Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.11.2010, 15:57   #16
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? - Standard

Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?



Führ doch einfach CF aus
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 23.11.2010, 20:05   #17
Veribul
 
Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? - Standard

Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?



Hallo!
habe ct ausgeführt und dann hat das mit einem bluescreen aufgehört mit der Meldung:
STOP:C000021a
windows logon process wurde unerwartet beendet, status 0x80000007
system wurde heruntergefahren.

soll ich den einfach wieder hochfahren oder irgendwas besonderes (abgesicherter modus oder so)?
und was dann machen?
Danke!
__________________


Alt 23.11.2010, 20:59   #18
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? - Standard

Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?



Alte cofi löschen, CF neu als cofi herunterladen und bitte nochmal probieren
__________________
__________________

Alt 23.11.2010, 23:13   #19
Veribul
 
Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? - Standard

Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?



Habs noch ein zweites Mal durchgeführt, wieder der blue screen aber hier das logfile:
Combofix Logfile:
Code:
ATTFilter
ComboFix 10-11-23.01 - Veronika 23.11.2010  22:51:09.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.611 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Veronika\Desktop\cofi.exe.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\winlogon.exe . . . ist infiziert!!

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe wurde wiederhergestellt 

.
(((((((((((((((((((((((   Dateien erstellt von 2010-10-23 bis 2010-11-23  ))))))))))))))))))))))))))))))
.

2010-11-22 12:20 . 2010-11-23 17:36	--------	d-----w-	c:\programme\CCleaner
2010-11-21 22:42 . 1998-06-24 00:00	137000	----a-w-	c:\windows\system32\MSMAPI32.OCX
2010-11-21 22:42 . 2001-10-28 16:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2010-11-21 22:42 . 2010-11-21 22:43	--------	d-----w-	c:\programme\PDFCreator
2010-11-21 22:42 . 1998-07-06 17:55	64512	----a-w-	c:\windows\system32\MSCC2DE.DLL
2010-11-21 22:42 . 1998-07-06 00:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL
2010-11-21 21:54 . 2010-11-21 21:54	--------	d-----w-	C:\_OTL
2010-11-16 22:04 . 2010-11-16 22:04	--------	d-----w-	c:\programme\ERUNT
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-11-16 20:22 . 2010-11-16 20:22	--------	d-----w-	c:\programme\Outlook Express Freebie Backup
2010-11-16 18:45 . 2010-11-21 23:20	--------	d-----w-	C:\program exe dateien
2010-11-16 18:43 . 2010-11-16 18:43	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Foxit Software
2010-11-16 18:42 . 2010-11-16 18:42	--------	d-----w-	c:\programme\Foxit Software
2010-11-16 14:49 . 2010-11-22 20:48	--------	d-----w-	c:\windows\system32\NtmsData
2010-11-16 14:48 . 2010-11-21 13:51	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\download
2010-11-14 22:23 . 2010-11-14 22:23	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Avira
2010-11-12 18:46 . 2010-11-12 18:46	4280320	----a-w-	c:\windows\system32\GPhotos.scr
2010-11-02 14:56 . 2010-11-02 14:56	--------	d-----w-	c:\programme\OpenXML-ODF Translator
2010-11-02 14:52 . 2010-11-02 14:52	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Gutscheinmieze
2010-10-26 09:03 . 2010-10-26 09:03	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-22 20:38 . 2009-11-26 12:56	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-16 20:22 . 2008-12-03 15:07	249856	------w-	c:\windows\Setup1.exe
2010-11-16 20:22 . 2009-01-25 20:24	73216	----a-w-	c:\windows\ST6UNST.EXE
2010-11-15 23:09 . 2009-11-26 12:56	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-01-13 09:30 . 2009-01-13 09:30	10522112	----a-w-	c:\programme\vpnclient_setup.msi
2009-01-13 09:30 . 2009-01-13 09:30	56832	----a-w-	c:\programme\vpnclient_setup.exe
2009-01-13 09:30 . 2009-01-13 09:30	1822520	----a-w-	c:\programme\instmsiw.exe
2009-01-13 09:30 . 2009-01-13 09:30	1708856	----a-w-	c:\programme\instmsi.exe
2009-01-13 09:28 . 2009-01-13 09:28	221315	----a-w-	c:\programme\installservice.exe
2009-01-13 09:27 . 2009-01-13 09:27	16505	----a-w-	c:\programme\DelayInst.exe
2007-11-21 17:57 . 2007-11-21 17:57	1440047	----a-w-	c:\programme\wrar371d.exe
2007-07-04 13:00 . 2007-07-04 13:00	4313466	----a-w-	c:\programme\folderaccess2_0freeware.exe
2006-09-28 18:49 . 2006-09-28 18:49	7129900	----a-w-	c:\programme\z-dbackup.exe
2006-03-28 17:43 . 2006-03-28 17:43	11817800	----a-w-	c:\programme\GoogleEarth.exe
2005-12-18 23:15 . 2005-12-18 23:15	12081716	----a-w-	c:\programme\DM-Foto-Assistent.exe
2005-12-18 08:46 . 2005-12-18 08:45	34412848	----a-w-	c:\programme\iTunesSetup.exe
2005-11-12 23:27 . 2005-11-12 23:27	613391	----a-w-	c:\programme\outlook_repair.exe
.

------- Sigcheck -------

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe
[-] 2004-08-04 13:00 . !HASH: COULD NOT OPEN FILE !!!!! . 507392 . . [------] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe
[-] 2007-06-13 . B90B2D55C704E6BB1375D72635156FFC . 1036288 . . [6.00.2900.3156] . . c:\windows\explorer.exe
[7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-03-02 57344]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-25 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-10-15 10:27	110592	----a-w-	c:\programme\Intel\Wireless\Bin\LgNotify.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Device Detector 3.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk
backup=c:\windows\pss\Device Detector 3.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=c:\windows\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 05:43	69632	----a-w-	c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2010-11-15 23:09	281768	----a-w-	c:\programme\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl]
2005-04-12 11:17	102400	----a-r-	c:\windows\ATK0100\HControl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-07-13 12:03	292128	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2004-09-24 16:22	1916928	----a-w-	c:\programme\nero\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50	155648	-c--a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power_Gear]
2004-09-21 15:55	81920	----a-w-	c:\programme\Asus\Power4 Gear\BatteryLife.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-01-12 01:01	32768	----a-w-	c:\programme\CyberLink\PowrDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2005-05-25 02:37	14477312	----a-w-	c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient]
2002-12-16 14:51	36864	----a-w-	c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-01-25 20:37	136600	----a-w-	c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2004-12-22 00:23	688218	----a-w-	c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2004-12-22 00:23	98394	----a-w-	c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomcatStartup]
2003-03-31 17:28	155648	----a-w-	c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\V0470Mon.exe]
2007-04-11 17:00	32768	----a-r-	c:\windows\V0470Mon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-02-13 18:29	35328	----a-w-	c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
"DM1Service"=2 (0x2)
"usnjsvc"=3 (0x3)
"S24EventMonitor"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\SightSpeed\\SightSpeed.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Dokumente und Einstellungen\\Veronika\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 R592;R592;c:\windows\system32\drivers\R592.sys [15.10.2004 19:26 57088]
R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15.10.2004 19:26 27264]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [01.01.2006 17:26 81408]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 13:56 135336]
R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [01.11.2005 14:09 8768]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.12.2005 16:52 65536]
R2 NBSPortDriver;NBSPortDriver;c:\windows\system32\drivers\NBSPortDriver.sys [05.04.2007 13:02 21496]
S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [12.11.2005 18:56 5824]
S3 I80swebtindm;I80swebtindm; [x]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?]
S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [27.08.2008 18:37 146368]
.
Inhalt des "geplante Tasks" Ordners

2010-10-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.znout.org/index.php?color=black
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {96512D57-F751-4088-A689-5778FCC77F7A} - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab
DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
FF - ProfilePath - c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Mozilla\Firefox\Profiles\nsp64q0q.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.znout.org/index.php?color=black
FF - plugin: c:\programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-11-23 23:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1476)
c:\windows\system32\Ati2evxx.dll
c:\programme\Intel\Wireless\Bin\LgNotify.dll

- - - - - - - > 'explorer.exe'(1968)
c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\LckFldService.exe
c:\windows\system32\NMSAccessU.exe
c:\programme\Intel\Wireless\Bin\OProtSvc.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Intel\Wireless\Bin\ZcfgSvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-23  23:09:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-11-23 22:08
ComboFix2.txt  2010-11-23 21:35

Vor Suchlauf: 19 Verzeichnis(se), 18.536.435.200 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 18.516.918.272 Bytes frei

- - End Of File - - 16A61CC7AA6E558513C3E34F3ED9554A
         
--- --- ---

Alt 23.11.2010, 23:20   #20
Veribul
 
Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? - Standard

Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?



und hier häng ich dir noch das cf log vom ersten scan an, das hat er dann beim Hochfahren angezeigt.
Lieben Dank!


Alt 24.11.2010, 09:50   #21
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? - Standard

Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?



Ich hab Dir drei Dateien mal hochgeladen, die bei Dir infiziert sind => File-Upload.net - cosinus.zip
Bitte herunterladen, direkt auf C: speichern und entpacken zB nach c:\cosinus (Passwort der zip ist veribul )

Dann gehts so weiter:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 70 MB sein
2. Entpack die ZIP-Datei in einen beliebigen Pfad, es wird eine ISO-Datei (CD-Abbild) von PartedMagic entpackt
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol Mount Devices finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
6. Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 sein sollte) folgende Dateien um, einfach ein .vir dranhängen:

Code:
ATTFilter
/windows/system32/winlogon.exe.vir
/windows/system32/ctfmon.exe.vir
/windows/explorer.exe.vir
         
7. Kopiere die sauberen Dateien aus dem cosinus-Ordner in die entprechenden Pfade rein:

Code:
ATTFilter
/cosinus/explorer.exe => /windows/explorer.exe
/cosinus/winlogon.exe => /windows/system32/winlogon.exe
/cosinus/ctfmon.exe => /windows/system32/ctfmon.exe
         
(müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)


8. Starte den Rechner neu und boote Windows

9. Die in Linux umbenannte Dateien (die mit .vir) bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

10. Wenn alles geschafft ist Beischeid geben
__________________
--> Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?

Alt 24.11.2010, 12:58   #22
Veribul
 
Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? - Standard

brennen von parted magic funktioniert nicht



Hallo!
Danke erstmal!
hab alles runtergeladen und erst mit nero 2x, dann mit imgburn versucht die datei zu brennen als image, aber der pc hat sich jedes mal aufgehängt. bei imgburn hat er von einem fehler gesprochen und es nochmal versucht aber dann ist er auch abgestürzt.
soll ich die datei nochmal neu runterladen? oder geht das auch mit usb-stick?
lg

Alt 24.11.2010, 17:24   #23
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? - Standard

Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?



Das was du runterlädst ist eine zip Datei! Die musst du vorher entpacken, dann kommt eine iso Datei die man als Image brennen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.11.2010, 23:52   #24
Veribul
 
Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? - Standard

Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?



Hab schon versucht das Iso zu brennen, hat an nem anderen PC auch geklappt aber danach hat mir ImgBurn sehr viele Read-errors angezeigt und das starten von der CD hat dann auch nicht geklappt: hat zwar kurz angefanen davon zu booten, aber dann gesagt: error und retry und dann hat er das ganze nochmal angefangen.
kann man das parted magic noch woanders runterladen?
lg

Alt 25.11.2010, 11:46   #25
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? - Standard

Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?



Du machst beim Brennen was flasch. Brenn mal langsamer, max. 16x!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.11.2010, 15:25   #26
Veribul
 
Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? - Standard

Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?



ok, hab dir die Sachen übern den uploadchannel geschickt!
liebe Gruesse, Veronika

Alt 25.11.2010, 15:48   #27
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? - Standard

Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?



Dann jetzt bitte einen neuen Durchgang mit CF machen - die alte cofi vorher löschen und CF wieder als cofi.exe neu herunterladen, Rest wie gehabt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.11.2010, 16:10   #28
Veribul
 
Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? - Standard

Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?



hier die Logdatei vom neuen CF, lg, Veronika
Combofix Logfile:
Code:
ATTFilter
ComboFix 10-11-24.04 - Veronika 25.11.2010  15:58:34.3.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.622 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Veronika\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2010-10-25 bis 2010-11-25  ))))))))))))))))))))))))))))))
.

2010-11-25 15:14 . 2008-04-14 12:00	513024	----a-w-	c:\windows\system32\winlogon.exe
2010-11-25 15:12 . 2008-04-14 12:00	15360	----a-w-	c:\windows\system32\ctfmon.exe
2010-11-25 15:11 . 2008-04-14 12:00	1036800	----a-w-	c:\windows\explorer.exe
2010-11-25 14:17 . 2010-11-25 14:17	--------	d-----w-	c:\windows\system32\LogFiles
2010-11-24 16:17 . 2010-11-24 16:17	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\ImgBurn
2010-11-24 10:54 . 2010-11-24 10:54	--------	d-----w-	c:\programme\ImgBurn
2010-11-24 09:16 . 2010-11-24 09:39	--------	d-----w-	C:\cosinus
2010-11-22 12:20 . 2010-11-23 17:36	--------	d-----w-	c:\programme\CCleaner
2010-11-21 22:42 . 1998-06-24 00:00	137000	----a-w-	c:\windows\system32\MSMAPI32.OCX
2010-11-21 22:42 . 2001-10-28 16:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2010-11-21 22:42 . 2010-11-21 22:43	--------	d-----w-	c:\programme\PDFCreator
2010-11-21 22:42 . 1998-07-06 17:55	64512	----a-w-	c:\windows\system32\MSCC2DE.DLL
2010-11-21 22:42 . 1998-07-06 00:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL
2010-11-21 21:54 . 2010-11-21 21:54	--------	d-----w-	C:\_OTL
2010-11-16 22:04 . 2010-11-16 22:04	--------	d-----w-	c:\programme\ERUNT
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-11-16 20:22 . 2010-11-16 20:22	--------	d-----w-	c:\programme\Outlook Express Freebie Backup
2010-11-16 18:45 . 2010-11-21 23:20	--------	d-----w-	C:\program exe dateien
2010-11-16 18:43 . 2010-11-16 18:43	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Foxit Software
2010-11-16 18:42 . 2010-11-16 18:42	--------	d-----w-	c:\programme\Foxit Software
2010-11-16 14:49 . 2010-11-22 20:48	--------	d-----w-	c:\windows\system32\NtmsData
2010-11-16 14:48 . 2010-11-21 13:51	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\download
2010-11-14 22:23 . 2010-11-14 22:23	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Avira
2010-11-12 18:46 . 2010-11-12 18:46	4280320	----a-w-	c:\windows\system32\GPhotos.scr
2010-11-02 14:56 . 2010-11-02 14:56	--------	d-----w-	c:\programme\OpenXML-ODF Translator
2010-11-02 14:52 . 2010-11-02 14:52	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Gutscheinmieze

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-22 20:38 . 2009-11-26 12:56	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-16 20:22 . 2008-12-03 15:07	249856	------w-	c:\windows\Setup1.exe
2010-11-16 20:22 . 2009-01-25 20:24	73216	----a-w-	c:\windows\ST6UNST.EXE
2010-11-15 23:09 . 2009-11-26 12:56	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-01-13 09:30 . 2009-01-13 09:30	10522112	----a-w-	c:\programme\vpnclient_setup.msi
2009-01-13 09:30 . 2009-01-13 09:30	56832	----a-w-	c:\programme\vpnclient_setup.exe
2009-01-13 09:30 . 2009-01-13 09:30	1822520	----a-w-	c:\programme\instmsiw.exe
2009-01-13 09:30 . 2009-01-13 09:30	1708856	----a-w-	c:\programme\instmsi.exe
2009-01-13 09:28 . 2009-01-13 09:28	221315	----a-w-	c:\programme\installservice.exe
2009-01-13 09:27 . 2009-01-13 09:27	16505	----a-w-	c:\programme\DelayInst.exe
2007-11-21 17:57 . 2007-11-21 17:57	1440047	----a-w-	c:\programme\wrar371d.exe
2007-07-04 13:00 . 2007-07-04 13:00	4313466	----a-w-	c:\programme\folderaccess2_0freeware.exe
2006-09-28 18:49 . 2006-09-28 18:49	7129900	----a-w-	c:\programme\z-dbackup.exe
2006-03-28 17:43 . 2006-03-28 17:43	11817800	----a-w-	c:\programme\GoogleEarth.exe
2005-12-18 23:15 . 2005-12-18 23:15	12081716	----a-w-	c:\programme\DM-Foto-Assistent.exe
2005-12-18 08:46 . 2005-12-18 08:45	34412848	----a-w-	c:\programme\iTunesSetup.exe
2005-11-12 23:27 . 2005-11-12 23:27	613391	----a-w-	c:\programme\outlook_repair.exe
.

------- Sigcheck -------

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe
[7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe

[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\ERDNT\cache\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\ctfmon.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-03-02 57344]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-25 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-10-15 10:27	110592	----a-w-	c:\programme\Intel\Wireless\Bin\LgNotify.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Device Detector 3.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk
backup=c:\windows\pss\Device Detector 3.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=c:\windows\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 05:43	69632	----a-w-	c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2010-11-15 23:09	281768	----a-w-	c:\programme\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl]
2005-04-12 11:17	102400	----a-r-	c:\windows\ATK0100\HControl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-07-13 12:03	292128	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2004-09-24 16:22	1916928	----a-w-	c:\programme\nero\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50	155648	-c--a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power_Gear]
2004-09-21 15:55	81920	----a-w-	c:\programme\Asus\Power4 Gear\BatteryLife.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-01-12 01:01	32768	----a-w-	c:\programme\CyberLink\PowrDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2005-05-25 02:37	14477312	----a-w-	c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient]
2002-12-16 14:51	36864	----a-w-	c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-01-25 20:37	136600	----a-w-	c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2004-12-22 00:23	688218	----a-w-	c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2004-12-22 00:23	98394	----a-w-	c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomcatStartup]
2003-03-31 17:28	155648	----a-w-	c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\V0470Mon.exe]
2007-04-11 17:00	32768	----a-r-	c:\windows\V0470Mon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-02-13 18:29	35328	----a-w-	c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
"DM1Service"=2 (0x2)
"usnjsvc"=3 (0x3)
"S24EventMonitor"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\SightSpeed\\SightSpeed.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Dokumente und Einstellungen\\Veronika\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 R592;R592;c:\windows\system32\drivers\R592.sys [15.10.2004 19:26 57088]
R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15.10.2004 19:26 27264]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [01.01.2006 17:26 81408]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 13:56 135336]
R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [01.11.2005 14:09 8768]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.12.2005 16:52 65536]
R2 NBSPortDriver;NBSPortDriver;c:\windows\system32\drivers\NBSPortDriver.sys [05.04.2007 13:02 21496]
S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [12.11.2005 18:56 5824]
S3 I80swebtindm;I80swebtindm; [x]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?]
S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [27.08.2008 18:37 146368]
.
Inhalt des "geplante Tasks" Ordners

2010-10-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.znout.org/index.php?color=black
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {96512D57-F751-4088-A689-5778FCC77F7A} - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab
DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
FF - ProfilePath - c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Mozilla\Firefox\Profiles\nsp64q0q.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.znout.org/index.php?color=black
FF - plugin: c:\programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-11-25 16:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1476)
c:\windows\system32\Ati2evxx.dll
c:\programme\Intel\Wireless\Bin\LgNotify.dll

- - - - - - - > 'explorer.exe'(1264)
c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
.
Zeit der Fertigstellung: 2010-11-25  16:08:20
ComboFix-quarantined-files.txt  2010-11-25 15:08
ComboFix2.txt  2010-11-23 22:09
ComboFix3.txt  2010-11-23 21:35

Vor Suchlauf: 20 Verzeichnis(se), 18.068.483.584 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 18.045.926.400 Bytes frei

- - End Of File - - 80C93B8310CB286C85AB9BE9CA84E660
         
--- --- ---

Alt 26.11.2010, 18:42   #29
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? - Standard

Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Driver::
I80swebtindm
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 26.11.2010, 19:36   #30
Veribul
 
Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? - Standard

Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?



Hallo! hier das neue Log-File:
Combofix Logfile:
Code:
ATTFilter
ComboFix 10-11-25.06 - Veronika 26.11.2010  19:17:04.4.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.606 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Veronika\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Veronika\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_I80swebtindm


(((((((((((((((((((((((   Dateien erstellt von 2010-10-26 bis 2010-11-26  ))))))))))))))))))))))))))))))
.

2010-11-25 15:14 . 2008-04-14 12:00	513024	----a-w-	c:\windows\system32\winlogon.exe
2010-11-25 15:12 . 2008-04-14 12:00	15360	----a-w-	c:\windows\system32\ctfmon.exe
2010-11-25 15:11 . 2008-04-14 12:00	1036800	----a-w-	c:\windows\explorer.exe
2010-11-25 14:17 . 2010-11-25 14:17	--------	d-----w-	c:\windows\system32\LogFiles
2010-11-24 16:17 . 2010-11-24 16:17	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\ImgBurn
2010-11-24 10:54 . 2010-11-24 10:54	--------	d-----w-	c:\programme\ImgBurn
2010-11-24 09:16 . 2010-11-24 09:39	--------	d-----w-	C:\cosinus
2010-11-22 12:20 . 2010-11-23 17:36	--------	d-----w-	c:\programme\CCleaner
2010-11-21 22:42 . 1998-06-24 00:00	137000	----a-w-	c:\windows\system32\MSMAPI32.OCX
2010-11-21 22:42 . 2001-10-28 16:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2010-11-21 22:42 . 2010-11-21 22:43	--------	d-----w-	c:\programme\PDFCreator
2010-11-21 22:42 . 1998-07-06 17:55	64512	----a-w-	c:\windows\system32\MSCC2DE.DLL
2010-11-21 22:42 . 1998-07-06 00:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL
2010-11-21 21:54 . 2010-11-21 21:54	--------	d-----w-	C:\_OTL
2010-11-16 22:04 . 2010-11-16 22:04	--------	d-----w-	c:\programme\ERUNT
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-16 21:33 . 2010-11-16 21:33	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-11-16 20:22 . 2010-11-16 20:22	--------	d-----w-	c:\programme\Outlook Express Freebie Backup
2010-11-16 18:45 . 2010-11-21 23:20	--------	d-----w-	C:\program exe dateien
2010-11-16 18:43 . 2010-11-16 18:43	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Foxit Software
2010-11-16 18:42 . 2010-11-16 18:42	--------	d-----w-	c:\programme\Foxit Software
2010-11-16 14:49 . 2010-11-22 20:48	--------	d-----w-	c:\windows\system32\NtmsData
2010-11-16 14:48 . 2010-11-21 13:51	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\download
2010-11-14 22:23 . 2010-11-14 22:23	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Avira
2010-11-12 18:46 . 2010-11-12 18:46	4280320	----a-w-	c:\windows\system32\GPhotos.scr
2010-11-02 14:56 . 2010-11-02 14:56	--------	d-----w-	c:\programme\OpenXML-ODF Translator
2010-11-02 14:52 . 2010-11-02 14:52	--------	d-----w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Gutscheinmieze

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-22 20:38 . 2009-11-26 12:56	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-16 20:22 . 2008-12-03 15:07	249856	------w-	c:\windows\Setup1.exe
2010-11-16 20:22 . 2009-01-25 20:24	73216	----a-w-	c:\windows\ST6UNST.EXE
2010-11-15 23:09 . 2009-11-26 12:56	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-01-13 09:30 . 2009-01-13 09:30	10522112	----a-w-	c:\programme\vpnclient_setup.msi
2009-01-13 09:30 . 2009-01-13 09:30	56832	----a-w-	c:\programme\vpnclient_setup.exe
2009-01-13 09:30 . 2009-01-13 09:30	1822520	----a-w-	c:\programme\instmsiw.exe
2009-01-13 09:30 . 2009-01-13 09:30	1708856	----a-w-	c:\programme\instmsi.exe
2009-01-13 09:28 . 2009-01-13 09:28	221315	----a-w-	c:\programme\installservice.exe
2009-01-13 09:27 . 2009-01-13 09:27	16505	----a-w-	c:\programme\DelayInst.exe
2007-11-21 17:57 . 2007-11-21 17:57	1440047	----a-w-	c:\programme\wrar371d.exe
2007-07-04 13:00 . 2007-07-04 13:00	4313466	----a-w-	c:\programme\folderaccess2_0freeware.exe
2006-09-28 18:49 . 2006-09-28 18:49	7129900	----a-w-	c:\programme\z-dbackup.exe
2006-03-28 17:43 . 2006-03-28 17:43	11817800	----a-w-	c:\programme\GoogleEarth.exe
2005-12-18 23:15 . 2005-12-18 23:15	12081716	----a-w-	c:\programme\DM-Foto-Assistent.exe
2005-12-18 08:46 . 2005-12-18 08:45	34412848	----a-w-	c:\programme\iTunesSetup.exe
2005-11-12 23:27 . 2005-11-12 23:27	613391	----a-w-	c:\programme\outlook_repair.exe
.

------- Sigcheck -------

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe
[7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe

[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\ERDNT\cache\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\ctfmon.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-03-02 57344]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-25 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-10-15 10:27	110592	----a-w-	c:\programme\Intel\Wireless\Bin\LgNotify.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Device Detector 3.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk
backup=c:\windows\pss\Device Detector 3.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=c:\windows\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 05:43	69632	----a-w-	c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2010-11-15 23:09	281768	----a-w-	c:\programme\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl]
2005-04-12 11:17	102400	----a-r-	c:\windows\ATK0100\HControl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-07-13 12:03	292128	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2004-09-24 16:22	1916928	----a-w-	c:\programme\nero\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50	155648	-c--a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power_Gear]
2004-09-21 15:55	81920	----a-w-	c:\programme\Asus\Power4 Gear\BatteryLife.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-01-12 01:01	32768	----a-w-	c:\programme\CyberLink\PowrDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2005-05-25 02:37	14477312	----a-w-	c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient]
2002-12-16 14:51	36864	----a-w-	c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-01-25 20:37	136600	----a-w-	c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2004-12-22 00:23	688218	----a-w-	c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2004-12-22 00:23	98394	----a-w-	c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomcatStartup]
2003-03-31 17:28	155648	----a-w-	c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\V0470Mon.exe]
2007-04-11 17:00	32768	----a-r-	c:\windows\V0470Mon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-02-13 18:29	35328	----a-w-	c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
"DM1Service"=2 (0x2)
"usnjsvc"=3 (0x3)
"S24EventMonitor"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\SightSpeed\\SightSpeed.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Dokumente und Einstellungen\\Veronika\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 R592;R592;c:\windows\system32\drivers\R592.sys [15.10.2004 19:26 57088]
R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15.10.2004 19:26 27264]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [01.01.2006 17:26 81408]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 13:56 135336]
R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [01.11.2005 14:09 8768]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.12.2005 16:52 65536]
R2 NBSPortDriver;NBSPortDriver;c:\windows\system32\drivers\NBSPortDriver.sys [05.04.2007 13:02 21496]
S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [12.11.2005 18:56 5824]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?]
S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [27.08.2008 18:37 146368]
.
Inhalt des "geplante Tasks" Ordners

2010-10-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.znout.org/index.php?color=black
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {96512D57-F751-4088-A689-5778FCC77F7A} - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab
DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
FF - ProfilePath - c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Mozilla\Firefox\Profiles\nsp64q0q.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.znout.org/index.php?color=black
FF - plugin: c:\programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-11-26 19:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1472)
c:\windows\system32\Ati2evxx.dll
c:\programme\Intel\Wireless\Bin\LgNotify.dll

- - - - - - - > 'explorer.exe'(740)
c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\LckFldService.exe
c:\windows\system32\NMSAccessU.exe
c:\programme\Intel\Wireless\Bin\OProtSvc.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Intel\Wireless\Bin\ZcfgSvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-26  19:32:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-11-26 18:32
ComboFix2.txt  2010-11-25 15:08
ComboFix3.txt  2010-11-23 22:09
ComboFix4.txt  2010-11-23 21:35

Vor Suchlauf: 20 Verzeichnis(se), 18.447.368.192 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 18.330.970.624 Bytes frei

- - End Of File - - 2F68DDACB16C0984ABA7AA52D5680E0E
         
--- --- ---

Antwort

Themen zu Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?
abgebrochen, adobe, andere, anleitung, antivir, durchgeführt, files, firefox, formatieren, funktioniert, gelöscht, gen, google, interne, links, nicht mehr, pdf, probleme, rojaner gefunden, schonmal, temporäre, trojaner, trojaner gefunden, virus, virus gefunden, website, öffnen




Ähnliche Themen: Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?


  1. Avast Virenschuche durchgeführt 16 (die Zahl habe ich nicht mehr genau im Kopf) Bedrohungen gefunden Einstufungen: Hoch...Was jetzt?
    Log-Analyse und Auswertung - 08.09.2013 (80)
  2. Avira Virenschuche durchgeführt 124 Bedrohungen gefunden Einstufungen: Hoch...Was jetzt?
    Log-Analyse und Auswertung - 27.08.2013 (9)
  3. Trojaner gefunden was jetzt
    Log-Analyse und Auswertung - 23.05.2013 (13)
  4. GVU Trojahner eingefangen, Reinigung durchgeführt, ist mein System jetzt sauber?
    Plagegeister aller Art und deren Bekämpfung - 20.05.2013 (5)
  5. Bundesministerium-Trojaner: Malwarebytes durchgeführt, Computer jetzt wieder normal nutzbar? ggf. weitere Schritte?
    Plagegeister aller Art und deren Bekämpfung - 22.11.2012 (20)
  6. BAK-Malware, Systemwiederherstellung genutzt und anschließend Scans durchgeführt - was jetzt?
    Log-Analyse und Auswertung - 26.07.2012 (1)
  7. vom GEMA Trojaner befallen, scan schon durchgeführt, und jetzt?
    Log-Analyse und Auswertung - 05.07.2012 (5)
  8. TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung
    Log-Analyse und Auswertung - 24.01.2011 (28)
  9. av security suite, gelöscht nach anleitung, jetzt alles in ordnung ?
    Log-Analyse und Auswertung - 30.08.2010 (3)
  10. AV Security Suite nach Anleitung entfernt. Alles ok jetzt?
    Plagegeister aller Art und deren Bekämpfung - 11.07.2010 (1)
  11. AV Security Suite nach Anleitung entfernt. Alles weg jetzt?
    Plagegeister aller Art und deren Bekämpfung - 11.07.2010 (0)
  12. Trojaner gefunden. Was jetzt?
    Plagegeister aller Art und deren Bekämpfung - 22.08.2009 (1)
  13. Trojaner gefunden! Was jetzt?
    Log-Analyse und Auswertung - 12.03.2009 (1)
  14. Wurm und Trojaner gefunden - Was jetzt?
    Plagegeister aller Art und deren Bekämpfung - 04.11.2008 (7)
  15. eScan durchgeführt und jetzt?
    Log-Analyse und Auswertung - 30.01.2008 (20)
  16. eScan durchgeführt und jetzt?
    Plagegeister aller Art und deren Bekämpfung - 26.01.2008 (0)
  17. Trojaner gefunden - was jetzt?
    Log-Analyse und Auswertung - 18.03.2006 (1)

Zum Thema Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? - Führ doch einfach CF aus - Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?...
Archiv
Du betrachtest: Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.