881AA9.dpu (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\EB916687A1BADD0B79E836CF39174AD9BCB8F61E.dpu (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\FF8BB59F3EBD28008577111EF475F38367D18F3D.dp0 (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\FF8BB59F3EBD28008577111EF475F38367D18F3D.dpu (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\serudset\macatvoc.ocx (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\config\DEFAULT.LOG (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\config\SAM.LOG (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\config\SECURITY.LOG (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\config\SOFTWARE.LOG (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\config\system.LOG (Trojan.Vundo.H) -> No action taken. C:\Programme\Gemeinsame Dateien\System\ado1.dll (Trojan.BHO) -> No action taken. C:\WINDOWS\Fonts\acrsecB.fon (Trojan.Agent) -> No action taken. C:\WINDOWS\Fonts\acrsecI.fon (Trojan.Agent) -> No action taken. Beim Entfernen der Trojaner bleibt "Malwarebytes" aber hängen, im Task Manager "keine Rückmeldung". RSIT: Log.txt Logfile of random's system information tool 1.06 (written by random/random) Run by *** at 2009-12-30 12:07:10 Microsoft Windows XP Home Edition Service Pack 3 System drive C: has 12 GB (16%) free of 79 GB Total RAM: 511 MB (25% free) Logfile of Trend Micro "HijackThis= v2.0.2 Scan saved at 12:07:24, on 30.12.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\svchospt.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Creative\Shared Files\CTDevSrv.exe C:\Programme\Creative\Creative Media Lite\CTZDetec.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\FRITZ!DSL\StCenter.EXE C:\WINDOWS\system32\svchosptd.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe C:\Programme\Trend Micro\HijackThis\***.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/skins/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_h**p://www.google.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;*.local R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\programme\real\realplayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - (no file) O3 - Toolbar: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - (no file) O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [tvjbmonitor] C:\Programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [svchospt] C:\WINDOWS\system32\svchospt.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKCU\..\Run: [CTZDetec.exe] C:\Programme\Creative\Creative Media Lite\CTZDetec.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O8 - Extra context menu item: &Search - h**p://kp.bar.need2find.com/KP/menusearch.html?p=KP O8 - Extra context menu item: In 1&&1 SoftPhone wählen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.google.de O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - h**p://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://ccfiles.creative.com/Web/softwareupdate/su/ocx/15106/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{54F199B4-92E1-44F7-8451-12E9D36F5554}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{A0DF301E-A14F-46F6-ACF4-6496DC953089}: NameServer = 192.168.120.252,192.168.120.253 O20 - AppInit_DLLs: O21 - SSODL: Extobv32 - {49DE58F3-692A-4A4B-B34D-0B724CF0A09C} - (no file) O21 - SSODL: Dskedbin - {55E9BF84-9426-434B-8353-717C99B581A8} - (no file) O21 - SSODL: Ntedaud - {1349D3C2-361F-46A8-B444-CB3C8ADA1C8A} - (no file) O21 - SSODL: Resakctl - {C13EE24C-6411-4236-9810-75002A72B2F6} - C:\WINDOWS\system32\botasms.dll O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTDevSrv.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 8450 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\AppleSoftwareUpdate.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}] RealPlayer Download and Record Plugin for Internet Explorer - c:\programme\real\realplayer\rpbrowserrecordplugin.dll [2009-10-19 329312] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C451C08A-EC37-45DF-AAAD-18B51AB5E837}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} {855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2009-10-27 1014520] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-02-13 7557120] "nwiz"=nwiz.exe /install [] "CloneCDTray"=C:\Programme\SlySoft\CloneCD\CloneCDTray.exe [2006-09-28 57344] "NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2006-01-12 155648] "NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2006-02-13 86016] "tvjbmonitor"=C:\Programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe [2006-12-26 53248] "AppleSyncNotifier"=C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe [2009-08-13 177440] "svchospt"=C:\WINDOWS\system32\svchospt.exe [2009-02-08 946176] "QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-09-05 417792] "TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-10-19 198160] "iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-10-28 141600] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe [2006-04-21 94208] "AnyDVD"=C:\Programme\SlySoft\AnyDVD\AnyDVD.exe [2007-07-02 1364168] "CTZDetec.exe"=C:\Programme\Creative\Creative Media Lite\CTZDetec.exe [2007-12-18 401408] C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLS"=" " [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] Extobv32 - {49DE58F3-692A-4A4B-B34D-0B724CF0A09C} Dskedbin - {55E9BF84-9426-434B-8353-717C99B581A8} Ntedaud - {1349D3C2-361F-46A8-B444-CB3C8ADA1C8A} Resakctl - {C13EE24C-6411-4236-9810-75002A72B2F6} - C:\WINDOWS\system32\botasms.dll [2009-03-21 823296] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Grisoft\AVG Free\avginet.exe"="C:\Programme\Grisoft\AVG Free\avginet.exe:*:Enabled:avginet.exe" "C:\Programme\LimeWire\LimeWire.exe"="C:\Programme\LimeWire\LimeWire.exe:*:Enabled:LimeWire" "C:\Programme\FRITZ!DSL\IGDCTRL.EXE"="C:\Programme\FRITZ!DSL\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe" "C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe"="C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe:*:Enabled:VoipStunt" "C:\Programme\Grisoft\AVG Free\avgamsvr.exe"="C:\Programme\Grisoft\AVG Free\avgamsvr.exe:*:Enabled:avgamsvr.exe" "C:\Programme\Grisoft\AVG Free\avgcc.exe"="C:\Programme\Grisoft\AVG Free\avgcc.exe:*:Enabled:avgcc.exe" "C:\Dokumente und Einstellungen\***\Desktop\incredimail_install.exe"="C:\Dokumente und Einstellungen\***\Desktop\incredimail_install.exe:*:Enabled:IncrediMail Installer" "C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger" "C:\Programme\AVG\AVG8\avgemc.exe"="C:\Programme\AVG\AVG8\avgemc.exe:*:Enabled:avgemc.exe" "C:\Programme\AVG\AVG8\avgupd.exe"="C:\Programme\AVG\AVG8\avgupd.exe:*:Enabled:avgupd.exe" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6" "C:\Programme\FRITZ!DSL\FBOXUPD.EXE"="C:\Programme\FRITZ!DSL\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update" "C:\Programme\ElsterFormular\2008-2009\elfoStarter2008.exe"="C:\Programme\ElsterFormular\2008-2009\elfoStarter2008.exe:*:Enabled:ElsterFormular 2008-2009" "C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes" "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe"="C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe:*:Enabled:Google Chrome" "C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Mozilla Firefox" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a1ae49c4-4d77-11db-bfe3-00138f7d9bc0}] shell\AutoRun\command - E:\preinst.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b7a01306-7d1d-11de-a08a-00150ccdf1ab}] shell\AutoRun\command - F:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f70d71e1-4ad8-11de-a028-00150ccdf1ab}] shell\AutoRun\command - E:\LaunchU3.exe -a ======List of files/folders created in the last 1 months====== 2009-12-30 12:07:10 ----D---- C:\rsit 2009-12-30 11:19:24 ----D---- C:\Programme\Trend Micro 2009-12-30 11:10:23 ----A---- C:\WINDOWS\system32\appebmon.dll 2009-12-29 20:45:17 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2009-12-29 20:45:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-12-29 20:45:08 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-12-29 20:25:22 ----D---- C:\Programme\CCleaner 2009-12-26 18:16:48 ----D---- C:\Programme\RegCleaner 2009-12-24 23:37:42 ----A---- C:\WINDOWS\system32\winuravi.dll 2009-12-23 12:50:04 ----HD---- C:\$AVG 2009-12-23 12:46:48 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg9 2009-12-23 12:46:20 ----D---- C:\WINDOWS\SxsCaPendDel 2009-12-23 09:43:51 ----D---- C:\Programme\Avira 2009-12-23 09:43:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2009-12-21 21:37:30 ----D---- C:\Programme\HD Tune 2009-12-13 08:49:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google 2009-12-13 08:40:21 ----A---- C:\WINDOWS\wininit.ini 2009-12-13 07:51:56 ----D---- C:\Programme\File Scanner Library (Spybot - Search & Destroy) 2009-12-13 07:42:30 ----D---- C:\WINDOWS\pss 2009-12-12 19:18:58 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Uniblue 2009-12-09 18:21:16 ----HDC---- C:\WINDOWS\$NtUninstallKB970430$ 2009-12-09 18:21:08 ----HDC---- C:\WINDOWS\$NtUninstallKB974318$ 2009-12-09 18:20:56 ----HDC---- C:\WINDOWS\$NtUninstallKB976325$ 2009-12-09 18:20:43 ----HDC---- C:\WINDOWS\$NtUninstallKB973904$ 2009-12-09 18:20:35 ----HDC---- C:\WINDOWS\$NtUninstallKB974392$ 2009-12-09 18:20:24 ----HDC---- C:\WINDOWS\$NtUninstallKB971737$ ======List of files/folders modified in the last 1 months====== 2009-12-30 12:07:18 ----D---- C:\WINDOWS\Prefetch 2009-12-30 12:06:44 ----D---- C:\Programme\StarOffice7 2009-12-30 11:40:44 ----D---- C:\WINDOWS\Temp 2009-12-30 11:25:57 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FRITZ! 2009-12-30 11:19:24 ----RD---- C:\Programme 2009-12-30 11:11:30 ----D---- C:\WINDOWS\system32\CatRoot2 2009-12-30 11:10:50 ----D---- C:\WINDOWS\system32 2009-12-30 11:04:35 ----D---- C:\Programme\Mozilla Firefox 2009-12-30 08:08:22 ----D---- C:\WINDOWS 2009-12-30 02:54:47 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-12-29 20:45:12 ----D---- C:\WINDOWS\system32\drivers 2009-12-29 20:27:49 ----D---- C:\WINDOWS\Debug 2009-12-29 20:27:47 ----D---- C:\WINDOWS\Minidump 2009-12-29 16:21:57 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ 2009-12-29 14:39:11 ----D---- C:\Programme\ICQ6.5 2009-12-27 02:09:19 ----A---- C:\WINDOWS\cdplayer.ini 2009-12-26 18:04:54 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-12-26 09:46:56 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer 2009-12-24 19:06:27 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2009-12-23 15:41:16 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft 2009-12-23 12:46:52 ----D---- C:\Programme\AVG 2009-12-23 12:46:34 ----SHD---- C:\WINDOWS\Installer 2009-12-23 12:46:32 ----D---- C:\WINDOWS\WinSxS 2009-12-23 09:44:15 ----HD---- C:\WINDOWS\inf 2009-12-21 21:33:48 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\U3 2009-12-13 14:27:26 ----D---- C:\WINDOWS\system32\3ditcab 2009-12-13 08:49:10 ----D---- C:\Programme\Google 2009-12-13 08:49:08 ----SD---- C:\WINDOWS\Tasks 2009-12-13 08:47:42 ----D---- C:\Programme\Heureka 2009-12-12 21:52:47 ----A---- C:\WINDOWS\NeroDigital.ini 2009-12-12 19:39:48 ----D---- C:\Programme\DivX 2009-12-12 16:59:11 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-12-12 16:45:58 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-12-12 16:25:45 ----D---- C:\Dokumente und Einstellungen 2009-12-12 16:17:45 ----D---- C:\WINDOWS\system32\CatRoot 2009-12-12 15:55:43 ----D---- C:\WINDOWS\system32\config 2009-12-12 15:54:57 ----D---- C:\WINDOWS\system32\wbem 2009-12-12 15:54:56 ----D---- C:\WINDOWS\Registration 2009-12-09 18:20:41 ----HD---- C:\WINDOWS\$hf_mig$ 2009-12-01 21:06:19 ----A---- C:\WINDOWS\system32\MRT.exe ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AmdK8;AMD Athlon64 Processor Driver; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2004-10-21 35840] R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2007-02-28 15440] R1 NETDSL;AVM PPP over Ethernet; C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 11264] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-04 12032] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-11-25 56816] R2 EIO;EIO; \??\C:\WINDOWS\system32\drivers\EIO.sys [] R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2008-04-13 88192] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-09-22 3727680] R3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2007-05-20 96328] R3 AVMUNET;AVM FRITZ!Box; C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-04-18 15104] R3 AVMWAN;NDIS WAN CAPI Treiber; C:\WINDOWS\system32\DRIVERS\avmwan.sys [2002-11-14 38608] R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2007-01-14 34760] R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2007-02-16 11984] R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2009-05-18 26600] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 NETFRITZ;AVM FRITZ!web PPP over ISDN; C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [2001-07-24 224768] R3 NETFWDSL;AVM FRITZ!web DSL PPP; C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 367104] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-02-13 3642784] R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2005-07-29 34048] R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2005-07-29 12928] R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152] S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] S3 AF15BDA;AF9015 BDA Filter; C:\WINDOWS\system32\DRIVERS\AF15BDA.sys [2007-03-20 300544] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024] S3 cusbohcn;cusbohcn; \??\C:\DOKUME~1\Yasmin\LOKALE~1\Temp\cusbohcn.sys [] S3 fxusbase;1&1 NetXXL (WinXP/2000); C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2002-11-14 503600] S3 irsir;Microsoft serieller Infrarottreiber; C:\WINDOWS\system32\DRIVERS\irsir.sys [2001-08-17 18688] S3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys [] S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-13 15232] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880] S3 nvmpu401;Service for NVIDIA(R) nForce(TM) MIDI UART; C:\WINDOWS\system32\drivers\nvmpu401.sys [2005-04-13 10240] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136] S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552] S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232] S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2009-08-28 40448] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S3 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Scheduler; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-06-05 144712] R2 avg8wd;AVG Free8 WatchDog; C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2009-08-16 297752] R2 AVM IGD CTRL Service;AVM IGD CTRL Service; C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2005-11-21 81920] R2 *Bonjour Service;Bonjour-Dienst*; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888] R2 Creative Service for CDROM Access;Creative Service for CDROM Access; C:\WINDOWS\system32\CTsvcCDA.exe [1999-12-13 44032] R2 CTDevice_Srv;CT Device Query service; C:\Programme\Creative\Shared Files\CTDevSrv.exe [2007-04-02 61440] R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2009-10-27 246520] R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-02-13 143426] R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-10-28 545568] S2 avg8emc;AVG Free8 E-mail Scanner; C:\PROGRA~1\AVG\AVG8\avgemc.exe [2009-08-16 908056] S3 de_serv;AVM FRITZ!web Routing Service; C:\PROGRAMME\FRITZ!\de_serv.exe [2001-07-24 196665] -----------------EOF----------------- info.txt info.txt logfile of random's system information tool 1.06 2009-12-30 12:07:27 ======Uninstall list====== Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe CCleaner-->"C:\Programme\CCleaner\uninst.exe" HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" ======Hosts File====== 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com ======Security center information====== AV: AVG Anti-Virus Free (disabled) (outdated) AV: AntiVir Desktop ======System event log====== Computer Name: *** Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Kompatibilität für schnelle Benutzerumschaltung" gesendet. Record Number: 911 Source Name: Service Control Manager Time Written: 20091208162352.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: *** Event Code: 35 Message: Der Zeitdienst synchronisiert die Systemzeit mit folgender Zeitquelle: time.windows.com (ntp.m|0x1|192.168.178.20:123->207.46.232.182:123). Record Number: 910 Source Name: W32Time Time Written: 20091208162159.000000+060 Event Type: Informationen User: Computer Name: *** Event Code: 7036 Message: Dienst "Google Update Service (gupdate1ca50d0b3747e3a)" befindet sich jetzt im Status "Beendet". Record Number: 909 Source Name: Service Control Manager Time Written: 20091208162151.000000+060 Event Type: Informationen User: Computer Name: *** Event Code: 7036 Message: Dienst "Computerbrowser" befindet sich jetzt im Status "Beendet". Record Number: 908 Source Name: Service Control Manager Time Written: 20091208162150.000000+060 Event Type: Informationen User: Computer Name: *** Event Code: 7036 Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt". Record Number: 907 Source Name: Service Control Manager Time Written: 20091208162149.000000+060 Event Type: Informationen User: =====Application event log===== Computer Name: *** Event Code: 1 Message: Record Number: 6719 Source Name: Bonjour Service Time Written: 20090210183310.000000+060 Event Type: Informationen User: Computer Name: *** Event Code: 1005 Message: Der Windows Installer hat einen Neustart des Systems initiiert, um die Konfiguration von "iTunes" fortzusetzen bzw. abzuschließen. Record Number: 6718 Source Name: MsiInstaller Time Written: 20090210183046.000000+060 Event Type: Informationen User: ***\*** Computer Name: *** Event Code: 11707 Message: Produkt: iTunes -- Die Installation wurde erfolgreich abgeschlossen. Record Number: 6717 Source Name: MsiInstaller Time Written: 20090210183046.000000+060 Event Type: Informationen User: ***\*** Computer Name: *** Event Code: 0 Message: Record Number: 6716 Source Name: iPod Service Time Written: 20090210183025.000000+060 Event Type: Informationen User: Computer Name: *** Event Code: 1903 Message: Record Number: 6715 Source Name: HHCTRL Time Written: 20090210183023.000000+060 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;"C:\Programme\Zone Labs\ZoneAlarm\MailFrontier";C:\Programme\Gemeinsame Dateien\GTK\2.0\bin;C:\Programme\QuickTime\QTSystem\ "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 28 Stepping 0, AuthenticAMD "PROCESSOR_REVISION"=1c00 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "LANG"=de "CLASSPATH"=.;C:\Programme\Java\jre1.5.0_03\lib\ext\QTJava.zip "QTJAVA"=C:\Programme\Java\jre1.5.0_03\lib\ext\QTJava.zip -----------------EOF----------------- Hijack This: Logfile of Trend Micro *HijackThis* v2.0.2 Scan saved at 11:59:27, on 30.12.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\svchospt.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Creative\Shared Files\CTDevSrv.exe C:\Programme\Creative\Creative Media Lite\CTZDetec.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\FRITZ!DSL\StCenter.EXE C:\WINDOWS\system32\svchosptd.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\explorer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/skins/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_h**p://www.google.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;*.local R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\programme\real\realplayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - (no file) O3 - Toolbar: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - (no file) O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [tvjbmonitor] C:\Programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [svchospt] C:\WINDOWS\system32\svchospt.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKCU\..\Run: [CTZDetec.exe] C:\Programme\Creative\Creative Media Lite\CTZDetec.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O8 - Extra context menu item: &Search - h**tp://kp.bar.need2find.com/KP/menusearch.html?p=KP O8 - Extra context menu item: In 1&&1 SoftPhone wählen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.google.de O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - h**p://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://ccfiles.creative.com/Web/softwareupdate/su/ocx/15106/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{54F199B4-92E1-44F7-8451-12E9D36F5554}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{A0DF301E-A14F-46F6-ACF4-6496DC953089}: NameServer = 192.168.120.252,192.168.120.253 O20 - AppInit_DLLs: O21 - SSODL: Extobv32 - {49DE58F3-692A-4A4B-B34D-0B724CF0A09C} - (no file) O21 - SSODL: Dskedbin - {55E9BF84-9426-434B-8353-717C99B581A8} - (no file) O21 - SSODL: Ntedaud - {1349D3C2-361F-46A8-B444-CB3C8ADA1C8A} - (no file) O21 - SSODL: Resakctl - {C13EE24C-6411-4236-9810-75002A72B2F6} - C:\WINDOWS\system32\botasms.dll O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: *Bonjour-Dienst (Bonjour Service)* - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTDevSrv.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 8064 bytes Vielen Dank schon Mal im Voraus. Ich hoffe, dass ich jetzt alles richtig reingesetzt habe! Grüße Sirri Geändert von Sirri (30.12.2009 um 12:36 Uhr) |
30.12.2009, 13:41 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Mein Internetzugang wird missbraucht, Trojaner Vundo.H Hallo und
__________________Hast Du die Funde mit Malwarebytes entfernen lassen? Lade dir Lop S&D herunter. Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!! Wähle die Sprache deiner Wahl und anschließend die Option 1. Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).
__________________ |
30.12.2009, 14:16 | #3 |
| Mein Internetzugang wird missbraucht, Trojaner Vundo.H Danke für Deine Antwort!
__________________Nein, leider stürzt "Malwarebytes beim Löschen ab! Auf den Link zu Lop S&D komme ich gerade nicht, ich erhalte folgende Meldung: The bandwidth or page view limit for this site has been exceeded and the page cannot be viewed at this time. Once the site is below the limit, it will once again begin serving as normal. Ich werde das später wieder versuchen, oder kann ich mir das auch von woanders laden? |
30.12.2009, 14:24 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Mein Internetzugang wird missbraucht, Trojaner Vundo.H
__________________ Logfiles bitte immer in CODE-Tags posten |
30.12.2009, 14:33 | #5 |
| Mein Internetzugang wird missbraucht, Trojaner Vundo.H Danke!! --------------------\\ Lop S&D 4.2.5-0 XP/Vista Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3 X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3300+ ) BIOS : Default System BIOS USER : *** ( Administrator ) BOOT : Normal boot Antivirus : AntiVir Desktop 9.0.1.32 (Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total:76 Go (Free:12 Go) D:\ (CD or DVD) "C:\Lop SD" ( MAJ : 19-12-2008|23:40 ) Option : [1] ( 30.12.2009|14:25 ) --------------------\\ Ordner Verzeichnis unter ANWEND~1 [13.09.2009|20:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{755AC846-7372-4AC8-8550-C52491DAA8BD} [09.04.2009|17:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} [10.11.2008|19:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185} [05.10.2006|18:41] C:\DOKUME~1\ALLUSE~1\ANWEND~1\1&1 [03.08.2008|21:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe [09.08.2006|11:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead [24.12.2009|19:06] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple [23.08.2008|19:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer [23.12.2009|15:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\avg9 [23.12.2009|09:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira [11.03.2009|20:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Creative [13.07.2007|16:52] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Elaborate Bytes [05.10.2008|09:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ElsterFormular [04.04.2006|01:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FRITZ! [13.12.2009|08:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google [20.11.2009|18:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ICQ [13.02.2009|13:55] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MailFrontier [29.12.2009|20:45] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes [05.04.2006|18:47] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft [14.10.2006|06:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NVIDIA [28.10.2006|13:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles [05.04.2006|16:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\QuickTime [19.10.2009|16:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Real [02.07.2007|17:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SlySoft [26.12.2009|18:04] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy [10.10.2006|17:58] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes [28|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei [31.03.2006|12:53] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Identities [31.03.2006|12:49] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes [4|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei [11.12.2009|19:58] C:\DOKUME~1\HELPAS~1\ANWEND~1\1&1 [12.12.2009|15:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\Adobe [11.12.2009|19:58] C:\DOKUME~1\HELPAS~1\ANWEND~1\AdobeUM [11.12.2009|19:58] C:\DOKUME~1\HELPAS~1\ANWEND~1\Ahead [12.12.2009|15:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\Apple Computer [11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\Creative [11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\Elaborate Bytes [12.12.2009|15:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\FRITZ! [11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\Google [11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\gtk-2.0 [11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\Help [12.12.2009|15:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\ICQ [11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\InterVideo [11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\Kazaa Lite [11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\Leadertech [11.12.2009|19:59] C:\DOKUME~1\HELPAS~1\ANWEND~1\Macromedia [12.12.2009|15:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\Microsoft [12.12.2009|15:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\Mozilla [12.12.2009|15:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\Real [11.12.2009|20:00] C:\DOKUME~1\HELPAS~1\ANWEND~1\Sibelius Software [11.12.2009|20:00] C:\DOKUME~1\HELPAS~1\ANWEND~1\SlySoft [11.12.2009|20:00] C:\DOKUME~1\HELPAS~1\ANWEND~1\Sun [11.12.2009|20:00] C:\DOKUME~1\HELPAS~1\ANWEND~1\Talkback [12.12.2009|15:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\vlc [0|Datei(en)] C:\DOKUME~1\HELPAS~1\ANWEND~1\Bytes [26|Verzeichnis(se),] C:\DOKUME~1\HELPAS~1\ANWEND~1\Bytes frei [12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\1&1 [12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Adobe [12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\AdobeUM [20.12.2009|11:07] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Ahead [26.12.2009|10:02] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Apple Computer [12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Creative [20.12.2009|11:07] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Disney Interactive [12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\DivX [12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\dvdcss [12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Elaborate Bytes [30.12.2009|11:13] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\FRITZ! [12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Google [12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\gtk-2.0 [12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Help [29.12.2009|18:39] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\ICQ [31.03.2006|12:53] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Identities [12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\InterVideo [12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Kazaa Lite [12.12.2009|16:26] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Leadertech [12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Macromedia [21.12.2009|16:36] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\MailFrontier [30.12.2009|07:42] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Malwarebytes [13.12.2009|19:13] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Microsoft [12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Mozilla [12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\MP3toiPodAudioBookConverter [12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\MyTraveler [12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Real [12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Sibelius Software [12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\SlySoft [12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Sun [12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Talkback [12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\TravelerSafe+ [12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\U3 [13.12.2009|06:56] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Uniblue [12.12.2009|16:27] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\vlc [21.12.2009|16:38] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\VoipStunt [0|Datei(en)] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Bytes [38|Verzeichnis(se),] C:\DOKUME~1\HELPAS~1.***\ANWEND~1\Bytes frei [29.12.2009|20:03] C:\DOKUME~1\LOCALS~1\ANWEND~1\Adobe [23.12.2009|15:41] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes [4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei [08.10.2007|20:14] C:\DOKUME~1\***\ANWEND~1\1&1 [15.05.2006|19:39] C:\DOKUME~1\***\ANWEND~1\Adobe [13.04.2006|21:43] C:\DOKUME~1\***\ANWEND~1\AdobeUM [09.08.2006|10:45] C:\DOKUME~1\***\ANWEND~1\Ahead [30.04.2009|06:47] C:\DOKUME~1\***\ANWEND~1\Apple Computer [27.05.2006|02:57] C:\DOKUME~1\***\ANWEND~1\Elaborate Bytes [23.11.2007|17:12] C:\DOKUME~1\***\ANWEND~1\FRITZ! [14.10.2006|22:30] C:\DOKUME~1\***\ANWEND~1\Google [04.05.2007|18:47] C:\DOKUME~1\***\ANWEND~1\Help [31.03.2006|12:53] C:\DOKUME~1\***\ANWEND~1\Identities [18.05.2006|14:59] C:\DOKUME~1\***\ANWEND~1\InterVideo [15.10.2006|14:12] C:\DOKUME~1\***\ANWEND~1\Kazaa Lite [15.05.2006|19:39] C:\DOKUME~1\***\ANWEND~1\Leadertech [14.04.2006|19:12] C:\DOKUME~1\***\ANWEND~1\Macromedia [16.02.2009|17:25] C:\DOKUME~1\***\ANWEND~1\MailFrontier [23.12.2009|15:41] C:\DOKUME~1\***\ANWEND~1\Microsoft [14.09.2008|23:03] C:\DOKUME~1\***\ANWEND~1\Mozilla [27.12.2009|02:09] C:\DOKUME~1\***\ANWEND~1\Real [31.05.2006|13:06] C:\DOKUME~1\***\ANWEND~1\SlySoft [16.04.2006|02:23] C:\DOKUME~1\***\ANWEND~1\Sun [05.10.2006|17:53] C:\DOKUME~1\***\ANWEND~1\VoipStunt [0|Datei(en)] C:\DOKUME~1\***\ANWEND~1\Bytes [23|Verzeichnis(se),] C:\DOKUME~1\***\ANWEND~1\Bytes frei [04.12.2006|18:00] C:\DOKUME~1\***\ANWEND~1\1&1 [03.09.2009|12:41] C:\DOKUME~1\***\ANWEND~1\Adobe [03.08.2008|20:49] C:\DOKUME~1\***\ANWEND~1\AdobeUM [08.08.2006|21:19] C:\DOKUME~1\***\ANWEND~1\Ahead [26.12.2009|09:46] C:\DOKUME~1\***\ANWEND~1\Apple Computer [05.04.2009|13:13] C:\DOKUME~1\***\ANWEND~1\Creative [05.04.2009|19:26] C:\DOKUME~1\***\ANWEND~1\DivX [18.10.2009|16:48] C:\DOKUME~1\***\ANWEND~1\dvdcss [16.04.2007|18:27] C:\DOKUME~1\***\ANWEND~1\Elaborate Bytes [30.12.2009|13:38] C:\DOKUME~1\***\ANWEND~1\FRITZ! [02.10.2006|19:21] C:\DOKUME~1\***\ANWEND~1\Google [12.10.2009|09:33] C:\DOKUME~1\***\ANWEND~1\gtk-2.0 [06.02.2007|21:50] C:\DOKUME~1\***\ANWEND~1\Help [29.12.2009|16:21] C:\DOKUME~1\***\ANWEND~1\ICQ [31.03.2006|12:53] C:\DOKUME~1\***\ANWEND~1\Identities [14.05.2006|19:49] C:\DOKUME~1\***\ANWEND~1\InterVideo [16.10.2006|20:24] C:\DOKUME~1\***\ANWEND~1\Kazaa Lite [27.07.2006|21:22] C:\DOKUME~1\***\ANWEND~1\Leadertech [02.01.2007|12:02] C:\DOKUME~1\***\ANWEND~1\Macromedia [29.12.2009|20:45] C:\DOKUME~1\***\ANWEND~1\Malwarebytes [23.12.2009|15:41] C:\DOKUME~1\***\ANWEND~1\Microsoft [05.09.2008|21:42] C:\DOKUME~1\***\ANWEND~1\Mozilla [05.04.2009|13:04] C:\DOKUME~1\***\ANWEND~1\MP3toiPodAudioBookConverter [12.01.2007|15:09] C:\DOKUME~1\***\ANWEND~1\MyTraveler [19.10.2009|16:31] C:\DOKUME~1\***\ANWEND~1\Real [23.09.2008|20:15] C:\DOKUME~1\***\ANWEND~1\Sibelius Software [21.03.2007|23:34] C:\DOKUME~1\***\ANWEND~1\SlySoft [06.04.2006|17:11] C:\DOKUME~1\***\ANWEND~1\Sun [04.04.2006|18:36] C:\DOKUME~1\***\ANWEND~1\Talkback [12.01.2007|15:46] C:\DOKUME~1\***\ANWEND~1\TravelerSafe+ [21.12.2009|21:33] C:\DOKUME~1\***\ANWEND~1\U3 [12.12.2009|19:18] C:\DOKUME~1\***\ANWEND~1\Uniblue [09.11.2008|14:18] C:\DOKUME~1\***\ANWEND~1\vlc [04.10.2006|18:27] C:\DOKUME~1\***\ANWEND~1\VoipStunt [0|Datei(en)] C:\DOKUME~1\***\ANWEND~1\Bytes [36|Verzeichnis(se),] C:\DOKUME~1\***\ANWEND~1\Bytes frei [23.12.2009|15:41] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes [3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei [15.10.2006|06:47] C:\DOKUME~1\SIMS2~1\ANWEND~1\FRITZ! [15.10.2006|08:04] C:\DOKUME~1\SIMS2~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\SIMS2~1\ANWEND~1\Bytes [4|Verzeichnis(se),] C:\DOKUME~1\SIMS2~1\ANWEND~1\Bytes frei [17.10.2009|15:49] C:\DOKUME~1\***\ANWEND~1\Adobe [02.06.2006|12:55] C:\DOKUME~1\***\ANWEND~1\Ahead [24.12.2009|19:52] C:\DOKUME~1\***\ANWEND~1\Apple Computer [11.04.2006|15:10] C:\DOKUME~1\***\ANWEND~1\Disney Interactive [31.07.2006|16:41] C:\DOKUME~1\***\ANWEND~1\FRITZ! [04.10.2006|13:50] C:\DOKUME~1\***\ANWEND~1\Google [29.12.2009|16:57] C:\DOKUME~1\***\ANWEND~1\ICQ [31.03.2006|12:53] C:\DOKUME~1\***\ANWEND~1\Identities [26.05.2006|18:24] C:\DOKUME~1\***\ANWEND~1\InterVideo [16.12.2007|17:55] C:\DOKUME~1\***\ANWEND~1\Macromedia [23.12.2009|15:41] C:\DOKUME~1\***\ANWEND~1\Microsoft [04.02.2009|16:07] C:\DOKUME~1\***\ANWEND~1\Mozilla [21.12.2009|16:12] C:\DOKUME~1\***\ANWEND~1\Real [22.03.2007|13:40] C:\DOKUME~1\***\ANWEND~1\SlySoft [10.04.2006|13:34] C:\DOKUME~1\***\ANWEND~1\Sun [26.12.2009|10:03] C:\DOKUME~1\***\ANWEND~1\U3 [0|Datei(en)] C:\DOKUME~1\***\ANWEND~1\Bytes [18|Verzeichnis(se),] C:\DOKUME~1\***\ANWEND~1\Bytes frei --------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks [23.12.2009 16:50][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job [30.12.2009 11:10][--ah-----] C:\WINDOWS\tasks\SA.DAT [04.08.2004 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini --------------------\\ Ordner Verzeichnis unter C:\Programme [05.10.2006|18:41] C:\Programme\1&1 [04.04.2006|01:43] C:\Programme\1&1 Internet [08.04.2006|13:17] C:\Programme\Adobe [26.08.2008|22:26] C:\Programme\Apple Software Update [09.10.2006|19:32] C:\Programme\Ashampoo [13.03.2009|07:34] C:\Programme\Audible [23.12.2009|12:46] C:\Programme\AVG [23.12.2009|09:43] C:\Programme\Avira [15.10.2006|08:04] C:\Programme\AvRack [27.10.2006|19:49] C:\Programme\Billy Blade and the Temple of Time [09.04.2009|17:25] C:\Programme\Bonjour [16.05.2006|15:39] C:\Programme\Cbsinstall [29.12.2009|20:25] C:\Programme\CCleaner [28.01.2007|12:22] C:\Programme\Claudiator [31.03.2006|12:42] C:\Programme\ComPlus Applications [11.03.2009|18:06] C:\Programme\Creative [01.10.2006|16:54] C:\Programme\Disney Interactive [12.12.2009|19:39] C:\Programme\DivX [29.07.2007|11:01] C:\Programme\EA GAMES [14.05.2006|19:39] C:\Programme\Elaborate Bytes [11.10.2009|08:45] C:\Programme\ElsterFormular [25.07.2006|20:46] C:\Programme\ElsterFormular2005 [13.12.2009|07:51] C:\Programme\File Scanner Library (Spybot - Search & Destroy) [06.04.2006|17:57] C:\Programme\FRITZ! [26.09.2006|16:57] C:\Programme\FRITZ!Box [29.10.2006|19:59] C:\Programme\FRITZ!DSL [06.04.2006|17:55] C:\Programme\FRITZ!X [11.10.2009|11:05] C:\Programme\Gemeinsame Dateien [14.05.2007|18:45] C:\Programme\GIMP-2.0 [13.12.2009|08:49] C:\Programme\Google [21.12.2009|21:37] C:\Programme\HD Tune [13.12.2009|08:47] C:\Programme\Heureka [29.12.2009|14:39] C:\Programme\ICQ6.5 [21.11.2009|12:17] C:\Programme\ICQ6Toolbar [11.10.2009|08:45] C:\Programme\InstallShield Installation Information [20.09.2008|17:56] C:\Programme\Internet Explorer [29.05.2006|17:28] C:\Programme\InterVideo [29.05.2006|17:24] C:\Programme\InterVideo Information Service [02.11.2009|09:57] C:\Programme\iPod [02.11.2009|09:58] C:\Programme\iTunes [24.06.2006|00:51] C:\Programme\Java [30.12.2009|10:52] C:\Programme\Malwarebytes' Anti-Malware [04.09.2006|15:45] C:\Programme\Maxis [20.09.2008|18:02] C:\Programme\Messenger [31.03.2006|12:46] C:\Programme\microsoft frontpage [01.02.2008|14:57] C:\Programme\MMEDIA [20.09.2008|17:56] C:\Programme\Movie Maker [30.12.2009|11:04] C:\Programme\Mozilla Firefox [05.04.2009|13:02] C:\Programme\MP3ToIpodAudioBookConverter [31.03.2006|12:41] C:\Programme\MSN [31.03.2006|12:41] C:\Programme\MSN Gaming Zone [14.05.2006|19:45] C:\Programme\MSXML 4.0 [30.05.2006|19:15] C:\Programme\Nero [20.09.2008|17:51] C:\Programme\NetMeeting [31.03.2006|12:42] C:\Programme\Online Services [31.03.2006|12:44] C:\Programme\Online-Dienste [14.08.2009|08:10] C:\Programme\Outlook Express [04.03.2009|18:14] C:\Programme\ParentsFriend8 [24.07.2006|20:11] C:\Programme\PDFCreator [24.07.2006|20:10] C:\Programme\PDFCreator Toolbar [21.08.2008|07:49] C:\Programme\PT Software [13.09.2009|20:02] C:\Programme\QuickTime [04.04.2006|20:38] C:\Programme\Real [15.10.2006|08:04] C:\Programme\Realtek AC97 [15.10.2006|08:04] C:\Programme\Realtek Sound Manager [26.12.2009|18:21] C:\Programme\RegCleaner [02.11.2008|11:00] C:\Programme\Safari [23.09.2008|20:14] C:\Programme\Sibelius Software [02.07.2007|17:22] C:\Programme\SlySoft [30.12.2009|12:21] C:\Programme\StarOffice7 [16.08.2008|14:41] C:\Programme\TablEdit [30.12.2009|11:19] C:\Programme\Trend Micro [31.03.2006|12:53] C:\Programme\Uninstall Information [09.11.2008|14:15] C:\Programme\VideoLAN [20.09.2008|17:57] C:\Programme\Windows Media Player [20.09.2008|17:51] C:\Programme\Windows NT [31.03.2006|12:44] C:\Programme\WindowsUpdate [31.03.2006|12:46] C:\Programme\xerox [04.04.2006|20:00] C:\Programme\Zone Labs [0|Datei(en)] C:\Programme\Bytes [81|Verzeichnis(se),] C:\Programme\Bytes frei --------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien [03.08.2008|21:16] C:\Programme\Gemeinsame Dateien\Adobe [30.05.2006|19:19] C:\Programme\Gemeinsame Dateien\Ahead [02.11.2009|09:57] C:\Programme\Gemeinsame Dateien\Apple [26.09.2006|16:58] C:\Programme\Gemeinsame Dateien\AVM [14.02.2008|20:31] C:\Programme\Gemeinsame Dateien\Blizzard Entertainment [31.03.2006|12:43] C:\Programme\Gemeinsame Dateien\Dienste [14.05.2007|18:28] C:\Programme\Gemeinsame Dateien\GTK [11.04.2006|15:09] C:\Programme\Gemeinsame Dateien\InstallShield [29.05.2006|17:28] C:\Programme\Gemeinsame Dateien\InterVideo [06.04.2006|17:11] C:\Programme\Gemeinsame Dateien\Java [20.07.2008|07:23] C:\Programme\Gemeinsame Dateien\Microsoft Shared [31.03.2006|12:43] C:\Programme\Gemeinsame Dateien\MSSoap [31.03.2006|13:37] C:\Programme\Gemeinsame Dateien\ODBC [19.10.2009|16:32] C:\Programme\Gemeinsame Dateien\Real [31.03.2006|13:37] C:\Programme\Gemeinsame Dateien\SpeechEngines [04.03.2009|18:15] C:\Programme\Gemeinsame Dateien\System [04.04.2006|20:39] C:\Programme\Gemeinsame Dateien\xing shared [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes [19|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei --------------------\\ Process ( 37 Processes ) ... OK ! --------------------\\ Ueberpruefung mit S_Lop Kein Lop Ordner gefunden ! --------------------\\ Suche nach Lop Dateien - Ordnern Kein Lop Ordner gefunden ! --------------------\\ Suche innerhalb der Registry ..... OK ! --------------------\\ Ueberpruefung der Hosts Datei Hosts Datei SAUBER --------------------\\ Suche nach verborgenen Dateien mit Catchme catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-12-30 14:27:03 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden files: 0 --------------------\\ Suche nach anderen Infektionen Kein anderen Infektionen gefunden ! [F:170][D:25]-> C:\DOKUME~1\***\LOKALE~1\Temp [F:2][D:0]-> C:\DOKUME~1\***\Cookies [F:25][D:4]-> C:\DOKUME~1\***\LOKALE~1\TEMPOR~1\content.IE5 1 - "C:\Lop SD\LopR_1.txt" - 30.12.2009|14:28 - Option : [1] --------------------\\ Scan beendet um 14:28:12 |
30.12.2009, 14:41 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Mein Internetzugang wird missbraucht, Trojaner Vundo.H 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. 2.) Bitte mal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter files to delete: C:\WINDOWS\system32\svchospt.exe C:\WINDOWS\system32\svchosptd.exe C:\WINDOWS\system32\appebmon.dll C:\WINDOWS\system32\winuravi.dll C:\DOKUME~1\Yasmin\LOKALE~1\Temp\cusbohcn.sys C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\FA.tmp C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\FC.tmp C:\WINDOWS\system32\dllupnic.dll C:\WINDOWS\system32\botasms.dll C:\Dokumente und Einstellungen\HelpAssistant\Yasmin\Lokale Einstellungen\Temp\gYri.dll C:\Programme\Gemeinsame Dateien\System\ado1.dll C:\WINDOWS\Fonts\acrsecB.fon C:\WINDOWS\Fonts\acrsecI.fon C:\WINDOWS\system32\dskefsap.dll C:\WINDOWS\system32\dotodipx.exe C:\WINDOWS\system32\drvexdlg.dll C:\WINDOWS\system32\disipsap32.dll folders to delete: C:\WINDOWS\system32\serudset drivers to delete: cusbohcn 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei http://file-upload.net hochladen und hier verlinken.
__________________ --> Mein Internetzugang wird missbraucht, Trojaner Vundo.H |
30.12.2009, 15:16 | #7 |
| Mein Internetzugang wird missbraucht, Trojaner Vundo.H 1. Systemwiederherstellung ist deaktiviert. 2. Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\system32\svchospt.exe" deleted successfully. File "C:\WINDOWS\system32\svchosptd.exe" deleted successfully. File "C:\WINDOWS\system32\appebmon.dll" deleted successfully. File "C:\WINDOWS\system32\winuravi.dll" deleted successfully. File "C:\DOKUME~1\***\LOKALE~1\Temp\cusbohcn.sys" deleted successfully. File "C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\FA.tmp" deleted successfully. File "C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\FC.tmp" deleted successfully. File "C:\WINDOWS\system32\dllupnic.dll" deleted successfully. File "C:\WINDOWS\system32\botasms.dll" deleted successfully. Error: could not open file "C:\Dokumente und Einstellungen\HelpAssistant\***\Lokale Einstellungen\Temp\gYri.dll" Deletion of file "C:\Dokumente und Einstellungen\HelpAssistant\***\Lokale Einstellungen\Temp\gYri.dll" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist File "C:\Programme\Gemeinsame Dateien\System\ado1.dll" deleted successfully. File "C:\WINDOWS\Fonts\acrsecB.fon" deleted successfully. File "C:\WINDOWS\Fonts\acrsecI.fon" deleted successfully. File "C:\WINDOWS\system32\dskefsap.dll" deleted successfully. File "C:\WINDOWS\system32\dotodipx.exe" deleted successfully. File "C:\WINDOWS\system32\drvexdlg.dll" deleted successfully. File "C:\WINDOWS\system32\disipsap32.dll" deleted successfully. Folder "C:\WINDOWS\system32\serudset" deleted successfully. Driver "cusbohcn" deleted successfully. Completed script processing. ******************* Finished! Terminate. 3. Die Zip-Datei lade ich gerade auf der von Dir genannten Seite hoch. Das geht aber leider mit der Schneckenpost und dauert laut Anzeige noch über 80 Minuten. Link folgt sobald wie möglich! Danke!! |
30.12.2009, 16:52 | #8 |
| Mein Internetzugang wird missbraucht, Trojaner Vundo.H |
30.12.2009, 20:22 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Mein Internetzugang wird missbraucht, Trojaner Vundo.H Ach Du kacke!! 40 MByte! Kein Wunder, dass das so lange gedauert hat Probier Du bitte in der zwischenzeit einen neuen Durchlauf mit Malwarebytes - voller Scan, aktuelle Signaturen, Funde löschen lassen, Log hier (direkt) posten!
__________________ Logfiles bitte immer in CODE-Tags posten |
30.12.2009, 23:04 | #10 |
| Mein Internetzugang wird missbraucht, Trojaner Vundo.H Ich bin total geplättet, wie schnell mir hier geholfen wird. Vielen Dank dafür! Und sehr happy darüber, dass dieses Mal der Scan UND das Löschen mit 'Malwarebyte funktioniert hat. Code:
ATTFilter Malwarebytes' Anti-Malware 1.42 Datenbank Version: 3450 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 30.12.2009 22:52:52 mbam-log-2009-12-30 (22-52-52).txt Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|) Durchsuchte Objekte: 293283 Laufzeit: 2 hour(s), 11 minute(s), 0 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BCPCRHT2\eHf7fb35f9V03f01530002Rc412a4cd102Tbcd9bb66Q000002fc901807F002f0009J03000501l0007K1debf9d5316P000001070[1] (Rootkit.MBR) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\HelpAssistant.***\Lokale Einstellungen\Temp\gYri.dll (Rootkit.MBR) -> Quarantined and deleted successfully. |
31.12.2009, 09:03 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Mein Internetzugang wird missbraucht, Trojaner Vundo.H Sehr schön, die anderen Objekte, die MBAM vorher fand hat es diesmal nicht mehr Mach bitte einen Durchgang mit CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
31.12.2009, 15:47 | #12 |
| Mein Internetzugang wird missbraucht, Trojaner Vundo.H Ich beginne schon zu hoffen! Hier das Logfile von Combofix Code:
ATTFilter ComboFix 09-12-30.04 - *** 31.12.2009 15:19:48.1.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.265 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: AVG Anti-Virus Free *On-access scanning disabled* (Outdated) {17DDD097-36FF-435F-9E1B-52D74245D6BF} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\Fonts\acrsec.fon . original MBR restored successfully ! . ((((((((((((((((((((((( Dateien erstellt von 2009-11-28 bis 2009-12-31 )))))))))))))))))))))))))))))) . 2009-12-31 10:30 . 2008-04-13 19:45 60032 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys 2009-12-31 10:30 . 2008-04-13 19:45 60032 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys 2009-12-30 13:25 . 2009-12-30 13:28 -------- d-----w- C:\Lop SD 2009-12-30 11:07 . 2009-12-30 11:07 -------- d-----w- C:\rsit 2009-12-30 10:19 . 2009-12-30 10:19 -------- d-----w- c:\programme\Trend Micro 2009-12-29 19:45 . 2009-12-29 19:45 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes 2009-12-29 19:45 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-12-29 19:45 . 2009-12-29 19:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-12-29 19:45 . 2009-12-30 09:52 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-12-29 19:45 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-12-29 19:25 . 2009-12-29 19:25 -------- d-----w- c:\programme\CCleaner 2009-12-26 17:16 . 2009-12-26 17:21 -------- d-----w- c:\programme\RegCleaner 2009-12-26 09:02 . 2009-12-26 09:03 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\U3 2009-12-24 21:54 . 2009-12-24 21:54 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant.***\Shared 2009-12-23 17:35 . 2009-12-29 18:04 -------- d-----w- c:\windows\system32\drivers\avg 2009-12-23 11:50 . 2009-12-23 12:12 -------- d-----w- C:\$AVG 2009-12-23 11:46 . 2009-12-23 14:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9 2009-12-23 11:46 . 2009-12-23 12:12 -------- d-----w- c:\windows\SxsCaPendDel 2009-12-23 08:43 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-12-23 08:43 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-12-23 08:43 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2009-12-23 08:43 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2009-12-23 08:43 . 2009-12-23 08:43 -------- d-----w- c:\programme\Avira 2009-12-23 08:43 . 2009-12-23 08:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-12-21 20:37 . 2009-12-21 20:37 -------- d-----w- c:\programme\HD Tune 2009-12-21 15:43 . 2009-12-21 15:43 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant.***\[ 2009-12-21 15:39 . 2009-12-23 09:24 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant.***\Incomplete 2009-12-21 15:38 . 2009-12-21 15:38 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant.***\ddd 2009-12-13 06:51 . 2009-12-13 06:51 -------- d-----w- c:\programme\File Scanner Library (Spybot - Search & Destroy) 2009-12-12 18:18 . 2009-12-12 18:18 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Uniblue 2009-12-12 15:46 . 2009-12-20 10:12 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant.***\UserData 2009-12-12 15:25 . 2006-03-31 12:36 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant.***\Netzwerkumgebung 2009-12-12 15:25 . 2006-03-31 12:36 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant.***\Lokale Einstellungen 2009-12-12 15:25 . 2006-03-31 12:36 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant.***\Druckumgebung 2009-12-12 15:25 . 2006-03-31 12:36 -------- d-----r- c:\dokumente und einstellungen\HelpAssistant.***\Startmenü 2009-12-12 15:25 . 2009-12-31 13:54 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant.*** 2009-12-12 14:54 . 2009-12-12 14:54 -------- d-----w- c:\windows\system32\wbem\Repository 2009-12-11 19:16 . 2009-12-11 19:16 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\UserData 2009-12-11 19:12 . 2009-12-11 19:12 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\ElsterFormular 2009-12-11 18:58 . 2009-12-11 18:58 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\.thumbnails 2009-12-11 18:58 . 2009-12-11 18:58 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\.limewire 2009-12-11 18:58 . 2009-12-12 14:52 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\.gimp-2.2 2009-12-11 18:57 . 2009-12-12 14:52 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Vorlagen 2009-12-11 18:57 . 2009-12-12 14:52 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Startmenü 2009-12-11 18:57 . 2009-12-12 14:52 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Lokale Einstellungen 2009-12-11 18:57 . 2009-12-12 14:52 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Favoriten 2009-12-11 18:57 . 2009-12-12 14:52 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Eigene Dateien 2009-12-11 18:57 . 2009-12-12 14:52 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Anwendungsdaten 2009-12-11 18:57 . 2009-12-12 14:52 -------- d-s---w- c:\dokumente und einstellungen\HelpAssistant . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-12-31 13:46 . 2006-04-04 00:05 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\FRITZ! 2009-12-31 13:44 . 2009-10-17 14:48 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ 2009-12-30 13:31 . 2006-04-06 16:10 -------- d-----w- c:\programme\StarOffice7 2009-12-29 15:21 . 2009-09-03 11:21 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ 2009-12-29 13:39 . 2009-09-03 11:19 -------- d-----w- c:\programme\ICQ6.5 2009-12-27 18:43 . 2009-12-27 18:11 1924744 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe 2009-12-26 17:04 . 2007-04-03 06:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-12-26 08:46 . 2008-08-23 18:52 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer 2009-12-24 18:52 . 2008-10-01 17:46 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer 2009-12-24 18:24 . 2006-05-26 17:24 36272 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-12-24 18:06 . 2008-08-23 18:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple 2009-12-23 11:46 . 2008-07-20 06:24 -------- d-----w- c:\programme\AVG 2009-12-21 20:33 . 2009-05-27 16:19 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\U3 2009-12-13 07:49 . 2006-10-02 18:20 -------- d-----w- c:\programme\Google 2009-12-13 07:47 . 2006-07-31 10:15 -------- d-----w- c:\programme\Heureka 2009-12-12 18:39 . 2006-04-14 11:05 -------- d-----w- c:\programme\DivX 2009-12-12 15:59 . 2004-08-04 12:00 48360 ----a-w- c:\windows\system32\perfc007.dat 2009-12-12 15:59 . 2004-08-04 12:00 316924 ----a-w- c:\windows\system32\perfh007.dat 2009-11-23 06:38 . 2009-06-27 19:48 14707 ----a-w- c:\windows\system32\keravdat.dll 2009-11-22 09:48 . 2006-04-03 19:11 36272 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-11-21 11:17 . 2009-09-03 11:29 -------- d-----w- c:\programme\ICQ6Toolbar 2009-11-20 17:40 . 2009-09-03 11:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ 2009-11-02 08:58 . 2008-11-02 10:33 -------- d-----w- c:\programme\iTunes 2009-11-02 08:57 . 2009-11-02 08:57 -------- d-----w- c:\programme\iPod 2009-11-02 08:57 . 2008-08-23 18:48 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple 2009-11-02 08:33 . 2009-11-02 08:33 79144 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe 2009-10-29 05:24 . 2004-08-04 12:00 672768 ----a-w- c:\windows\system32\wininet.dll 2009-10-21 05:38 . 2004-08-04 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll 2009-10-21 05:38 . 2004-08-04 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll 2009-10-20 16:20 . 2004-08-04 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys 2009-10-19 15:31 . 2006-04-03 19:11 499712 ----a-w- c:\windows\system32\msvcp71.dll 2009-10-18 14:33 . 2009-10-18 14:33 27904 ---ha-w- c:\windows\system32\mlfcache.dat 2009-10-13 10:32 . 2004-08-04 12:00 271360 ----a-w- c:\windows\system32\oakley.dll 2009-10-12 13:38 . 2004-08-04 12:00 79872 ----a-w- c:\windows\system32\raschap.dll 2009-10-12 13:38 . 2004-08-04 12:00 150528 ----a-w- c:\windows\system32\rastls.dll 2009-09-03 17:37 . 2009-09-03 17:37 10437264 ----a-w- c:\programme\mozilla firefox\plugins\PDFNetC.dll 2009-09-03 17:58 . 2009-09-03 17:58 107760 ----a-w- c:\programme\mozilla firefox\plugins\ScorchPDFWrapper.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-02-13 7557120] "nwiz"="nwiz.exe" [2006-02-13 1519616] "CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-02-13 86016] "tvjbmonitor"="c:\programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe" [2006-12-26 53248] "AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-10-28 141600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\ FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2006-9-26 917504] c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\ FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2006-9-26 917504] c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\ FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2006-9-26 917504] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD] 2007-07-02 18:32 1364168 ----a-w- c:\programme\SlySoft\AnyDVD\AnyDVD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] 2006-04-21 15:03 94208 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTZDetec.exe] 2007-12-18 13:20 401408 ------w- c:\programme\Creative\Creative Media Lite\CTZDetec.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2009-09-04 23:54 417792 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] 2009-10-19 15:30 198160 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\AVG\\AVG8\\avgemc.exe"= "c:\\Programme\\AVG\\AVG8\\avgupd.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "c:\\Programme\\ElsterFormular\\2008-2009\\elfoStarter2008.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Dokumente und Einstellungen\\***\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Chrome\\Application\\chrome.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8000:TCP"= 8000:TCP:ElsterFormular 2008-2009 "65533:TCP"= 65533:TCP:Services "52344:TCP"= 52344:TCP:Services "2975:TCP"= 2975:TCP:Services "2479:TCP"= 2479:TCP:Services "3389:TCP"= 3389:TCP:Remote Desktop "7989:TCP"= 7989:TCP:Services "9925:TCP"= 9925:TCP:Services R1 NETDSL;AVM PPP over Ethernet;c:\windows\system32\drivers\netdsl.sys [26.09.2006 16:58 11264] R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [23.12.2009 09:43 108289] R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [20.07.2008 07:24 297752] R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [03.09.2009 12:29 246520] R3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [26.09.2006 16:57 15104] R3 AVMWAN;NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [20.09.2000 01:00 38608] R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\drivers\Netfritz.sys [04.04.2006 01:34 224768] R3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\drivers\NETFWDSL.SYS [26.09.2006 16:58 367104] S2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [20.07.2008 07:24 908056] S3 fxusbase;1&1 NetXXL (WinXP/2000);c:\windows\system32\drivers\fxusbase.sys [20.09.2000 01:00 503600] . Inhalt des "geplante Tasks" Ordners 2009-12-30 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/skins/ uInternet Connection Wizard,ShellNext = iexplore uInternet Settings,ProxyOverride = fritz.box IE: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP IE: In 1&&1 SoftPhone wählen - c:\dokumente und einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html LSP: c:\programme\FRITZ!DSL\sarah.dll TCP: {54F199B4-92E1-44F7-8451-12E9D36F5554} = 192.168.122.252,192.168.122.253 TCP: {A0DF301E-A14F-46F6-ACF4-6496DC953089} = 192.168.120.252,192.168.120.253 FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\fnu6phuk.default\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxxp://google.de FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=skin&q= FF - component: c:\programme\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava11.dll FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava12.dll FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava13.dll FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava14.dll FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJava32.dll FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPJPI150_03.dll FF - plugin: c:\programme\Java\jre1.5.0_03\bin\NPOJI610.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\NPAdbESD.dll . - - - - Entfernte verwaiste Registrierungseinträge - - - - SSODL-Extobv32-{49DE58F3-692A-4A4B-B34D-0B724CF0A09C} - (no file) SSODL-Dskedbin-{55E9BF84-9426-434B-8353-717C99B581A8} - (no file) SSODL-Ntedaud-{1349D3C2-361F-46A8-B444-CB3C8ADA1C8A} - (no file) SSODL-Resakctl-{C13EE24C-6411-4236-9810-75002A72B2F6} - (no file) ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-12-31 15:33 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-854245398-57989841-839522115-1004\Software\Zepter Software\RegLib*88769d45\AnyDVD/1] "1"=dword:446778e3 "2"=dword:4689249e [HKEY_USERS\S-1-5-21-854245398-57989841-839522115-1004\Software\Zepter Software\RegLib*88769d45\CloneDVD/2] "1"=dword:44677d33 "2"=dword:4478b930 [HKEY_USERS\S-1-5-21-854245398-57989841-839522115-1004\Software\Zepter Software\RegLib*88769d45\CloneDVD2/2] "1"=dword:44677d33 "2"=dword:46892518 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'lsass.exe'(1080) c:\programme\FRITZ!DSL\sarah.dll c:\programme\FRITZ!DSL\block.dll c:\programme\FRITZ!DSL\avmcsock.dll c:\programme\FRITZ!DSL\avmufc.dll - - - - - - - > 'explorer.exe'(2332) c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchBar.dll c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchTrayHook.dll c:\programme\Gemeinsame Dateien\Ahead\Lib\MFC71U.DLL c:\programme\Gemeinsame Dateien\Ahead\Lib\BCGCBPRO800u.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\System32\SCardSvr.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\FRITZ!DSL\IGDCTRL.EXE c:\windows\system32\CTsvcCDA.exe c:\programme\Creative\Shared Files\CTDevSrv.exe c:\windows\system32\nvsvc32.exe c:\programme\FRITZ!DSL\StCenter.EXE c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-12-31 15:41:14 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-12-31 14:41 Vor Suchlauf: 15 Verzeichnis(se), 17.043.312.640 Bytes frei Nach Suchlauf: 17 Verzeichnis(se), 18.868.191.232 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect - - End Of File - - EB246C61ADF0A99ADB46F9E1135F4DB3 |
02.01.2010, 11:54 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Mein Internetzugang wird missbraucht, Trojaner Vundo.H Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"=- [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "65533:TCP"=- "52344:TCP"=- "2975:TCP"=- "2479:TCP"=- "3389:TCP"=- "7989:TCP"=- "9925:TCP"=- 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
02.01.2010, 13:31 | #14 |
| Mein Internetzugang wird missbraucht, Trojaner Vundo.H 'Combofix hat eine Aktualisierung durchgeführt, aber nicht neu gestartet. Code:
ATTFilter ComboFix 10-01-01.02 - *** 02.01.2010 13:11:45.2.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.317 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: AVG Anti-Virus Free *On-access scanning disabled* (Outdated) {17DDD097-36FF-435F-9E1B-52D74245D6BF} . ((((((((((((((((((((((( Dateien erstellt von 2009-12-02 bis 2010-01-02 )))))))))))))))))))))))))))))) . 2009-12-31 10:30 . 2008-04-13 19:45 60032 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys 2009-12-31 10:30 . 2008-04-13 19:45 60032 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys 2009-12-30 13:25 . 2009-12-30 13:28 -------- d-----w- C:\Lop SD 2009-12-30 11:07 . 2009-12-30 11:07 -------- d-----w- C:\rsit 2009-12-30 10:19 . 2009-12-30 10:19 -------- d-----w- c:\programme\Trend Micro 2009-12-29 19:45 . 2009-12-29 19:45 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes 2009-12-29 19:45 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-12-29 19:45 . 2009-12-29 19:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-12-29 19:45 . 2009-12-30 09:52 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-12-29 19:45 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-12-29 19:25 . 2009-12-29 19:25 -------- d-----w- c:\programme\CCleaner 2009-12-26 17:16 . 2009-12-26 17:21 -------- d-----w- c:\programme\RegCleaner 2009-12-26 09:02 . 2009-12-26 09:03 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\U3 2009-12-24 21:54 . 2009-12-24 21:54 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant.***\Shared 2009-12-23 17:35 . 2009-12-29 18:04 -------- d-----w- c:\windows\system32\drivers\avg 2009-12-23 11:50 . 2009-12-23 12:12 -------- d-----w- C:\$AVG 2009-12-23 11:46 . 2009-12-23 14:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9 2009-12-23 11:46 . 2009-12-23 12:12 -------- d-----w- c:\windows\SxsCaPendDel 2009-12-23 08:43 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-12-23 08:43 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-12-23 08:43 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2009-12-23 08:43 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2009-12-23 08:43 . 2009-12-23 08:43 -------- d-----w- c:\programme\Avira 2009-12-23 08:43 . 2009-12-23 08:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-12-21 20:37 . 2009-12-21 20:37 -------- d-----w- c:\programme\HD Tune 2009-12-21 15:43 . 2009-12-21 15:43 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant.***\[ 2009-12-21 15:39 . 2009-12-23 09:24 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant.***\Incomplete 2009-12-21 15:38 . 2009-12-21 15:38 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant.***\ddd 2009-12-13 06:51 . 2009-12-13 06:51 -------- d-----w- c:\programme\File Scanner Library (Spybot - Search & Destroy) 2009-12-12 18:18 . 2009-12-12 18:18 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Uniblue 2009-12-12 15:46 . 2009-12-20 10:12 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant.***\UserData 2009-12-12 15:25 . 2006-03-31 12:36 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant.***\Netzwerkumgebung 2009-12-12 15:25 . 2006-03-31 12:36 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant.***\Lokale Einstellungen 2009-12-12 15:25 . 2006-03-31 12:36 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant.***\Druckumgebung 2009-12-12 15:25 . 2006-03-31 12:36 -------- d-----r- c:\dokumente und einstellungen\HelpAssistant.***\Startmenü 2009-12-12 15:25 . 2009-12-31 13:54 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant.*** 2009-12-12 14:54 . 2009-12-12 14:54 -------- d-----w- c:\windows\system32\wbem\Repository 2009-12-11 19:16 . 2009-12-11 19:16 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\UserData 2009-12-11 19:12 . 2009-12-11 19:12 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\ElsterFormular 2009-12-11 18:58 . 2009-12-11 18:58 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\.thumbnails 2009-12-11 18:58 . 2009-12-11 18:58 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\.limewire 2009-12-11 18:58 . 2009-12-12 14:52 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\.gimp-2.2 2009-12-11 18:57 . 2009-12-12 14:52 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Vorlagen 2009-12-11 18:57 . 2009-12-12 14:52 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Startmenü 2009-12-11 18:57 . 2009-12-12 14:52 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Lokale Einstellungen 2009-12-11 18:57 . 2009-12-12 14:52 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Favoriten 2009-12-11 18:57 . 2009-12-12 14:52 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Eigene Dateien 2009-12-11 18:57 . 2009-12-12 14:52 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Anwendungsdaten 2009-12-11 18:57 . 2009-12-12 14:52 -------- d-s---w- c:\dokumente und einstellungen\HelpAssistant . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-02 12:03 . 2009-10-17 14:48 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ 2010-01-02 08:53 . 2006-04-04 00:05 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\FRITZ! 2010-01-01 15:15 . 2007-05-14 17:47 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\gtk-2.0 2009-12-31 18:45 . 2009-09-03 11:21 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ 2009-12-30 13:31 . 2006-04-06 16:10 -------- d-----w- c:\programme\StarOffice7 2009-12-29 13:39 . 2009-09-03 11:19 -------- d-----w- c:\programme\ICQ6.5 2009-12-27 18:43 . 2009-12-27 18:11 1924744 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe 2009-12-26 17:04 . 2007-04-03 06:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-12-26 08:46 . 2008-08-23 18:52 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer 2009-12-24 18:52 . 2008-10-01 17:46 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer 2009-12-24 18:24 . 2006-05-26 17:24 36272 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-12-24 18:06 . 2008-08-23 18:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple 2009-12-23 11:46 . 2008-07-20 06:24 -------- d-----w- c:\programme\AVG 2009-12-21 20:33 . 2009-05-27 16:19 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\U3 2009-12-13 07:49 . 2006-10-02 18:20 -------- d-----w- c:\programme\Google 2009-12-13 07:47 . 2006-07-31 10:15 -------- d-----w- c:\programme\Heureka 2009-12-12 18:39 . 2006-04-14 11:05 -------- d-----w- c:\programme\DivX 2009-12-12 15:59 . 2004-08-04 12:00 48360 ----a-w- c:\windows\system32\perfc007.dat 2009-12-12 15:59 . 2004-08-04 12:00 316924 ----a-w- c:\windows\system32\perfh007.dat 2009-11-23 06:38 . 2009-06-27 19:48 14707 ----a-w- c:\windows\system32\keravdat.dll 2009-11-22 09:48 . 2006-04-03 19:11 36272 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-11-21 11:17 . 2009-09-03 11:29 -------- d-----w- c:\programme\ICQ6Toolbar 2009-11-20 17:40 . 2009-09-03 11:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ 2009-11-02 08:33 . 2009-11-02 08:33 79144 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe 2009-10-29 05:24 . 2004-08-04 12:00 672768 ------w- c:\windows\system32\wininet.dll 2009-10-21 05:38 . 2004-08-04 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll 2009-10-21 05:38 . 2004-08-04 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll 2009-10-20 16:20 . 2004-08-04 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys 2009-10-19 15:31 . 2006-04-03 19:11 499712 ----a-w- c:\windows\system32\msvcp71.dll 2009-10-18 14:33 . 2009-10-18 14:33 27904 ---ha-w- c:\windows\system32\mlfcache.dat 2009-10-13 10:32 . 2004-08-04 12:00 271360 ----a-w- c:\windows\system32\oakley.dll 2009-10-12 13:38 . 2004-08-04 12:00 79872 ----a-w- c:\windows\system32\raschap.dll 2009-10-12 13:38 . 2004-08-04 12:00 150528 ----a-w- c:\windows\system32\rastls.dll 2009-09-03 17:37 . 2009-09-03 17:37 10437264 ----a-w- c:\programme\mozilla firefox\plugins\PDFNetC.dll 2009-09-03 17:58 . 2009-09-03 17:58 107760 ----a-w- c:\programme\mozilla firefox\plugins\ScorchPDFWrapper.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-02-13 7557120] "nwiz"="nwiz.exe" [2006-02-13 1519616] "CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-02-13 86016] "tvjbmonitor"="c:\programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe" [2006-12-26 53248] "AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-10-28 141600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\ FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2006-9-26 917504] c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\ FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2006-9-26 917504] c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\ FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2006-9-26 917504] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD] 2007-07-02 18:32 1364168 ----a-w- c:\programme\SlySoft\AnyDVD\AnyDVD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] 2006-04-21 15:03 94208 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTZDetec.exe] 2007-12-18 13:20 401408 ------w- c:\programme\Creative\Creative Media Lite\CTZDetec.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2009-09-04 23:54 417792 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] 2009-10-19 15:30 198160 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\AVG\\AVG8\\avgemc.exe"= "c:\\Programme\\AVG\\AVG8\\avgupd.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "c:\\Programme\\ElsterFormular\\2008-2009\\elfoStarter2008.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Dokumente und Einstellungen\\***\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Chrome\\Application\\chrome.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8000:TCP"= 8000:TCP:ElsterFormular 2008-2009 R1 NETDSL;AVM PPP over Ethernet;c:\windows\system32\drivers\netdsl.sys [26.09.2006 16:58 11264] R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [23.12.2009 09:43 108289] R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [20.07.2008 07:24 297752] R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [03.09.2009 12:29 246520] R3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [26.09.2006 16:57 15104] R3 AVMWAN;NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [20.09.2000 01:00 38608] R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\drivers\Netfritz.sys [04.04.2006 01:34 224768] R3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\drivers\NETFWDSL.SYS [26.09.2006 16:58 367104] S2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [20.07.2008 07:24 908056] S3 fxusbase;1&1 NetXXL (WinXP/2000);c:\windows\system32\drivers\fxusbase.sys [20.09.2000 01:00 503600] . Inhalt des "geplante Tasks" Ordners 2009-12-30 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/skins/ uInternet Connection Wizard,ShellNext = iexplore uInternet Settings,ProxyOverride = fritz.box IE: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP IE: In 1&&1 SoftPhone wählen - c:\dokumente und einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html LSP: c:\programme\FRITZ!DSL\sarah.dll TCP: {54F199B4-92E1-44F7-8451-12E9D36F5554} = 192.168.122.252,192.168.122.253 TCP: {A0DF301E-A14F-46F6-ACF4-6496DC953089} = 192.168.120.252,192.168.120.253 FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\fnu6phuk.default\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxxp://google.de FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=skin&q= FF - component: c:\programme\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-02 13:20 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-854245398-57989841-839522115-1004\Software\Zepter Software\RegLib*88769d45\AnyDVD/1] "1"=dword:446778e3 "2"=dword:4689249e [HKEY_USERS\S-1-5-21-854245398-57989841-839522115-1004\Software\Zepter Software\RegLib*88769d45\CloneDVD/2] "1"=dword:44677d33 "2"=dword:4478b930 [HKEY_USERS\S-1-5-21-854245398-57989841-839522115-1004\Software\Zepter Software\RegLib*88769d45\CloneDVD2/2] "1"=dword:44677d33 "2"=dword:46892518 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'lsass.exe'(1080) c:\programme\FRITZ!DSL\sarah.dll c:\programme\FRITZ!DSL\block.dll c:\programme\FRITZ!DSL\avmcsock.dll c:\programme\FRITZ!DSL\avmufc.dll - - - - - - - > 'explorer.exe'(1660) c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchBar.dll c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchTrayHook.dll c:\programme\Gemeinsame Dateien\Ahead\Lib\MFC71U.DLL c:\programme\Gemeinsame Dateien\Ahead\Lib\BCGCBPRO800u.dll . Zeit der Fertigstellung: 2010-01-02 13:25:21 ComboFix-quarantined-files.txt 2010-01-02 12:25 ComboFix2.txt 2009-12-31 14:41 Vor Suchlauf: 16 Verzeichnis(se), 18.658.525.184 Bytes frei Nach Suchlauf: 17 Verzeichnis(se), 18.628.816.896 Bytes frei - - End Of File - - DFFAA1DFD92D2B0081BD4155403881AF |
02.01.2010, 14:03 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Mein Internetzugang wird missbraucht, Trojaner Vundo.H Sehr schön. Mach nochmal einen Kontrollscan mit Malwarebytes.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Mein Internetzugang wird missbraucht, Trojaner Vundo.H |
amd athlon, antivir, antivir guard, avg free, avgntflt.sys, avira, bonjour, content.ie5, desktop, e-mail, email, entfernen, firefox, firefox.exe, flash player, google, google chrome, gupdate, hijack, hijackthis, hkus\s-1-5-18, home, hängen, install.exe, kompatibilität, limewire, prozessor, realtek, registrierungsschlüssel, registry, rootkit.mbr, scan, software, starten, system, trojaner, windows xp |