Trojanermeldungen seit einigen Wochen

Esmaralda · 17.05.2010, 17:08

Mein Rechner ist privat, bei mir zuhause.. Die Proxys werden nicht gebraucht..

cosinus · 17.05.2010, 18:12

Und wer hat die Proxy dann eingetragen?? Und warum?
Die Browser müssten nun wieder ins Internet kommen. Mach aber bitte noch nen Durchang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Esmaralda · 17.05.2010, 20:36

Habe alles so gemacht. Antivir ließ sich nicht vollständig schließen/Prozesse beenden. Ich habe es sogar deinstalliert, aber ComboFix meldete immer noch, dass es noch läuft. Ich hab es trotzdem ausgeführt. Hoffe das war okay.
Der Log:

ComboFix 10-05-16.02 - *** 17.05.2010 20:51:08.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.383.181 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\Cogi.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {806EE0B3-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806EE0B3-FFA4-00DA-0D24-347CA8A3377C}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Dokumente\Settings
C:\Dokumente und Einstellungen\***\Anwendungsdaten\C7BF14F61666B1E44FB77DBF2C5F547D
C:\Dokumente und Einstellungen\***\Anwendungsdaten\C7BF14F61666B1E44FB77DBF2C5F547D\enemies-names.txt
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dealio
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dealio\res\widgets.xml
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dealio\temp\http___www_dealio_com_rss_coupons-deals_dotd_.xml
C:\Programme\Dealio Toolbar
C:\Programme\Dealio Toolbar\config.ini
C:\Programme\Dealio Toolbar\DealioToolbarIE.dll
C:\Programme\Dealio Toolbar\Res\amazon.gif
C:\Programme\Dealio Toolbar\Res\apple.gif
C:\Programme\Dealio Toolbar\Res\barnes.gif
C:\Programme\Dealio Toolbar\Res\bestbuy.gif
C:\Programme\Dealio Toolbar\Res\dealio_logo.gif
C:\Programme\Dealio Toolbar\Res\dealio_logo_hover.gif
C:\Programme\Dealio Toolbar\Res\ebay.gif
C:\Programme\Dealio Toolbar\Res\icon_settings.gif
C:\Programme\Dealio Toolbar\Res\macys.gif
C:\Programme\Dealio Toolbar\Res\newegg.gif
C:\Programme\Dealio Toolbar\Res\overstock.gif
C:\Programme\Dealio Toolbar\Res\search-button-hover.gif
C:\Programme\Dealio Toolbar\Res\search-button.gif
C:\Programme\Dealio Toolbar\Res\search-chevron-hover.gif
C:\Programme\Dealio Toolbar\Res\search-chevron.gif
C:\Programme\Dealio Toolbar\Res\search_amazon.gif
C:\Programme\Dealio Toolbar\Res\search_dealio.gif
C:\Programme\Dealio Toolbar\Res\search_ebay.gif
C:\Programme\Dealio Toolbar\Res\search_yahoo.gif
C:\Programme\Dealio Toolbar\Res\separator.gif
C:\Programme\Dealio Toolbar\Res\target.gif
C:\Programme\Dealio Toolbar\Res\walmart.gif
C:\Programme\Dealio Toolbar\Res\widgets.xml
C:\Programme\Dealio Toolbar\SearchSettingsKit.exe
C:\Programme\Dealio Toolbar\WidgiHelper.exe
C:\Programme\Search Settings
C:\Programme\Search Settings\FF\chrome.manifest
C:\Programme\Search Settings\FF\chrome\content\plugin.js
C:\Programme\Search Settings\FF\chrome\content\plugin.xul
C:\Programme\Search Settings\FF\chrome\content\protection.js
C:\Programme\Search Settings\FF\chrome\content\utils.js
C:\Programme\Search Settings\FF\chrome\locale\en-US\searchsettingsplugin.dtd
C:\Programme\Search Settings\FF\chrome\locale\en-US\searchsettingsplugin.properties
C:\Programme\Search Settings\FF\components\IFBHOSearch.xpt
C:\Programme\Search Settings\FF\components\IFBHOSearchHelperEngine.xpt
C:\Programme\Search Settings\FF\components\IFHelperPreferences.xpt
C:\Programme\Search Settings\FF\components\SearchSettingsFF.dll
C:\Programme\Search Settings\FF\install.rdf
C:\Programme\Search Settings\SearchSettings.dll
C:\Programme\Search Settings\SearchSettings.exe
C:\Programme\Search Settings\SearchSettingsRes409.dll
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Dealio
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Dealio\res\widgets.xml
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Dealio\temp\http___www_dealio_com_rss_coupons-deals_dotd_.xml
C:\WINDOWS\system32\lowsec
C:\WINDOWS\system32\lowsec\local.ds
C:\WINDOWS\system32\lowsec\user.ds

Infizierte Kopie von C:\WINDOWS\system32\drivers\ipsec.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack

wurde wiederhergestellt
Infizierte Kopie von C:\WINDOWS\system32\userinit.exe wurde gefunden und desinfiziert
Kopie von - C:\WINDOWS\ServicePackFiles\i386\userinit.exe wurde wiederhergestellt

.
((((((((((((((((((((((( Dateien erstellt von 2010-04-17 bis 2010-05-17 ))))))))))))))))))))))))))))))
.

2010-05-17 15:37:35 . 2010-05-17 15:37:35 -------- d-----w- C:\_OTL
2010-05-15 10:15:50 . 2010-05-15 10:15:50 -------- d-sh--w- C:\Dokumente und Einstellungen\NetworkService\IETldCache
2010-05-15 10:07:54 . 2010-05-15 10:07:54 -------- d-sh--w- C:\Dokumente und Einstellungen\***\PrivacIE
2010-05-15 10:04:35 . 2010-05-15 10:04:35 -------- d-sh--w- C:\WINDOWS\system32\config\systemprofile\IETldCache
2010-05-15 10:02:49 . 2010-05-15 10:02:49 -------- d-sh--w- C:\Dokumente und Einstellungen\***\IETldCache
2010-05-15 09:53:23 . 2010-05-15 09:58:37 -------- dc-h--w- C:\WINDOWS\ie8
2010-05-15 09:53:23 . 2010-05-15 09:57:22 -------- d-----w- C:\WINDOWS\system32\de-DE
2010-05-11 09:09:39 . 2010-05-11 09:09:39 -------- d-s---w- C:\Dokumente und Einstellungen\LocalService\UserData
2010-05-07 11:38:01 . 2004-08-03 23:58:18 25088 ----a-w- C:\WINDOWS\system32\stu2.exe
2010-04-21 09:17:12 . 2010-04-21 09:17:12 -------- d-sh--w- C:\Dokumente und Einstellungen\NetworkService\UserData

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-17 19:11:26 . 2008-08-05 09:54:32 42207264 --sha-w- C:\WINDOWS\system32\drivers\fidbox.dat
2010-05-17 19:07:46 . 2008-08-05 09:54:32 498752 --sha-w- C:\WINDOWS\system32\drivers\fidbox.idx
2010-05-17 18:31:55 . 2006-12-29 20:02:47 26008 -c--a-w- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-17 17:53:22 . 2006-12-29 20:28:47 -------- d-----w- C:\Programme\Mozilla Thunderbird
2010-05-17 09:56:22 . 2009-02-16 15:40:57 -------- d-----w- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2010-05-10 19:45:34 . 2010-04-21 13:07:16 -------- d-----w- C:\Programme\Malwarebytes' Anti-Malware
2010-05-06 21:37:40 . 2010-05-07 10:20:14 111104 ----a-w- C:\WINDOWS\Internet Logs\xDB5C.tmp
2010-05-05 09:51:23 . 2010-04-12 09:43:16 443912 ----a-w- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Real\Update\setup3.10\setup.exe
2010-05-03 12:56:17 . 2010-05-03 15:26:43 334336 ----a-w- C:\WINDOWS\Internet Logs\xDB5B.tmp
2010-04-29 13:39:38 . 2010-04-21 13:07:39 38224 ----a-w- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39:26 . 2010-04-21 13:07:17 20952 ----a-w- C:\WINDOWS\system32\drivers\mbam.sys
2010-04-25 09:22:19 . 2006-12-29 20:52:25 -------- d-----w- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2
2010-04-22 06:36:53 . 2010-04-22 06:36:53 -------- d-----w- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Search Settings
2010-04-21 13:08:15 . 2010-04-21 13:08:15 -------- d-----w- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2010-04-21 13:07:19 . 2010-04-21 13:07:19 -------- d-----w- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-21 09:30:12 . 2010-04-21 10:53:03 145408 ----a-w- C:\WINDOWS\Internet Logs\xDB5A.tmp
2010-04-14 23:17:23 . 2010-04-15 06:57:40 71168 ----a-w- C:\WINDOWS\Internet Logs\xDB59.tmp
2010-04-01 06:06:37 . 2010-04-12 08:59:04 118272 ----a-w- C:\WINDOWS\Internet Logs\xDB58.tmp
2010-03-30 10:52:08 . 2001-08-18 10:00:00 75194 ----a-w- C:\WINDOWS\system32\perfc007.dat
2010-03-30 10:52:08 . 2001-08-18 10:00:00 415800 ----a-w- C:\WINDOWS\system32\perfh007.dat
2010-03-26 23:30:07 . 2010-03-27 09:32:43 112128 ----a-w- C:\WINDOWS\Internet Logs\xDB57.tmp
2010-03-26 08:33:34 . 2010-04-29 19:23:07 1496064 ----a-w- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-03-26 08:33:16 . 2010-04-29 19:23:10 43008 ----a-w- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-03-26 08:33:16 . 2010-04-29 19:23:09 339456 ----a-w- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-03-26 08:32:54 . 2010-04-29 19:23:08 346112 ----a-w- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-03-24 08:49:34 . 2010-03-23 13:56:31 -------- d-----w- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CwGet
2010-03-22 08:16:12 . 2007-05-08 14:13:13 18840508 -c--a-w- C:\WINDOWS\Internet Logs\tvDebug.zip
2010-03-20 23:06:45 . 2010-03-21 08:30:39 47104 ----a-w- C:\WINDOWS\Internet Logs\xDB56.tmp
2010-03-19 23:28:29 . 2010-03-20 08:48:02 149504 ----a-w- C:\WINDOWS\Internet Logs\xDB55.tmp
2010-03-18 12:02:20 . 2010-03-18 12:02:19 101376 ----a-w- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll
2010-03-18 12:02:19 . 2010-03-18 12:02:19 52224 ----a-w- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll
2010-03-10 23:44:56 . 2010-03-11 10:45:56 34816 ----a-w- C:\WINDOWS\Internet Logs\xDB54.tmp
2010-03-10 14:55:13 . 2010-03-10 18:16:40 135168 ----a-w- C:\WINDOWS\Internet Logs\xDB53.tmp
2010-02-28 20:25:27 . 2010-03-01 07:28:52 32256 ----a-w- C:\WINDOWS\Internet Logs\xDB52.tmp
2010-02-27 23:03:47 . 2010-02-28 08:01:38 245760 ----a-w- C:\WINDOWS\Internet Logs\xDB51.tmp
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-01-28 23:45:00 2899968]
"nwiz"="nwiz.exe" [2004-01-28 23:45:00 782336]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-01-28 23:45:00 46080]
"anvshell"="anvshell.exe" [2003-07-23 22:19:16 380928]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2006-04-06 00:06:00 1503232]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-07-06 01:06:58 185896]
"Adobe Reader Speed Launcher"="D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 21:16:38 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-11-04 09:30:50 413696]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\ZoneAlarm\zlclient.exe" [2008-07-09 08:05:20 919016]
"SunJavaUpdateSched"="C:\Programme\Java\jre6\bin\jusched.exe" [2008-12-14 08:06:01 136600]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wscsvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 ANVIOCTL;ANVIOCTL;C:\WINDOWS\system32\drivers\anvioctl.sys [29.12.2006 22:18:02 231480]
R1 VRVD302;VRVD302;C:\WINDOWS\system32\drivers\VRVD302.sys [17.12.2007 14:20:03 11296]
R2 Application Updater;Application Updater;C:\Programme\Application Updater\ApplicationUpdater.exe [08.01.2010 01:51:02 380928]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\drivers\fwlanusb.sys [29.12.2006 22:53:45 264704]
S3 FsUsbExDisk;FsUsbExDisk;C:\WINDOWS\system32\FsUsbExDisk.Sys [05.09.2009 09:43:49 36608]
S3 zlportio;zlportio;\??\D:\Spiele\ultrastar\UltraStar Deluxe\zlportio.sys --> D:\Spiele\ultrastar\UltraStar Deluxe\zlportio.sys [?]
S4 Sersyc20sp;Sersyc20sp; [x]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Inhalt des "geplante Tasks" Ordners

2010-05-17 C:\WINDOWS\Tasks\Google Software Updater.job
- C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-06-23 22:24:37 . 2009-03-31 16:45:09]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2269050
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
FF - ProfilePath - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=867034&p=
FF - component: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll
FF - component: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll
FF - plugin: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: C:\Programme\Gemeinsame Dateien\fluxDVD\APIX\NPAPIX.dll
FF - plugin: C:\Programme\Gemeinsame Dateien\fluxDVD\BrowserIntegration\NPFluxBrowserHelper.dll
FF - plugin: C:\Programme\Gemeinsame Dateien\mpDRM\NPMPDRM.dll
FF - plugin: C:\Programme\Gemeinsame Dateien\mpDRM\NPWMDRMWrapper.dll
FF - plugin: C:\Programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: C:\Programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: D:\Programme\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF - plugin: D:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF - plugin: d:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\Programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: d:\Programme\DivX\DivX Web Player\npdivx32.dll
FF - plugin: D:\Programme\DivX\DivX Web Player\npdivx32.dll
FF - plugin: D:\Programme\Netscape6\nppl3260.dll
FF - plugin: D:\Programme\Netscape6\nprjplug.dll
FF - plugin: D:\Programme\Netscape6\nprpjplug.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - trueC:\Programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
C:\Programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
C:\Programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
C:\Programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
C:\Programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
C:\Programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
C:\Programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
C:\Programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
C:\Programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
C:\Programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - (no file)
HKLM-Run-SearchSettings - C:\Programme\Search Settings\SearchSettings.exe
AddRemove-AFPL Ghostscript 8.54 - C:\Programme\gs\uninstgs.exe
AddRemove-AFPL Ghostscript Fonts - C:\Programme\gs\uninstgs.exe
AddRemove-RealJukebox 1.0 - C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe
AddRemove-RealPlayer 6.0 - C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe
AddRemove-ShockwaveFlash - C:\WINDOWS\system32\Macromed\Flash\UninstFl.exe

cosinus · 17.05.2010, 20:59

Das Log sieht nicht ganz vollständig aus. Du kannst die Logdatei von CF auch zippen und hier anhängen oder bei file-upload.net hochladen und hier verlinken.

Esmaralda · 18.05.2010, 09:12

hxxp://www.file-upload.net/download-2525900/ComboFix.txt.html

cosinus · 18.05.2010, 11:26

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Driver::
Sersyc20sp

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Esmaralda · 18.05.2010, 12:49

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-05-16.05 - *** 18.05.2010  13:07:04.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.383.208 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\Cogi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {806EE0B3-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806EE0B3-FFA4-00DA-0D24-347CA8A3377C}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\dokumente und einstellungen\***\Anwendungsdaten\C7BF14F61666B1E44FB77DBF2C5F547D\enemies-names.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\Dealio\res\widgets.xml
c:\dokumente und einstellungen\***\Anwendungsdaten\Dealio\temp\http___www_dealio_com_rss_coupons-deals_dotd_.xml
c:\programme\Dealio Toolbar\config.ini
c:\programme\Dealio Toolbar\DealioToolbarIE.dll
c:\programme\Dealio Toolbar\Res\amazon.gif
c:\programme\Dealio Toolbar\Res\apple.gif
c:\programme\Dealio Toolbar\Res\barnes.gif
c:\programme\Dealio Toolbar\Res\bestbuy.gif
c:\programme\Dealio Toolbar\Res\dealio_logo.gif
c:\programme\Dealio Toolbar\Res\dealio_logo_hover.gif
c:\programme\Dealio Toolbar\Res\ebay.gif
c:\programme\Dealio Toolbar\Res\icon_settings.gif
c:\programme\Dealio Toolbar\Res\macys.gif
c:\programme\Dealio Toolbar\Res\newegg.gif
c:\programme\Dealio Toolbar\Res\overstock.gif
c:\programme\Dealio Toolbar\Res\search-button-hover.gif
c:\programme\Dealio Toolbar\Res\search-button.gif
c:\programme\Dealio Toolbar\Res\search-chevron-hover.gif
c:\programme\Dealio Toolbar\Res\search-chevron.gif
c:\programme\Dealio Toolbar\Res\search_amazon.gif
c:\programme\Dealio Toolbar\Res\search_dealio.gif
c:\programme\Dealio Toolbar\Res\search_ebay.gif
c:\programme\Dealio Toolbar\Res\search_yahoo.gif
c:\programme\Dealio Toolbar\Res\separator.gif
c:\programme\Dealio Toolbar\Res\target.gif
c:\programme\Dealio Toolbar\Res\walmart.gif
c:\programme\Dealio Toolbar\Res\widgets.xml
c:\programme\Dealio Toolbar\SearchSettingsKit.exe
c:\programme\Dealio Toolbar\WidgiHelper.exe
c:\programme\Search Settings\FF\chrome.manifest
c:\programme\Search Settings\FF\chrome\content\plugin.js
c:\programme\Search Settings\FF\chrome\content\plugin.xul
c:\programme\Search Settings\FF\chrome\content\protection.js
c:\programme\Search Settings\FF\chrome\content\utils.js
c:\programme\Search Settings\FF\chrome\locale\en-US\searchsettingsplugin.dtd
c:\programme\Search Settings\FF\chrome\locale\en-US\searchsettingsplugin.properties
c:\programme\Search Settings\FF\components\IFBHOSearch.xpt
c:\programme\Search Settings\FF\components\IFBHOSearchHelperEngine.xpt
c:\programme\Search Settings\FF\components\IFHelperPreferences.xpt
c:\programme\Search Settings\FF\components\SearchSettingsFF.dll
c:\programme\Search Settings\FF\install.rdf
c:\programme\Search Settings\SearchSettings.dll
c:\programme\Search Settings\SearchSettings.exe
c:\programme\Search Settings\SearchSettingsRes409.dll
c:\windows\system32\config\systemprofile\Anwendungsdaten\Dealio\res\widgets.xml
c:\windows\system32\config\systemprofile\Anwendungsdaten\Dealio\temp\http___www_dealio_com_rss_coupons-deals_dotd_.xml
c:\windows\system32\lowsec\local.ds
c:\windows\system32\lowsec\user.ds

-- Vorheriger Suchlauf --

Infizierte Kopie von c:\windows\system32\drivers\ipsec.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\ServicePackFiles\i386\userinit.exe wurde wiederhergestellt 

--------

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Sersyc20sp


(((((((((((((((((((((((   Dateien erstellt von 2010-04-18 bis 2010-05-18  ))))))))))))))))))))))))))))))
.

2010-05-18 09:19 . 2010-05-18 10:48	--------	d-----w-	c:\windows\system32\CatRoot_bak
2010-05-18 08:53 . 2010-05-18 08:53	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Avira
2010-05-17 20:07 . 2010-05-18 09:11	--------	d--h--w-	c:\windows\$hf_mig$
2010-05-17 19:24 . 2010-03-01 08:05	124784	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-05-17 19:24 . 2009-05-11 10:49	17016	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-05-17 19:24 . 2009-05-11 10:49	51992	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-05-17 19:24 . 2010-05-17 19:24	--------	d-----w-	c:\programme\Avira
2010-05-17 15:37 . 2010-05-17 15:37	--------	d-----w-	C:\_OTL
2010-05-15 10:15 . 2010-05-15 10:15	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2010-05-15 10:07 . 2010-05-15 10:07	--------	d-sh--w-	c:\dokumente und einstellungen\***\PrivacIE
2010-05-15 10:04 . 2010-05-15 10:04	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2010-05-15 10:02 . 2010-05-15 10:02	--------	d-sh--w-	c:\dokumente und einstellungen\***\IETldCache
2010-05-15 09:53 . 2010-05-15 09:58	--------	dc-h--w-	c:\windows\ie8
2010-05-15 09:53 . 2010-05-15 09:57	--------	d-----w-	c:\windows\system32\de-DE
2010-05-11 09:09 . 2010-05-11 09:09	--------	d-s---w-	c:\dokumente und einstellungen\LocalService\UserData
2010-05-07 11:38 . 2004-08-03 23:58	25088	----a-w-	c:\windows\system32\stu2.exe
2010-05-05 06:13 . 2010-05-05 06:13	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-05-05 06:12 . 2010-05-05 06:13	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-04-29 19:23 . 2010-03-26 08:33	43008	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-04-29 19:23 . 2010-03-26 08:33	339456	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-04-29 19:23 . 2010-03-26 08:32	346112	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-04-29 19:23 . 2010-03-26 08:33	1496064	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-04-21 13:08 . 2010-04-21 13:08	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-04-21 13:07 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-21 13:07 . 2010-04-21 13:07	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-21 13:07 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-21 13:07 . 2010-05-10 19:45	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-04-21 13:05 . 2010-04-21 13:05	5918720	----a-w-	c:\temp\herbert.exe
2010-04-21 09:17 . 2010-04-21 09:17	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\UserData

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-18 11:34 . 2008-08-05 09:54	42870816	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2010-05-18 11:28 . 2008-08-05 09:54	506504	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2010-05-18 10:57 . 2009-02-16 15:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-05-18 10:16 . 2010-04-12 09:43	443912	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Real\Update\setup3.10\setup.exe
2010-05-18 08:54 . 2006-12-29 20:28	--------	d-----w-	c:\programme\Mozilla Thunderbird
2010-05-17 18:31 . 2006-12-29 20:02	26008	-c--a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-06 21:37 . 2010-05-07 10:20	111104	----a-w-	c:\windows\Internet Logs\xDB5C.tmp
2010-05-03 12:56 . 2010-05-03 15:26	334336	----a-w-	c:\windows\Internet Logs\xDB5B.tmp
2010-04-25 09:22 . 2006-12-29 20:52	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org2
2010-04-21 09:30 . 2010-04-21 10:53	145408	----a-w-	c:\windows\Internet Logs\xDB5A.tmp
2010-04-14 23:17 . 2010-04-15 06:57	71168	----a-w-	c:\windows\Internet Logs\xDB59.tmp
2010-04-01 06:06 . 2010-04-12 08:59	118272	----a-w-	c:\windows\Internet Logs\xDB58.tmp
2010-03-30 10:52 . 2001-08-18 10:00	75194	----a-w-	c:\windows\system32\perfc007.dat
2010-03-30 10:52 . 2001-08-18 10:00	415800	----a-w-	c:\windows\system32\perfh007.dat
2010-03-26 23:30 . 2010-03-27 09:32	112128	----a-w-	c:\windows\Internet Logs\xDB57.tmp
2010-03-24 08:49 . 2010-03-23 13:56	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\CwGet
2010-03-22 08:16 . 2007-05-08 14:13	18840508	-c--a-w-	c:\windows\Internet Logs\tvDebug.zip
2010-03-20 23:06 . 2010-03-21 08:30	47104	----a-w-	c:\windows\Internet Logs\xDB56.tmp
2010-03-19 23:28 . 2010-03-20 08:48	149504	----a-w-	c:\windows\Internet Logs\xDB55.tmp
2010-03-18 12:02 . 2010-03-18 12:02	101376	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll
2010-03-18 12:02 . 2010-03-18 12:02	52224	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll
2010-03-10 23:44 . 2010-03-11 10:45	34816	----a-w-	c:\windows\Internet Logs\xDB54.tmp
2010-03-10 14:55 . 2010-03-10 18:16	135168	----a-w-	c:\windows\Internet Logs\xDB53.tmp
2010-02-28 20:25 . 2010-03-01 07:28	32256	----a-w-	c:\windows\Internet Logs\xDB52.tmp
2010-02-27 23:03 . 2010-02-28 08:01	245760	----a-w-	c:\windows\Internet Logs\xDB51.tmp
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-01-28 2899968]
"nwiz"="nwiz.exe" [2004-01-28 782336]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-01-28 46080]
"anvshell"="anvshell.exe" [2003-07-23 380928]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-04-06 1503232]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-07-06 185896]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-11-04 413696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-14 136600]
"SearchSettings"="c:\programme\Search Settings\SearchSettings.exe" [BU]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wscsvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 ANVIOCTL;ANVIOCTL;c:\windows\system32\drivers\anvioctl.sys [29.12.2006 22:18 231480]
R1 VRVD302;VRVD302;c:\windows\system32\drivers\VRVD302.sys [17.12.2007 14:20 11296]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.05.2010 21:24 135336]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [08.01.2010 01:51 380928]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [29.12.2006 22:53 264704]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [05.09.2009 09:43 36608]
S3 zlportio;zlportio;\??\d:\spiele\ultrastar\UltraStar Deluxe\zlportio.sys --> d:\spiele\ultrastar\UltraStar Deluxe\zlportio.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Inhalt des "geplante Tasks" Ordners

2010-05-18 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-06-23 16:45]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2269050
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=867034&p=
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7gkkvfyc.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Gemeinsame Dateien\fluxDVD\APIX\NPAPIX.dll
FF - plugin: c:\programme\Gemeinsame Dateien\fluxDVD\BrowserIntegration\NPFluxBrowserHelper.dll
FF - plugin: c:\programme\Gemeinsame Dateien\mpDRM\NPMPDRM.dll
FF - plugin: c:\programme\Gemeinsame Dateien\mpDRM\NPWMDRMWrapper.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: d:\programme\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF - plugin: d:\programme\DivX\DivX Content Uploader\npUpload.dll
FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: d:\programme\Netscape6\nppl3260.dll
FF - plugin: d:\programme\Netscape6\nprjplug.dll
FF - plugin: d:\programme\Netscape6\nprpjplug.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-18 13:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3384)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\avmwlanstick\WlanNetService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\anvshell.exe
c:\programme\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-05-18  13:45:58 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-05-18 11:45

Vor Suchlauf: 259.411.968 Bytes frei
Nach Suchlauf: 707.084.288 Bytes frei

- - End Of File - - 8693D08D4AF3887D06F8F960E0F996CA

--- --- ---

cosinus · 18.05.2010, 12:53

Ok. Für weitere Analysen nun bitte OSAM und GMER Logs posten.

Esmaralda · 18.05.2010, 14:35

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 14:27:01 on 18.05.2010

OS: Windows XP Professional Service Pack 2 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.3

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ANVIOCTL" (ANVIOCTL) - "ASUSTeK" - C:\WINDOWS\System32\DRIVERS\anvioctl.sys
"asuskbnt" (asuskbnt) - "ASUSTeK COMPUTER INC." - C:\WINDOWS\System32\DRIVERS\asuskbnt.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Cogi\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"EIO" (EIO) - "ASUSTeK Computer Inc." - C:\WINDOWS\system32\drivers\EIO.sys
"FsUsbExDisk" (FsUsbExDisk) - ? - C:\WINDOWS\system32\FsUsbExDisk.SYS  (File found, but it contains no detailed information)
"GEAR ASPI Filter Driver" (GEARAspiWDM) - ? - C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys  (File not found)
"Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\WINDOWS\System32\DRIVERS\hamachi.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"mbr" (mbr) - ? - C:\DOKUME~1\***\LOKALE~1\Temp\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"nv" (nv) - "NVIDIA Corporation" - C:\WINDOWS\System32\DRIVERS\nv4_mini.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)
"srescan" (srescan) - "Zone Labs, LLC" - C:\WINDOWS\System32\ZoneLabs\srescan.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"VRVD302" (VRVD302) - "Rsupport Corporation" - C:\WINDOWS\System32\DRIVERS\VRVD302.sys
"vsdatant" (vsdatant) - "Zone Labs, LLC" - C:\WINDOWS\System32\vsdatant.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"zlportio" (zlportio) - ? - D:\Spiele\ultrastar\UltraStar Deluxe\zlportio.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\NVCPL.DLL
{C9CF278C-460E-4917-BC43-3F75E6E47D3D} "fluxDVD Shell Information Extractor" - "ACE GmbH" - C:\PROGRA~1\GEMEIN~1\fluxDVD\Lib\XEB\XEBShell.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll
{1530F7EE-5128-43BD-9977-84A4B0FAD7DF} "PhotoToys" - "Microsoft Corporation" - C:\WINDOWS\system32\phototoys.dll
{71A068F3-2DC9-438D-8944-6B4FF540D2F5} "QContextMenu Class" - ? - C:\Programme\Quintessential Media Player\QMPShell.dll  (File not found)
{4EFE464B-3D0B-4800-A5DE-2321283A3256} "QIconHandler Class" - ? - d:\Programme\Quintessential Player\QCDIcons.dll
{71A466B0-65CC-4B41-9043-6090F2C830D3} "QIconHandler Class" - ? - C:\Programme\Quintessential Media Player\QMPShell.dll  (File not found)
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - D:\Programme\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{B8323370-FF27-11D2-97B6-204C4F4F5020} "SmartFTP Shell Extension DLL" - ? - C:\Programme\SmartFTP Client 2.0\smarthook.dll  (File not found)
{EFD6CB51-5209-42B4-ACFF-6B3DA1F20438} "WinHKI" - ? -   (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)
{D9872D13-7651-4471-9EEE-F0A00218BEBB} "ZLAVShExt Class" - "Zone Labs, LLC" - C:\Programme\Zone Labs\ZoneAlarm\ZoneAlarm\zlavscan.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} "Java Plug-in 1.6.0" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab
{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} "Java Plug-in 1.6.0_01" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_11" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_11.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} "Java Plug-in 1.6.0_11" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_11.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_11" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_11.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
{17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\LegitCheckControl.DLL / hxxp://go.microsoft.com/fwlink/?linkid=39204
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_11.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

[Logon]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"anvshell" - "AsusTeK Computer Inc." - anvshell.exe
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"AVMWlanClient" - "AVM Berlin" - C:\Programme\avmwlanstick\wlangui.exe
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"SearchSettings" - ? - C:\Programme\Search Settings\SearchSettings.exe  (File not found)
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe"
"TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"%NVSVC.name%" (NVSvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Adobe LM Service" (Adobe LM Service) - ? - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
"Application Updater" (Application Updater) - "Spigot, Inc." - C:\Programme\Application Updater\ApplicationUpdater.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"AVM WLAN Connection Service" (AVM WLAN Connection Service) - "AVM Berlin" - C:\Programme\avmwlanstick\WlanNetService.exe
"Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"getPlus(R) Helper" (getPlusHelper) - "NOS Microsystems Ltd." - C:\Programme\NOS\bin\getPlus_Helper.dll
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"TrueVector Internet Monitor" (vsmon) - "Zone Labs, LLC" - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Esmaralda · 18.05.2010, 14:36

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15281 - h**p://www.gmer.net
Rootkit scan 2010-05-18 15:24:19
Windows 5.1.2600 Service Pack 2
Running: yi3wt0zp.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\pgldqpoc.sys


---- System - GMER 1.0.15 ----

SSDT    \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwCreateFile [0xF1B2A930]
SSDT    F7DE729E                                                                     ZwCreateKey
SSDT    F7DE7294                                                                     ZwCreateThread
SSDT    \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwDeleteFile [0xF1B2AF20]
SSDT    F7DE72A3                                                                     ZwDeleteKey
SSDT    F7DE72AD                                                                     ZwDeleteValueKey
SSDT    F7DE72B2                                                                     ZwLoadKey
SSDT    \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwOpenFile [0xF1B2AD70]
SSDT    F7DE7280                                                                     ZwOpenProcess
SSDT    F7DE7285                                                                     ZwOpenThread
SSDT    \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwRenameKey [0xF1B37250]
SSDT    F7DE72BC                                                                     ZwReplaceKey
SSDT    F7DE72B7                                                                     ZwRestoreKey
SSDT    \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwSetInformationFile [0xF1B2B120]
SSDT    F7DE72A8                                                                     ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

?       Combo-Fix.sys                                                                Das System kann die angegebene Datei nicht finden. !
?       srescan.sys                                                                  Das System kann die angegebene Datei nicht finden. !
init    C:\WINDOWS\System32\ANVMINI.DLL                                              entry point in "init" section [0xBF4E2300]
?       C:\DOKUME~1\***\LOKALE~1\Temp\mbr.sys                                      Das System kann die angegebene Datei nicht finden. !
?       C:\Cogi\catchme.sys                                                          Das System kann den angegebenen Pfad nicht finden. !
?       C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                   Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT     \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile]              [F1B40330] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile]                [F1B2B670] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile]      [F1B2B5C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile]              [F1B2B770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile]              [F1B2B2D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- Devices - GMER 1.0.15 ----

Device  \Driver\Tcpip \Device\Ip                                                     vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device  \Driver\Tcpip \Device\Tcp                                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device  \Driver\Tcpip \Device\Udp                                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device  \Driver\Tcpip \Device\RawIp                                                  vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device  \Driver\Tcpip \Device\IPMULTICAST                                            vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- EOF - GMER 1.0.15 ----

--- --- ---

cosinus · 18.05.2010, 14:44

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

17.05.2010, 20:59	#19
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojanermeldungen seit einigen Wochen Das Log sieht nicht ganz vollständig aus. Du kannst die Logdatei von CF auch zippen und hier anhängen oder bei file-upload.net hochladen und hier verlinken. __________________ Logfiles bitte immer in CODE-Tags posten

18.05.2010, 12:53	#23
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojanermeldungen seit einigen Wochen Ok. Für weitere Analysen nun bitte OSAM und GMER Logs posten. __________________ Logfiles bitte immer in CODE-Tags posten

18.05.2010, 14:44	#26
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojanermeldungen seit einigen Wochen Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

Trojanermeldungen seit einigen Wochen

Log-Analyse und Auswertung: Trojanermeldungen seit einigen Wochen