Virus gefunden und gelöscht... immernoch vorhanden?

painscythe · 21.09.2010, 00:15

Hallo Leute!
Ich hatte mir vor kurzem einen Virus eingefangen und ihn gelöscht... Nun beschleicht mich aber das Gefühl, dass dieser immernoch vorhanden ist. Wäre nett, wenn sich einer meinen hijackthis-log angucken und mehr dazu sagen könnte. Danke im Vorraus!

HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 01:14:31, on 21.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\programme\steam\steam.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Dokumente und Einstellungen\Pain\Eigene Dateien\Downloads\HiJackThis204.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.Csl-Computer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.csl-computer.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.csl-computer.com
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 
--
End of file - 5540 bytes

--- --- ---

Leonixx · 21.09.2010, 09:13

Im Logfile ist nichts zu sehen.

Wende Malwarebytes an. Poste Logfile. Findest du im Unterforum Anleitungen.

painscythe · 21.09.2010, 14:32

Danke für die schnelle Hilfe!
Hier ist der gewünschte log:
--------------------------------
Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4663

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

21.09.2010 15:31:01
mbam-log-2010-09-21 (15-31-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 205353
Laufzeit: 24 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{chq53v74-s0dh-518k-4be4-8p41ncc1n3ua} (Generic.Bot.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Ubisoft\Ubisoft Game Launcher\ubiorbitapi_r2.dll (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{84B99EC6-747B-4A81-BAF0-E93C94AEFAF4}\RP37\A0002560.exe (Trojan.Orsam) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{84B99EC6-747B-4A81-BAF0-E93C94AEFAF4}\RP45\A0004054.exe (Backdoor.SpyNet) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Pain\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Pain\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.

Leonixx · 21.09.2010, 15:22

Bitte RSIT anwenden und beide Logfiles posten.

Anschließend

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.
Button "ESET Online Scanner" drücken.
Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
Das Firefox-Addon auf dem Desktop speichern und dann installieren.
IE-User müssen das Installieren eines ActiveX Elements erlauben.
Einen Haken bei "Remove found threads" und "Scan archives" machen.
Start drücken.
Signaturen werden heruntergeladen.
Der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

Poste das Log.

painscythe · 21.09.2010, 15:51

hmm also nach dem Suchlauf mit Malwarebytes hab ich (logischerweise) alles entfernen lassen. Nach 'nem Neustart des PC's hab ich das Programm nochmal drüberlaufen lassen und es wurde nichts mehr gefunden. Also wenn ihr mir nichts anderes erzählt würd ich sagen vielen dank nochmal für die Hilfe, Virus ist weg!

Leonixx · 21.09.2010, 15:52

Erstmal Logfiles checken bzw. auch nochmals eine dritte Meinung über Online Scan. Nur weil Malwarebytes nichts mehr gefunden hat, heißt es nicht das der Rechner sauber ist.

painscythe · 21.09.2010, 16:04

Okay. Gesagt, getan. Hier ist erstma der gewünschte RSIT logfile (hoffentlich das richtige):
RSIT Logfile:

Code:

ATTFilter

Logfile of random's system information tool 1.08 (written by random/random)
Run by Pain at 2010-09-21 17:01:59
Microsoft Windows XP Professional Service Pack 3
System drive C: has 364 GB (76%) free of 477 GB
Total RAM: 2559 MB (77% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:02:00, on 21.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe
C:\Dokumente und Einstellungen\Pain\Desktop\RSIT.exe
C:\Programme\trend micro\Pain.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Google
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = PC-Systeme, Billige Computer, PC Komponenten, PC-Shop - CSL Computer Online-Shop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = PC-Systeme, Billige Computer, PC Komponenten, PC-Shop - CSL Computer Online-Shop
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.csl-computer.com
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5392 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-06-19 75200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
IEVkbdBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll [2009-07-03 68112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2010-08-19 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E33CF602-D945-461A-83F0-819F76A199F8}]
FilterBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll [2010-08-20 264720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2010-08-19 79648]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2010-04-30 19523616]
"AVP"=C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe [2010-08-20 311680]
"SunJavaUpdateSched"=C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [2010-05-14 248552]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-08-11 7630848]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2006-08-11 86016]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2010-06-20 35760]
"Adobe ARM"=C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [2010-06-09 976832]
"DAEMON Tools-1033"=C:\Programme\D-Tools\daemon.exe [2004-08-22 81920]
"LogMeIn Hamachi Ui"=C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe [2010-03-30 1820040]
"UnlockerAssistant"=C:\Programme\Unlocker\UnlockerAssistant.exe [2010-07-04 17408]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"Steam"=c:\programme\steam\steam.exe [2010-09-20 1242448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
C:\WINDOWS\system32\klogon.dll [2009-07-03 219664]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Hamachi2Svc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Ubisoft\Assassin's Creed\AssassinsCreed_Dx9.exe"="C:\Programme\Ubisoft\Assassin's Creed\AssassinsCreed_Dx9.exe:*:Enabled:Assassin's Creed Dx9"
"C:\Programme\Ubisoft\Assassin's Creed\AssassinsCreed_Dx10.exe"="C:\Programme\Ubisoft\Assassin's Creed\AssassinsCreed_Dx10.exe:*:Enabled:Assassin's Creed Dx10"
"C:\Programme\Ubisoft\Assassin's Creed\AssassinsCreed_Launcher.exe"="C:\Programme\Ubisoft\Assassin's Creed\AssassinsCreed_Launcher.exe:*:Enabled:Assassin's Creed Update"
"C:\Programme\ICQ7.2\ICQ.exe"="C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2"
"C:\Programme\ICQ7.2\aolload.exe"="C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe"
"C:\Programme\Ubisoft\Ubisoft Game Launcher\UbisoftGameLauncher.exe"="C:\Programme\Ubisoft\Ubisoft Game Launcher\UbisoftGameLauncher.exe:*:Enabled:Ubisoft Game Launcher"
"C:\Programme\Ubisoft\Assassin's Creed II\AssassinsCreedIIGame.exe"="C:\Programme\Ubisoft\Assassin's Creed II\AssassinsCreedIIGame.exe:*:Enabled:Assassin's Creed II"
"C:\Programme\Ubisoft\Assassin's Creed II\AssassinsCreedII.exe"="C:\Programme\Ubisoft\Assassin's Creed II\AssassinsCreedII.exe:*:Enabled:Assassin's Creed II Update"
"C:\Programme\Ubisoft\Assassin's Creed II\UPlayBrowser.exe"="C:\Programme\Ubisoft\Assassin's Creed II\UPlayBrowser.exe:*:Enabled:Assassin's Creed II Uplay"
"C:\Programme\Unreal Tournament 3 (LG)\Binaries\UT3.exe"="C:\Programme\Unreal Tournament 3 (LG)\Binaries\UT3.exe:*:Enabled:Unreal Tournament 3"
"C:\Programme\Steam\Steam.exe"="C:\Programme\Steam\Steam.exe:*:Enabled:Steam"
"C:\Programme\Steam\steamapps\s3riou5_s4m\counter-strike source\hl2.exe"="C:\Programme\Steam\steamapps\s3riou5_s4m\counter-strike source\hl2.exe:*:Enabled:Counter-Strike: Source"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQ7.2\ICQ.exe"="C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2"
"C:\Programme\ICQ7.2\aolload.exe"="C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe"

======List of files/folders created in the last 1 months======

2010-09-21 16:58:06 ----D---- C:\rsit
2010-09-21 16:58:06 ----D---- C:\Programme\trend micro
2010-09-21 15:05:16 ----D---- C:\Dokumente und Einstellungen\Pain\Anwendungsdaten\Malwarebytes
2010-09-21 15:05:06 ----A---- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2010-09-21 15:05:05 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-21 15:05:03 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-09-21 15:05:03 ----A---- C:\WINDOWS\system32\drivers\mbam.sys
2010-09-21 00:55:37 ----D---- C:\Programme\Unlocker
2010-09-20 16:36:18 ----D---- C:\Programme\Mozilla Thunderbird
2010-09-19 19:02:42 ----D---- C:\Programme\LogMeIn Hamachi
2010-09-19 16:45:50 ----D---- C:\WINDOWS\system32\install
2010-09-19 15:52:03 ----A---- C:\WINDOWS\War3Unin.pif
2010-09-19 15:52:03 ----A---- C:\WINDOWS\War3Unin.exe
2010-09-19 15:49:31 ----D---- C:\Programme\Warcraft III
2010-09-19 15:33:57 ----D---- C:\Programme\Steam
2010-09-18 13:20:20 ----A---- C:\WINDOWS\system32\wpa.bak
2010-09-15 21:26:46 ----D---- C:\Dokumente und Einstellungen\Pain\Anwendungsdaten\FaceGen
2010-09-15 21:26:31 ----D---- C:\Programme\Singular Inversions
2010-09-12 11:48:52 ----AT---- C:\WINDOWS\system32\SIntfNT.dll
2010-09-12 11:48:52 ----AT---- C:\WINDOWS\system32\SIntf32.dll
2010-09-12 11:48:52 ----AT---- C:\WINDOWS\system32\SIntf16.dll
2010-09-11 20:43:57 ----D---- C:\Sierra
2010-09-11 20:43:57 ----A---- C:\WINDOWS\SIERRA.INI
2010-09-11 20:15:47 ----D---- C:\Programme\Ballerburg
2010-09-11 14:22:45 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2010-09-10 18:56:36 ----D---- C:\Dokumente und Einstellungen\Pain\Anwendungsdaten\SPORE
2010-09-05 15:57:32 ----D---- C:\Programme\Gothic 3 Interaktive Komplettlösung
2010-09-04 22:51:25 ----D---- C:\Programme\D-Tools
2010-09-04 22:51:25 ----A---- C:\WINDOWS\system32\drivers\d347prt.sys
2010-09-04 22:51:25 ----A---- C:\WINDOWS\system32\drivers\d347bus.sys
2010-09-04 22:51:15 ----D---- C:\WINDOWS\Downloaded Installations
2010-09-04 18:13:46 ----D---- C:\Dokumente und Einstellungen\Pain\Anwendungsdaten\InstallShield Installation Information
2010-09-04 18:03:38 ----D---- C:\Programme\Unreal Tournament 3 (LG)
2010-09-04 18:03:28 ----D---- C:\Programme\DIFX
2010-09-04 18:03:26 ----D---- C:\WINDOWS\system32\ReinstallBackups
2010-09-04 18:03:24 ----A---- C:\WINDOWS\system32\drivers\AmdK8.sys
2010-09-04 18:03:10 ----DC---- C:\WINDOWS\system32\DRVSTORE
2010-09-04 18:03:05 ----D---- C:\WINDOWS\system32\AGEIA
2010-09-04 18:03:05 ----D---- C:\Programme\AGEIA Technologies
2010-09-04 18:02:59 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2010-09-04 13:47:12 ----D---- C:\Dokumente und Einstellungen\Pain\Anwendungsdaten\Command & Conquer 3 Tiberium Wars
2010-09-03 23:50:17 ----D---- C:\Programme\Electronic Arts
2010-09-01 23:33:48 ----D---- C:\G3iMap
2010-09-01 18:36:41 ----D---- C:\Programme\Gothic III
2010-08-30 17:51:24 ----D---- C:\Programme\Lionhead Studios
2010-08-28 13:04:33 ----A---- C:\WINDOWS\system32\wmpns.dll
2010-08-28 01:15:50 ----D---- C:\WINDOWS\Sun
2010-08-27 07:51:32 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2010-08-27 07:51:26 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2010-08-27 07:51:26 ----D---- C:\Programme\Adobe
2010-08-24 15:53:49 ----A---- C:\WINDOWS\BlendSettings.ini
2010-08-24 15:28:55 ----D---- C:\Programme\Bethesda Softworks
2010-08-24 15:28:19 ----RHD---- C:\Dokumente und Einstellungen\Pain\Anwendungsdaten\SecuROM
2010-08-24 15:28:18 ----A---- C:\WINDOWS\system32\CmdLineExt.dll
2010-08-23 20:58:12 ----D---- C:\Programme\JavaEditor
2010-08-23 16:58:23 ----D---- C:\WINDOWS\nview
2010-08-23 16:58:23 ----A---- C:\WINDOWS\system32\nvudisp.exe
2010-08-23 16:57:54 ----D---- C:\NVIDIA
2010-08-23 11:28:28 ----D---- C:\WINDOWS\system32\appmgmt

======List of files/folders modified in the last 1 months======

2010-09-21 16:58:06 ----RD---- C:\Programme
2010-09-21 16:56:56 ----D---- C:\WINDOWS\Temp
2010-09-21 16:32:21 ----D---- C:\WINDOWS\Prefetch
2010-09-21 15:36:56 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-09-21 15:36:53 ----D---- C:\WINDOWS\system32\CatRoot2
2010-09-21 15:35:37 ----D---- C:\WINDOWS\system32\drivers
2010-09-21 15:35:37 ----D---- C:\WINDOWS\Help
2010-09-21 15:35:13 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-09-21 15:07:03 ----D---- C:\Dokumente und Einstellungen\Pain\Anwendungsdaten\ICQ
2010-09-20 17:05:42 ----D---- C:\WINDOWS
2010-09-19 19:03:06 ----SHD---- C:\WINDOWS\Installer
2010-09-19 19:02:47 ----HD---- C:\WINDOWS\inf
2010-09-19 16:45:50 ----D---- C:\WINDOWS\system32
2010-09-18 15:05:03 ----D---- C:\Programme\Mozilla Firefox
2010-09-18 13:20:26 ----A---- C:\WINDOWS\setuplog.txt
2010-09-14 23:31:59 ----HD---- C:\Programme\InstallShield Installation Information
2010-09-14 23:31:59 ----D---- C:\Programme\Ubisoft
2010-09-11 20:43:45 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield
2010-09-04 22:55:39 ----SD---- C:\Dokumente und Einstellungen\Pain\Anwendungsdaten\Microsoft
2010-09-04 18:03:23 ----RSH---- C:\boot.ini
2010-09-04 18:03:22 ----D---- C:\WINDOWS\system32\DirectX
2010-09-04 00:13:08 ----D---- C:\WINDOWS\WinSxS
2010-08-27 15:21:39 ----D---- C:\Dokumente und Einstellungen\Pain\Anwendungsdaten\Ubisoft
2010-08-27 15:21:39 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
2010-08-27 07:52:05 ----D---- C:\Dokumente und Einstellungen\Pain\Anwendungsdaten\Adobe
2010-08-27 07:51:26 ----D---- C:\Programme\Gemeinsame Dateien
2010-08-24 15:27:27 ----D---- C:\Programme\ICQ7.2
2010-08-23 20:57:26 ----D---- C:\Programme\Java
2010-08-23 16:58:22 ----RSHDC---- C:\WINDOWS\system32\dllcache

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 d347bus;d347bus; C:\WINDOWS\system32\DRIVERS\d347bus.sys [2004-08-22 155136]
R0 d347prt;d347prt; C:\WINDOWS\System32\Drivers\d347prt.sys [2004-08-22 5248]
R0 kl1;Kl1; C:\WINDOWS\system32\drivers\kl1.sys [2009-06-15 128016]
R0 klbg;Kaspersky Lab Boot Guard Driver; C:\WINDOWS\system32\drivers\klbg.sys [2008-12-15 33808]
R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-07-01 43520]
R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2010-08-19 296976]
R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2010-08-19 278984]
R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2010-08-19 25416]
R3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2010-02-03 26176]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2010-04-30 6032928]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2009-05-13 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT; C:\WINDOWS\system32\DRIVERS\klmouflt.sys [2009-05-16 19472]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-08-11 3958496]
R3 NVENETFD;NVIDIA nForce 10/100 Mbps Ethernet ; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2008-08-01 54784]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2008-08-01 22016]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 Ambfilt;Ambfilt; C:\WINDOWS\system32\drivers\Ambfilt.sys [2009-11-18 1691480]
S3 Monfilt;Monfilt; C:\WINDOWS\system32\drivers\Monfilt.sys [2009-11-18 1395800]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine; C:\Programme\LogMeIn Hamachi\hamachi-2.exe [2010-03-30 1107336]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2010-08-19 153376]
R2 nvsvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-08-11 155715]
S2 AVP;Kaspersky Internet Security; C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe [2010-08-20 311680]

-----------------EOF-----------------

--- --- ---

Leonixx · 21.09.2010, 16:17

Diese Datei bei Virustotal checken. Bin mir hier nicht sicher. Ansonsten habe ich nichts gesehen.
C:\WINDOWS\system32\wmpns.dll

Auf jeden Fall nochmals den Online Scan durchführen. Gibt es kein Ergebnis, dann sollte das System wieder sauber sein.

painscythe · 21.09.2010, 16:31

Hab die Datei bei Virustotal gecheckt, ist harmlos. Hat anscheinend was mit dem Windows Media Player zutun. ESET läuft noch.

painscythe · 21.09.2010, 16:54

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=3baa962bf267544ea08a0de77ab97377
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-09-21 03:49:17
# local_time=2010-09-21 05:49:17 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 271 271 0 0
# compatibility_mode=1280 16777191 100 0 2871415 2871415 0 0
# compatibility_mode=8192 67108863 100 0 74 74 0 0
# scanned=69410
# found=2
# cleaned=2
# scan_time=2566
C:\Dokumente und Einstellungen\Pain\Desktop\Fail\FableTrn.exe probably a variant of Win32/Spy.Agent.BMYYYSA trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Pain\Eigene Dateien\Downloads\unlocker1.9.0.exe Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C

--------------------
ESET hat "nichts" gefunden... die beiden angegebenen files sind ein Trainer für ein Game und der Installer vom Unlocker (denk mal der ist bekannt). Danke nochmal für die starke Hilfe! Find's echt klasse, dass man so ne gute Anlaufstelle hat, wenn man Laie in Virenkunde ist.
In diesem Sinne Tschüss und auf bald, bzw hoffentlich nicht ;-)

21.09.2010, 09:13	#2
Leonixx /// Helfer-Team	Virus gefunden und gelöscht... immernoch vorhanden? Im Logfile ist nichts zu sehen. Wende Malwarebytes an. Poste Logfile. Findest du im Unterforum Anleitungen. __________________

21.09.2010, 15:52	#6
Leonixx /// Helfer-Team	Virus gefunden und gelöscht... immernoch vorhanden? Erstmal Logfiles checken bzw. auch nochmals eine dritte Meinung über Online Scan. Nur weil Malwarebytes nichts mehr gefunden hat, heißt es nicht das der Rechner sauber ist.

21.09.2010, 16:17	#8
Leonixx /// Helfer-Team	Virus gefunden und gelöscht... immernoch vorhanden? Diese Datei bei Virustotal checken. Bin mir hier nicht sicher. Ansonsten habe ich nichts gesehen. C:\WINDOWS\system32\wmpns.dll Auf jeden Fall nochmals den Online Scan durchführen. Gibt es kein Ergebnis, dann sollte das System wieder sauber sein.

Virus gefunden und gelöscht... immernoch vorhanden?

Log-Analyse und Auswertung: Virus gefunden und gelöscht... immernoch vorhanden?