Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.

Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.


Plagegeister aller Art und deren Bekämpfung: Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 2 von 2 1 2
Alt 29.04.2010, 16:16   #16
StLB
/// Helfer-Team
 
Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw. - Standard

Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.


Hi,

deinstalliere bitte den Acrobat Reader. Deine Version ist dermaßen veraltet... ein großes Sicherheitsrisiko.

Führe bitte mal einen Rootkitscan mit GMER durch.
Da versteckt sich mit Sicherheit noch mehr.
__________________
Gruß, Julian

Kein Support per PM!
Spendemöglichkeit: Make a Donation

Alt 29.04.2010, 18:31   #17
Janina
 
Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw. - Standard

Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.


Hallo Julian,

den alten Reader habe ich rausgeschmissen und GMER laufen lassen

schon mal vielen Dank für Deine Mühe und Grüße
Janina

GMER-Log:


GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-29 19:26:37
Windows 5.1.2600 Service Pack 2
Running: l93gz0pd.exe; Driver: C:\DOKUME~1\mm\LOKALE~1\Temp\ufdyqaow.sys


---- System - GMER 1.0.15 ----

SSDT F7C93C6E ZwCreateKey
SSDT F7C93C64 ZwCreateThread
SSDT F7C93C73 ZwDeleteKey
SSDT F7C93C7D ZwDeleteValueKey
SSDT F7C93C82 ZwLoadKey
SSDT F7C93C50 ZwOpenProcess
SSDT F7C93C55 ZwOpenThread
SSDT F7C93C8C ZwReplaceKey
SSDT F7C93C87 ZwRestoreKey
SSDT F7C93C78 ZwSetValueKey
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xF45E4320] <-- ROOTKIT !!!

---- Kernel code sections - GMER 1.0.15 ----

.pak2 C:\WINDOWS\system32\drivers\rfkfjt.sys entry point in ".pak2" section [0xF740A4E0]
? C:\WINDOWS\system32\drivers\rfkfjt.sys Ein an das System angeschlossenes Gerät funktioniert nicht.
PAGE Ntfs.sys F727DC55 4 Bytes CALL 867C89A1
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6E15360, 0x21E0FD, 0xE8000020]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8676B0F0

---- Services - GMER 1.0.15 ----

Service (*** hidden *** ) [BOOT] rfkfjt <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\rfkfjt@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfkfjt@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfkfjt@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfkfjt@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet002\Services\rfkfjt@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\rfkfjt@Start 0
Reg HKLM\SYSTEM\ControlSet002\Services\rfkfjt@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\rfkfjt@Group Boot Bus Extender

---- EOF - GMER 1.0.15 ----
__________________
Alt 29.04.2010, 18:53   #18
StLB
/// Helfer-Team
 
Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw. - Standard

Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.


Hm... poste mir bitte nochmal ein aktuelles OTL-Logfile.
Evtl. sind auch die At*.job wieder da.
__________________
__________________
Alt 29.04.2010, 19:04   #19
Janina
 
Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw. - Standard

Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.


Hallo Julian

hier ist er


OTL logfile created on: 29.04.2010 20:01:11 - Run 3
OTL by OldTimer - Version 3.2.3.0 Folder = C:\Dokumente und Einstellungen\mm\Desktop
Windows XP Media Center Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.022,00 Mb Total Physical Memory | 596,00 Mb Available Physical Memory | 58,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,51 Gb Total Space | 14,46 Gb Free Space | 19,40% Space Free | Partition Type: NTFS
Drive D: | 67,55 Gb Total Space | 67,54 Gb Free Space | 99,99% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: NAME-4FA6E57B07
Current User Name: mm
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\mm\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\drivers\CDAC11BA.EXE (Macrovision)
PRC - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe (Symantec Corporation)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe (TOSHIBA CORPORATION.)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe (TOSHIBA CORPORATION.)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtProc.exe (TOSHIBA CORPORATION.)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe (TOSHIBA CORPORATION.)
PRC - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe (Sony Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe (Sony Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe (Sony Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation )
PRC - C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation)
PRC - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe ()
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosOBEX.exe (TOSHIBA CORPORATION.)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe (TOSHIBA CORPORATION.)
PRC - C:\Programme\Sony\VAIO Event Service\VESMgr.exe (Sony Corporation)
PRC - C:\Programme\OnlineControl\ocontrol.exe (T-Com Bereich Endgeräte)
PRC - C:\WINDOWS\system32\ico.exe (Primax Electronics Ltd.)


========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\mm\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)


========== Win32 Services (SafeList) ==========

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (C-DillaCdaC11BA) -- C:\WINDOWS\system32\drivers\CDAC11BA.EXE (Macrovision)
SRV - (LiveUpdate) -- C:\Programme\Symantec\LiveUpdate\LuComServer_3_0.EXE (Symantec Corporation)
SRV - (Automatisches LiveUpdate - Scheduler) -- C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (Symantec Corporation)
SRV - (VAIOMediaPlatform-IntegratedServer-AppServer) -- C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe (Sony Corporation)
SRV - (SSScsiSV) -- C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe (Sony Corporation)
SRV - (VAIOMediaPlatform-Mobile-Gateway) -- C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe (Sony Corporation)
SRV - (VzFw) -- C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe (Sony Corporation)
SRV - (VzCdbSvc) -- C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe (Sony Corporation)
SRV - (Vcsw) -- C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe (Sony Corporation)
SRV - (S24EventMonitor) Intel(R) -- C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation )
SRV - (EvtEng) Intel(R) -- C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation)
SRV - (RegSrvc) Intel(R) -- C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation)
SRV - (VAIO Entertainment TV Device Arbitration Service) -- C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe (Sony Corporation)
SRV - (MSCSPTISRV) -- C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe (Sony Corporation)
SRV - (PACSPTISVR) -- C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe (Sony Corporation)
SRV - (SPTISRV) -- C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (Sony Corporation)
SRV - (VAIOMediaPlatform-IntegratedServer-UPnP) VAIO Media Integrated Server (UPnP) -- C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe (Sony Corporation)
SRV - (VAIOMediaPlatform-IntegratedServer-HTTP) VAIO Media Integrated Server (HTTP) -- C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe (Sony Corporation)
SRV - (AdobeActiveFileMonitor4.0) -- C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe ()
SRV - (Image Converter video recording monitor for VAIO Entertainment) -- C:\Programme\Sony\Image Converter 2\IcVzMon.exe (Sony Corporation)
SRV - (VAIO Event Service) -- C:\Programme\Sony\VAIO Event Service\VESMgr.exe (Sony Corporation)
SRV - (VCI) -- C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_svc.exe (Sony Corporation)


========== Driver Services (SafeList) ==========

DRV - (SASDIFSV) -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (SASKUTIL) -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (SASENUM) -- C:\Programme\SUPERAntiSpyware\SASENUM.SYS ( SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (CdaC15BA) -- C:\WINDOWS\system32\drivers\CDAC15BA.SYS (Macrovision Europe Ltd)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (ti21sony) -- C:\WINDOWS\system32\drivers\ti21sony.sys (Texas Instruments)
DRV - (STHDA) -- C:\WINDOWS\system32\drivers\sthda.sys (SigmaTel, Inc.)
DRV - (usbvm321) -- C:\WINDOWS\system32\drivers\usbvm321.sys (Vimicro Corporation)
DRV - (SonyImgF) -- C:\WINDOWS\system32\drivers\SonyImgF.sys (Sony Corporation)
DRV - (w39n51) Intel(R) -- C:\WINDOWS\system32\drivers\w39n51.sys (Intel® Corporation)
DRV - (Tosrfhid) -- C:\WINDOWS\system32\drivers\tosrfhid.sys (TOSHIBA Corporation.)
DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation)
DRV - (tosporte) -- C:\WINDOWS\system32\drivers\tosporte.sys (TOSHIBA Corporation)
DRV - (Tosrfbd) -- C:\WINDOWS\system32\drivers\tosrfbd.sys (TOSHIBA CORPORATION)
DRV - (Tosrfusb) -- C:\WINDOWS\system32\drivers\tosrfusb.sys (TOSHIBA CORPORATION)
DRV - (TosRfSnd) Bluetooth Audio Device (WDM) -- C:\WINDOWS\system32\drivers\tosrfsnd.sys (TOSHIBA Corporation)
DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSF_DPV.sys (Conexant Systems, Inc.)
DRV - (HSFHWAZL) -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.)
DRV - (SI3132) -- C:\WINDOWS\system32\DRIVERS\SI3132.sys (Silicon Image, Inc.)
DRV - (SiRemFil) -- C:\WINDOWS\system32\DRIVERS\SiRemFil.sys (Silicon Image, Inc.)
DRV - (Tosrfbnp) -- C:\WINDOWS\system32\drivers\tosrfbnp.sys (TOSHIBA Corporation)
DRV - (Tosrfcom) -- C:\WINDOWS\system32\drivers\tosrfcom.sys (TOSHIBA Corporation)
DRV - (toshidpt) -- C:\WINDOWS\system32\drivers\toshidpt.sys (TOSHIBA Corporation.)
DRV - (e1express) Intel(R) -- C:\WINDOWS\system32\drivers\e1e5132.sys (Intel Corporation)
DRV - (tosrfnds) -- C:\WINDOWS\system32\drivers\tosrfnds.sys (TOSHIBA Corporation.)
DRV - (ApfiltrService) -- C:\WINDOWS\system32\drivers\Apfiltr.sys (Alps Electric Co., Ltd.)
DRV - (SiFilter) -- C:\WINDOWS\system32\DRIVERS\SiWinAcc.sys (Silicon Image, Inc.)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (PrivateDisk) -- C:\WINDOWS\system32\drivers\privatediskm.sys (Utimaco Safeware AG)
DRV - (DMICall) -- C:\WINDOWS\system32\drivers\DMICall.sys (Sony Corporation)
DRV - (SNC) -- C:\WINDOWS\system32\drivers\SonyNC.sys (Sony Corporation)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.club-vaio.com/de/
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie


IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.club-vaio.com/de/
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.club-vaio.com/de/
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.club-vaio.com/de/

IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.club-vaio.com/de/

IE - HKU\S-1-5-21-707535880-1162036710-202699913-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\S-1-5-21-707535880-1162036710-202699913-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.spiegel.de/
IE - HKU\S-1-5-21-707535880-1162036710-202699913-1006\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-707535880-1162036710-202699913-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
FF - prefs.js..browser.startup.homepage: "hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:defficial"

FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.07 09:41:17 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.29 18:32:28 | 000,000,000 | ---D | M]

[2008.09.11 16:41:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\Mozilla\Extensions
[2010.04.29 08:24:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\Mozilla\Firefox\Profiles\uo2ghdo4.default\extensions
[2010.04.28 13:39:43 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\Mozilla\Firefox\Profiles\uo2ghdo4.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2008.09.11 16:41:54 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2007.06.30 12:18:38 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2008.09.11 16:41:37 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2008.11.14 18:18:09 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2008.09.11 16:41:37 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2008.09.11 16:41:37 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2008.09.11 16:41:37 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010.04.27 22:50:14 | 000,000,098 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: (Skype add-on (mastermind)) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\Programme\Google\GoogleToolbar3.dll (Google Germany GmbH)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll (Google Inc.)
O2 - BHO: (CBrowserHelperObject Object) - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\Google AFE\GoogleAFE.dll (Google)
O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar3.dll (Google Germany GmbH)
O3 - HKLM\..\Toolbar: (Easy-WebPrint) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll ()
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar3.dll (Google Germany GmbH)
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar3.dll (Google Germany GmbH)
O3 - HKU\S-1-5-21-707535880-1162036710-202699913-1006\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar3.dll (Google Germany GmbH)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Mouse Suite 98 Daemon] C:\WINDOWS\System32\ico.exe (Primax Electronics Ltd.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKU\.DEFAULT..\Run: [googletalk] C:\Programme\Google\Google Talk\googletalk.exe (Google)
O4 - HKU\S-1-5-18..\Run: [googletalk] C:\Programme\Google\Google Talk\googletalk.exe (Google)
O4 - HKU\S-1-5-21-707535880-1162036710-202699913-1006..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk = C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe (TOSHIBA CORPORATION.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe (T-Com Bereich Endgeräte)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-707535880-1162036710-202699913-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Easy-WebPrint - Drucken - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()
O8 - Extra context menu item: Easy-WebPrint - Vorschau - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.)
O9 - Extra Button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O15 - HKU\.DEFAULT\..Trusted Domains: sony-europe.com ([] in Lokales Intranet)
O15 - HKU\.DEFAULT\..Trusted Domains: sony-europe.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\.DEFAULT\..Trusted Domains: sonystyle-europe.com ([] in Lokales Intranet)
O15 - HKU\.DEFAULT\..Trusted Domains: sonystyle-europe.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\.DEFAULT\..Trusted Domains: vaio-link.com ([] in Lokales Intranet)
O15 - HKU\.DEFAULT\..Trusted Domains: vaio-link.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-18\..Trusted Domains: sony-europe.com ([] in Lokales Intranet)
O15 - HKU\S-1-5-18\..Trusted Domains: sony-europe.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-18\..Trusted Domains: sonystyle-europe.com ([] in Lokales Intranet)
O15 - HKU\S-1-5-18\..Trusted Domains: sonystyle-europe.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-18\..Trusted Domains: vaio-link.com ([] in Lokales Intranet)
O15 - HKU\S-1-5-18\..Trusted Domains: vaio-link.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-707535880-1162036710-202699913-1006\..Trusted Domains: sony-europe.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-707535880-1162036710-202699913-1006\..Trusted Domains: sonystyle-europe.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-707535880-1162036710-202699913-1006\..Trusted Domains: vaio-link.com ([]* in Vertrauenswürdige Sites)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.dll - C:\Programme\SUPERAntiSpyware\SASWINLO.dll (SUPERAntiSpyware.com)
O20 - Winlogon\Notify\VESWinlogon: DllName - VESWinlogon.dll - C:\WINDOWS\System32\VESWinlogon.dll (Sony Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\mm\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\mm\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.03.16 16:05:55 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.04.29 18:32:28 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.04.27 22:50:00 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.04.27 15:41:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
[2010.04.27 15:41:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\SUPERAntiSpyware.com
[2010.04.27 15:41:47 | 000,000,000 | ---D | C] -- C:\Programme\SUPERAntiSpyware
[2010.04.27 15:41:16 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[2010.04.27 14:49:42 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010.04.27 14:49:42 | 000,000,000 | ---D | C] -- C:\rsit
[2010.04.27 14:31:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\Malwarebytes
[2010.04.27 14:31:44 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.27 14:31:41 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.27 14:31:41 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.04.27 14:31:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.04.27 14:27:19 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\mm\Recent
[2010.04.27 14:19:55 | 005,918,720 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\mm\Desktop\mbam-setup-1.45.exe
[2010.04.27 14:16:04 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.04.27 14:13:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\mm\Desktop\Trojaner_Scan
[2010.04.27 14:12:57 | 003,382,520 | ---- | C] (Piriform Ltd) -- C:\Dokumente und Einstellungen\mm\Desktop\ccsetup231.exe
[2010.04.27 13:12:25 | 000,563,712 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\mm\Desktop\OTL.exe
[2010.04.27 12:24:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\mm\Lokale Einstellungen\Anwendungsdaten\Windows Server

========== Files - Modified Within 30 Days ==========

[2010.04.29 20:03:00 | 000,823,808 | ---- | M] () -- C:\WINDOWS\System32\drivers\rfkfjt.sys
[2010.04.29 19:19:05 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.04.29 18:38:12 | 000,067,736 | ---- | M] () -- C:\Dokumente und Einstellungen\mm\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.04.29 18:34:28 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.04.29 18:34:24 | 000,045,378 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.04.29 18:34:08 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.04.29 18:34:03 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.04.29 18:33:57 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.29 18:33:52 | 1071,828,992 | -HS- | M] () -- C:\hiberfil.sys
[2010.04.29 18:32:45 | 004,980,736 | -H-- | M] () -- C:\Dokumente und Einstellungen\mm\NTUSER.DAT
[2010.04.29 18:32:45 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\mm\ntuser.ini
[2010.04.29 18:28:50 | 000,275,760 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.04.29 18:25:26 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\mm\Desktop\l93gz0pd.exe
[2010.04.28 13:23:56 | 000,275,358 | ---- | M] () -- C:\Dokumente und Einstellungen\mm\Eigene Dateien\wir_aussen.jpg
[2010.04.28 13:22:14 | 000,490,648 | ---- | M] () -- C:\Dokumente und Einstellungen\mm\Eigene Dateien\wir_innen.jpg
[2010.04.27 22:50:14 | 000,000,098 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\Hosts
[2010.04.27 22:45:37 | 000,000,784 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Canon Easy-PrintToolBox.lnk
[2010.04.27 15:41:51 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SUPERAntiSpyware Free Edition.lnk
[2010.04.27 15:39:25 | 007,976,992 | ---- | M] () -- C:\Dokumente und Einstellungen\mm\Desktop\SUPERAntiSpyware.exe
[2010.04.27 14:31:47 | 000,000,680 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.27 14:20:57 | 000,781,909 | ---- | M] () -- C:\Dokumente und Einstellungen\mm\Desktop\RSIT.exe
[2010.04.27 14:20:18 | 005,918,720 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\mm\Desktop\mbam-setup-1.45.exe
[2010.04.27 14:16:06 | 000,001,516 | ---- | M] () -- C:\Dokumente und Einstellungen\mm\Desktop\CCleaner.lnk
[2010.04.27 14:13:08 | 003,382,520 | ---- | M] (Piriform Ltd) -- C:\Dokumente und Einstellungen\mm\Desktop\ccsetup231.exe
[2010.04.27 13:12:28 | 000,563,712 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\mm\Desktop\OTL.exe
[2010.04.25 22:03:37 | 000,189,232 | ---- | M] () -- C:\Dokumente und Einstellungen\mm\Eigene Dateien\wir2.jpg
[2010.04.25 22:02:14 | 000,108,000 | ---- | M] () -- C:\Dokumente und Einstellungen\mm\Eigene Dateien\wir1.jpg
[2010.04.25 21:09:24 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.04.20 14:23:51 | 000,001,891 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2010.04.15 22:29:03 | 000,129,701 | ---- | M] () -- C:\Dokumente und Einstellungen\mm\Eigene Dateien\sweethome_thume.jpg
[2010.04.07 09:37:51 | 000,043,008 | ---- | M] () -- C:\Dokumente und Einstellungen\mm\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

========== Files Created - No Company Name ==========

[2010.04.29 18:25:26 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\mm\Desktop\l93gz0pd.exe
[2010.04.28 13:23:56 | 000,275,358 | ---- | C] () -- C:\Dokumente und Einstellungen\mm\Eigene Dateien\wir_aussen.jpg
[2010.04.28 13:22:14 | 000,490,648 | ---- | C] () -- C:\Dokumente und Einstellungen\mm\Eigene Dateien\wir_innen.jpg
[2010.04.27 15:41:51 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SUPERAntiSpyware Free Edition.lnk
[2010.04.27 15:36:43 | 007,976,992 | ---- | C] () -- C:\Dokumente und Einstellungen\mm\Desktop\SUPERAntiSpyware.exe
[2010.04.27 14:31:47 | 000,000,680 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.27 14:20:55 | 000,781,909 | ---- | C] () -- C:\Dokumente und Einstellungen\mm\Desktop\RSIT.exe
[2010.04.27 14:16:06 | 000,001,516 | ---- | C] () -- C:\Dokumente und Einstellungen\mm\Desktop\CCleaner.lnk
[2010.04.27 12:25:18 | 000,823,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\rfkfjt.sys
[2010.04.25 22:03:37 | 000,189,232 | ---- | C] () -- C:\Dokumente und Einstellungen\mm\Eigene Dateien\wir2.jpg
[2010.04.25 22:02:13 | 000,108,000 | ---- | C] () -- C:\Dokumente und Einstellungen\mm\Eigene Dateien\wir1.jpg
[2010.04.20 14:23:51 | 000,001,891 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2010.04.15 22:29:02 | 000,129,701 | ---- | C] () -- C:\Dokumente und Einstellungen\mm\Eigene Dateien\sweethome_thume.jpg
[2008.07.24 18:23:28 | 000,010,593 | ---- | C] () -- C:\WINDOWS\CSTBox.INI
[2007.10.09 15:45:03 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\IPPCPUID.DLL
[2007.10.09 15:44:40 | 000,011,776 | ---- | C] () -- C:\WINDOWS\System32\pmsbfn32.dll
[2007.10.09 15:42:09 | 000,000,408 | ---- | C] () -- C:\WINDOWS\MAXLINK.INI
[2007.02.09 21:08:18 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS78.DLL
[2006.03.17 14:18:13 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006.03.17 11:49:15 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2006.03.17 11:49:15 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2006.03.17 11:49:15 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2006.03.17 11:49:15 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2006.03.17 11:49:15 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2006.03.17 11:49:15 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2006.03.17 11:40:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\VAIOUpdt.INI
[2006.03.16 07:48:19 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2006.03.16 07:48:10 | 000,004,152 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2005.11.01 10:53:38 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini
[2005.09.02 15:44:08 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\TosBtAcc.dll
[2005.08.05 15:26:04 | 000,239,104 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2005.07.22 22:30:20 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\TosCommAPI.dll
[2005.01.02 00:22:39 | 000,000,000 | ---- | C] () -- C:\WINDOWS\tosOBEX.INI
[2005.01.02 00:15:09 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2005.01.02 00:05:58 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\Cpuinf32.dll
[2005.01.02 00:03:06 | 000,000,059 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2004.07.20 18:04:02 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\TosBtHcrpAPI.dll
[2004.01.15 15:43:28 | 000,114,688 | ---- | C] () -- C:\WINDOWS\System32\TBTMonUI.dll

========== LOP Check ==========

[2008.05.02 16:51:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
[2008.07.24 18:27:23 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2007.10.09 15:42:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2007.03.19 23:14:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sony
[2008.05.02 16:51:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\Autodesk
[2007.10.24 15:06:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\Canon
[2009.11.04 15:05:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\FileZilla
[2007.01.26 11:15:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\InterVideo
[2009.08.22 13:25:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\JonDo
[2007.01.05 12:51:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\Leadertech
[2007.10.09 15:48:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\NewSoft
[2007.10.05 20:10:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\Opera
[2007.10.09 15:42:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\ScanSoft
[2006.12.30 17:27:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\sony
[2006.11.02 12:30:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\Template
[2007.03.17 23:20:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\mm\Anwendungsdaten\Toshiba

========== Purity Check ==========


< End of report >

Alt 29.04.2010, 19:10   #20
StLB
/// Helfer-Team
 
Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw. - Standard

Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.


Ok, bitte mal den Avenger anwenden:

The Avenger by Swandog46
  • Lade The Avenger by Swandog46 von hier herunter.
  • Entzippe es auf Deinen Desktop.
  • Doppelklicke auf avenger.exe um The Avenger zu starten.
  • Klicke auf OK.
  • Stelle sicher, dass die Box neben Scan for rootkits ausgewählt und die Box neben Automatically disable any rootkits found abgewählt ist.
  • Kopiere den gesamten Text der Code-Box in die Zwischenablage (Strg+C).
    Code:
    ATTFilter
    Drivers to delete:
rfkfjt
rfkfjt.sys

Files to delete:
C:\Windows\System32\drivers\rfkfjt.sys
  • Klicke im Avenger-Fenster auf Paste from Clipboard.
  • Klicke den Execute Button.
  • Du wirst gefragt Are you sure you want to execute the current script?.
  • Klicke auf Yes.
  • Nun wirst Du gefragt First step completed --- The Avenger has been successfully set up to run on next boot. Reboot now?
  • Klicke auf Yes.
  • Dein PC wird nun neustarten.
  • Nach dem Neustart sollte automatisch ein Logfile erscheinen. Sollte dies nicht der Fall sein, kann das Logfile unter C:\avenger.txt abgerufen werden.
  • Poste bitte diese Logfile in Deiner nächsten Antwort.

Starte danach bitte sofort einen erneuten vollständigen Suchlauf mit Malwarebytes.

__________________
Gruß, Julian

Kein Support per PM!
Spendemöglichkeit: Make a Donation

Alt 29.04.2010, 20:06   #21
Janina
 
Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw. - Standard

Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.


Oje,

nach dem Neustrat hat sich, zum ersten mal seit langemm, Antivir gemeldet:
In der Datei 'C:\Avenger\rfkfjt.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern




Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "rfkfjt" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\rfkfjt.sys" not found!
Deletion of driver "rfkfjt.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Windows\System32\drivers\rfkfjt.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 29.04.2010, 20:18   #22
StLB
/// Helfer-Team
 
Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw. - Standard

Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.


Die Meldung von Antivir sagt uns nur, dass Avenger rfkfjt.sys gelöscht hat und in seinem Ordner eine Sicherungskopie abgelegt hat.

Hast Du Malwarebytes schon gestartet?
__________________
Gruß, Julian

Kein Support per PM!
Spendemöglichkeit: Make a Donation

Alt 29.04.2010, 21:24   #23
Janina
 
Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw. - Standard

Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.


mach ich jetzt

Alt 30.04.2010, 10:54   #24
Janina
 
Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw. - Standard

Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.


So, war doch zu spät gestern abend. Heute Morgen der Quickscan hat nichts gefunden. Dann nochmal den ausführlich Scan gemacht, und siehe da....

------------------------------------------------------------------------
Quickscan
-------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

30.04.2010 07:48:12
mbam-log-2010-04-30 (07-48-12).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 125142
Laufzeit: 6 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


------------------------------------------------------------------------
Vollständiger Suchlauf
------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

30.04.2010 09:52:42
mbam-log-2010-04-30 (09-52-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 196013
Laufzeit: 1 Stunde(n), 33 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Avenger\rfkfjt.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Programme\Adobe\Acrobat 7.0\Reader\adobeupdatemanager.exe.delme190 (Trojan.Downloader) -> Quarantined and deleted successfully.

Alt 30.04.2010, 13:33   #25
StLB
/// Helfer-Team
 
Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw. - Standard

Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.


Zitat:
C:\Avenger\rfkfjt.sys (Rootkit.Agent)
Daran brauchen wir und nicht mehr zu stören, der war sozusagen in Quarantäne.

Abschließend bitte einen Online-Scan mit ESET durchführen:

ESET Online Scanner
  • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
  • Button "ESET Online Scanner" drücken.
  • Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
  • Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Einen Haken bei "Remove found threads" und "Scan archives" machen.
  • Start drücken.
  • Der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
  • IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
  • O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)
__________________
Gruß, Julian

Kein Support per PM!
Spendemöglichkeit: Make a Donation

Alt 30.04.2010, 18:12   #26
Janina
 
Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw. - Standard

Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.


Das hat jetzt mal gedauert,

hat aber nix gefunden, oder?


ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=8504589cae06ba45880d592064bc3062
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-04-30 04:36:48
# local_time=2010-04-30 06:36:48 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 260422 260422 0 0
# compatibility_mode=1797 16775125 100 100 266641 48148330 67589 0
# compatibility_mode=8192 67108863 100 0 222 222 0 0
# scanned=78667
# found=0
# cleaned=0
# scan_time=12385

Alt 30.04.2010, 18:41   #27
StLB
/// Helfer-Team
 
Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw. - Standard

Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.


Gut, das sollte es gewesen sein


Abschließende Maßnahmen:

1. OTL Cleanup:
  • Um die verwendeten Tools zu entfernen, kannst du die CleanUp-Funktion von OTL nutzen
  • Öffne OTL und klicke auf den CleanUp Button

2. Updates prüfen:
  • Hinweis: dies ist nur ein Stardarttext. Nicht alle Punkte treffen bei Dir zu.
  • Microsoft Updates
  • Acrobat Reader
    • Entferne die alte Version von Acrobat Reader über Systemsteuerung ---> Software
    • Lade Dir die aktuelle Version (9.1) herunter oder...
    • ... installiere den kostenlosen Foxit Reader
  • Java
    • Beende alle Programme
    • Deinstalliere über Systemsteuerung ---> Software alle potentiell veralteten Java-Versionen
    • Lade Dir hier die aktuelle Java-Version herunter und installiere sie

3. Infizierte Systemwiederherstellungspunkte löschen:

Lösche alle Systemwiederherstellungspunkte, sie könnten infiziert sein:
  • Deaktiviere die Systemsteuerung:
    • Start -> Systemsteuerung -> System, Register Systemwiederherstellung
    • Setze einen Haken vor: 'Systemwiederherstellung auf allen Laufwerken deaktivieren'
    • Klicke auf OK
  • Reboote Deinen PC.
  • Aktiviere die Systemwiederherstellung nach obigem Schema (optional)
__________________
Gruß, Julian

Kein Support per PM!
Spendemöglichkeit: Make a Donation

Alt 30.04.2010, 20:04   #28
Janina
 
Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw. - Standard

Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.


Great Job!

Vielen, vielen Dank für die Hilfe und viele Grüße an das Trojaner-Board-Team!

Janina

Antwort
Seite 2 von 2 1 2

Themen zu Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.
anleitung, dropper, eurer, folge, folgende, freue, geleitet, heute, hoffe, kompetenzteam, leitung, poste, reports, richtig, scans, seite, seiten, system, troja, trojaner, würde


« Win 7 Security Tool 2010 - Virus entfernen? | 3 Trojaner! "TR/Renos.214528", "TR/Dldr.Zlob.caz" und "TR/Dldr.Zlob.cay" »


Ähnliche Themen: Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw.


  1. Click Compare Trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.07.2014 (3)
  2. Probleme mit Click to save Deal Finder & Click to Continue
    Plagegeister aller Art und deren Bekämpfung - 06.08.2013 (9)
  3. click compare - Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 11.05.2013 (12)
  4. Click Compare Trojaner
    Plagegeister aller Art und deren Bekämpfung - 14.04.2013 (9)
  5. Click Compare Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.03.2013 (11)
  6. Trojaner TR/ Dropper.Gen u. Trojaner TR/ Dropper.Gen2 entfernt, dennoch überlastung
    Plagegeister aller Art und deren Bekämpfung - 14.05.2010 (9)
  7. Ertfor.B.30 und Dldr.Agent.dmgo machen meinem Rechner zu schaffen
    Plagegeister aller Art und deren Bekämpfung - 02.05.2010 (2)
  8. Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.
    Plagegeister aller Art und deren Bekämpfung - 01.05.2010 (18)
  9. Versch. Trojaner in mehreren Dateien - TR/SMALL.cjd TR/Dldr.Agent.dmrq TR/Ertfor.B.
    Plagegeister aller Art und deren Bekämpfung - 28.04.2010 (8)
  10. Verschiedene Trojaner: Dldr.A.hlx, Ertfor.A.45, Dropper.Gen
    Log-Analyse und Auswertung - 27.04.2010 (4)
  11. mehrere Trojaner: rootkit, ertfor, click.hatigh...
    Plagegeister aller Art und deren Bekämpfung - 27.04.2010 (2)
  12. Trojaner TR/Click.Agent.afs
    Mülltonne - 14.05.2008 (0)
  13. Trojaner TR/vundo.gen und TR/Click.MNB
    Log-Analyse und Auswertung - 30.07.2007 (5)
  14. Trojaner: TR/Click.Age.dj.5.C
    Plagegeister aller Art und deren Bekämpfung - 24.06.2005 (4)
  15. Click Trojaner
    Plagegeister aller Art und deren Bekämpfung - 19.06.2005 (9)
  16. Trojaner TR/Click.Small.F was ist das?
    Plagegeister aller Art und deren Bekämpfung - 22.07.2004 (3)
  17. Eine Herde Trojanischer Pferde
    Plagegeister aller Art und deren Bekämpfung - 26.02.2003 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw. - Hi, deinstalliere bitte den Acrobat Reader. Deine Version ist dermaßen veraltet... ein großes Sicherheitsrisiko. Führe bitte mal einen Rootkitscan mit GMER durch. Da versteckt sich mit Sicherheit noch mehr. - Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw....
Archiv
Du betrachtest: Von Trojaner-Herde überrannt. Ertfor, Dropper, Click.Hatigh usw. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131