Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojaner Drop.Agnet.bzdh

Trojaner Drop.Agnet.bzdh


Plagegeister aller Art und deren Bekämpfung: Trojaner Drop.Agnet.bzdh

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 10.02.2011, 17:45   #1
chris1309
 
Trojaner Drop.Agnet.bzdh - Standard

Trojaner Drop.Agnet.bzdh


Hallo,
Avira hat auf meinem PC den Trojaner Drop.Agnet.bzdh gefunden
Nach dem Scan wurde die Datei in die Quarantäne verschoben und gelöscht.
Die Symptome gehen aber weiter: Mozilla + Microsoft IE sind extrem langsam und hängen sich immer wieder auf.

Im Anhnag sind Logs von Malewarebyts und OTL.
Den Avira Log musste ich in 2 Dateien splitten, da die Datei sonst zu groß gewesen wäre.

Schon mal im vorraus vielen Dank für eure Hilfe!!

Chris

hier noch der 2 +3. Teil des Avira Log.

Alt 10.02.2011, 20:09   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Drop.Agnet.bzdh - Standard

Trojaner Drop.Agnet.bzdh


Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.
__________________

__________________
Alt 11.02.2011, 08:56   #3
chris1309
 
Trojaner Drop.Agnet.bzdh - Standard

Trojaner Drop.Agnet.bzdh


Hallo Arne,

diesen hier gibts noch:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5719

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

09.02.2011 17:58:36
mbam-log-2011-02-09 (17-58-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 324737
Laufzeit: 1 Stunde(n), 12 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{89dcbb02-8b86-494e-923f-64b8ee0fe57b}\RP62\A0014094.rbf (PUP.Dealio) -> Quarantined and deleted successfully.
c:\system volume information\_restore{89dcbb02-8b86-494e-923f-64b8ee0fe57b}\RP62\A0014096.rbf (PUP.Dealio) -> Quarantined and deleted successfully.
c:\system volume information\_restore{89dcbb02-8b86-494e-923f-64b8ee0fe57b}\RP62\A0014097.rbf (PUP.Dealio) -> Quarantined and deleted successfully.
c:\system volume information\_restore{89dcbb02-8b86-494e-923f-64b8ee0fe57b}\RP62\A0014099.rbf (PUP.Dealio) -> Quarantined and deleted successfully.
Gruß Christian
__________________
Alt 11.02.2011, 09:29   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Drop.Agnet.bzdh - Standard

Trojaner Drop.Agnet.bzdh


Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
[2009.11.24 21:24:52 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Bao_Nguyen
[2009.12.01 22:18:23 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\bellz
@Alternate Data Stream - 48 bytes -> C:\Windows:B9AC62421AD97614
@Alternate Data Stream - 143 bytes -> C:\Users\Christian\AppData\Roaming\Kommagetrennte Werte (Windows).EML:OECustomProperty
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.02.2011, 14:41   #5
chris1309
 
Trojaner Drop.Agnet.bzdh - Standard

Trojaner Drop.Agnet.bzdh


Hi Arne,
das OTL Log:

Code:
ATTFilter
All processes killed
========== OTL ==========
C:\Users\Christian\AppData\Roaming\Bao_Nguyen\Switcher.exe_Url_qa5i3p42aomuvoxpuxuficvbmngksgjs\2.0.0.0 folder moved successfully.
C:\Users\Christian\AppData\Roaming\Bao_Nguyen\Switcher.exe_Url_qa5i3p42aomuvoxpuxuficvbmngksgjs folder moved successfully.
C:\Users\Christian\AppData\Roaming\Bao_Nguyen folder moved successfully.
C:\Users\Christian\AppData\Roaming\bellz\treeline-1.2\templates folder moved successfully.
C:\Users\Christian\AppData\Roaming\bellz\treeline-1.2\plugins folder moved successfully.
C:\Users\Christian\AppData\Roaming\bellz\treeline-1.2\icons folder moved successfully.
C:\Users\Christian\AppData\Roaming\bellz\treeline-1.2 folder moved successfully.
C:\Users\Christian\AppData\Roaming\bellz folder moved successfully.
ADS C:\Windows:B9AC62421AD97614 deleted successfully.
ADS C:\Users\Christian\AppData\Roaming\Kommagetrennte Werte (Windows).EML:OECustomProperty deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Christian
->Temp folder emptied: 15344112 bytes
->Temporary Internet Files folder emptied: 28540385 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 43646090 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 4937 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 763256 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3926 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67832 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 751 bytes
RecycleBin emptied: 2335250 bytes
 
Total Files Cleaned = 87,00 mb
 
 
OTL by OldTimer - Version 3.2.20.6 log created on 02112011_143136

Files\Folders moved on Reboot...
C:\Users\Christian\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...
Gruß Christian


Alt 11.02.2011, 15:59   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Drop.Agnet.bzdh - Standard

Trojaner Drop.Agnet.bzdh


Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> Trojaner Drop.Agnet.bzdh

Alt 11.02.2011, 17:01   #7
chris1309
 
Trojaner Drop.Agnet.bzdh - Standard

Trojaner Drop.Agnet.bzdh


hier der Log con Combofix:

Code:
ATTFilter
ComboFix 11-02-10.01 - Christian 11.02.2011  16:40:02.1.2 - x64
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.3837.2594 [GMT 1:00]
ausgeführt von:: c:\users\Christian\Downloads\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Christian\AppData\Roaming\inst.exe
c:\users\Christian\AppData\Roaming\Local

.
(((((((((((((((((((((((   Dateien erstellt von 2011-01-11 bis 2011-02-11  ))))))))))))))))))))))))))))))
.

2011-02-11 15:35 . 2011-02-11 15:38	--------	d-----w-	C:\32788R22FWJFW
2011-02-11 13:31 . 2011-02-11 13:31	--------	d-----w-	C:\_OTL
2011-02-10 16:32 . 2011-02-10 16:32	--------	d-----w-	c:\users\Christian\AppData\Roaming\Avira
2011-02-10 16:19 . 2011-02-10 16:19	--------	d-----w-	c:\program files (x86)\7-Zip
2011-02-10 15:49 . 2011-01-10 13:23	83120	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-02-10 15:49 . 2011-01-10 13:23	116568	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-02-10 15:49 . 2011-02-10 15:49	--------	d-----w-	c:\program files (x86)\Avira
2011-02-02 08:18 . 2011-02-05 11:50	--------	d-----r-	c:\users\Christian\Dropbox
2011-02-02 08:14 . 2011-02-05 11:50	--------	d-----w-	c:\users\Christian\AppData\Roaming\Dropbox
2011-01-22 19:31 . 2011-01-22 19:31	--------	d-----w-	c:\users\Christian\AppData\Roaming\DivX
2011-01-22 19:31 . 2011-01-22 19:31	--------	d-----w-	c:\program files\DivX
2011-01-22 19:30 . 2011-01-22 19:31	--------	d-----w-	c:\program files (x86)\Common Files\DivX Shared
2011-01-22 19:30 . 2011-01-22 19:32	--------	d-----w-	c:\program files (x86)\DivX
2011-01-22 19:25 . 2011-01-22 19:25	51200	----a-w-	c:\windows\system32\WMVCOREd.DLL

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2010-11-23 07:37	38224	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-08-18 09:05	24152	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-10 07:47 . 2010-08-23 10:35	521448	----a-w-	c:\windows\system32\deployJava1.dll
2010-12-02 03:35 . 2010-12-02 03:35	4280320	----a-w-	c:\windows\SysWow64\GPhotos.scr
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\SysWow64\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\SysWow64\QuickTime.qts
2010-11-22 16:18 . 2010-11-22 16:18	388096	----a-r-	c:\users\Christian\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FileHippo.com"="c:\program files (x86)\FileHippo.com\UpdateChecker.exe" [2010-08-09 248832]
"Adobe Reader Synchronizer"="c:\program files (x86)\Adobe\Reader 10.0\Reader\AdobeCollabSync.exe" [2010-11-10 1216416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"QlbCtrl.exe"="c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-09-03 288312]
"SoundMAXPnP"="c:\program files (x86)\Analog Devices\Core\smax4pnp.exe" [2009-05-18 1314816]
"CognizanceTS"="c:\progra~2\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2009-07-28 24848]
"File Sanitizer"="c:\program files (x86)\Hewlett-Packard\File Sanitizer\CoreShredder.exe" [2009-07-06 11227136]
"LogMeIn Hamachi Ui"="c:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-12-06 1910152]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~2\HEWLET~1\IAM\Bin\APSHook.dll

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

R1 vflt;Shrew Soft Lightweight Filter;c:\windows\system32\DRIVERS\vfilter.sys [2009-11-19 20992]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-23 135664]
R3 HP ProtectTools Service;HP ProtectTools Service;c:\program files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe [2009-08-07 45056]
R3 TridVid;USB TV Tuner;c:\windows\system32\DRIVERS\tridvid6010.sys [2010-07-13 404352]
R3 UDXTTM6000;DTV-DVB UDXTTM6000 - USB 2.0 Receiver;c:\windows\system32\Drivers\UDXTTM6000.sys [2007-02-27 365824]
R3 UDXTTM6000HID;UDXTTM6000HID - HID Driver;c:\windows\system32\drivers\UDXTTM6000HID.sys [2007-02-27 17920]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2010-09-28 51712]
R3 vnet;Shrew Soft Virtual Adapter;c:\windows\system32\DRIVERS\virtualnet.sys [2009-11-19 12800]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-09-17 503352]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 ac.sharedstore;ActivIdentity Shared Store Service;c:\program files\Common Files\ActivIdentity\ac.sharedstore.exe [2009-06-03 277032]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 203264]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-01-10 135336]
S2 ASBroker;Logon Session Broker;c:\windows\System32\svchost.exe [2009-07-14 27136]
S2 ASChannel;Lokaler Verbindungskanal;c:\windows\System32\svchost.exe [2009-07-14 27136]
S2 ATService;AuthenTec Fingerprint Service;c:\program files\Fingerprint Sensor\ATService.exe [2009-07-29 1841912]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2010-12-06 2101640]
S2 HPFSService;File Sanitizer for HP ProtectTools;c:\program files (x86)\Hewlett-Packard\File Sanitizer\HPFSService.exe [2009-07-06 77824]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2009-07-08 30520]
S2 IGDCTRL;AVM IGD CTRL Service;c:\program files (x86)\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
S2 uvnc_service;uvnc_service;c:\program files (x86)\UltraVNC\WinVNC.exe [2009-12-06 1590216]
S3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver;c:\windows\system32\Drivers\ATSwpWDF.sys [2009-07-29 549888]
S3 Com4QLBEx;Com4QLBEx;c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2009-05-05 228408]
S3 Point64;Microsoft IntelliPoint Filter Driver;c:\windows\system32\DRIVERS\point64.sys [2010-07-21 45456]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-14 17920]


[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
Cognizance	REG_MULTI_SZ   	ASBroker
Bioscrypt	REG_MULTI_SZ   	ASChannel
.
Inhalt des "geplante Tasks" Ordners

2011-02-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-23 15:05]

2011-02-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-23 15:05]
.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0EA99306-BC87-4930-9E1D-1D1EA32A7E4E}]
2009-07-28 02:06	568592	----a-w-	c:\program files (x86)\Hewlett-Packard\IAM\Bin\ItIEAddIn64.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	97792	----a-w-	c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	97792	----a-w-	c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	97792	----a-w-	c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	97792	----a-w-	c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"combofix"="c:\cofi\CF18838.cfxxe" [X]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
"AppInit_DLLs"=c:\progra~2\HEWLET~1\IAM\Bin\APSHook64.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uDefault_Search_URL = hxxp://www.google.com/ie
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: An vorhandene PDF-Datei anfügen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to Mp3 Converter - c:\users\Christian\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\mlwnrp04.default\
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: BetterPrivacy: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3} - %profile%\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: DivX Plus Web Player HTML5 <video>: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files (x86)\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\program files (x86)\DivX\DivX Plus Web Player\firefox\wpa
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-SynTPEnh - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
HKLM-Run-(Standard) - (no file)


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{E20DD46F-0CC4-5960-1B1F69E13D145F9C}\{B130274E-D0E8-282B-E7F07B1EE1210709}\{71D795F0-66AF-00D6-EF71DCAC5CDD95C3}*]
"UFBX6Y5AHC6I2K63MVSK2YA1ZE1"=hex:01,00,01,00,00,00,00,00,bc,09,02,36,3f,bc,b3,
   f9,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{F16633BB-6FFB-FEEF-6851EE4CF61ADAA7}\{8DE0EF13-9AB8-84BF-28848AB6F741F092}\{2912CDF2-3190-D0FE-95FF87CEE55A8F74}*]
"UFBX6Y5AHC6I2K63MVSK2YA1ZE1"=hex:01,00,01,00,00,00,00,00,bc,09,02,36,3f,bc,b3,
   f9,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\program files (x86)\Esker\Common\eslcbcst.exe
c:\program files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files (x86)\Hewlett-Packard\IAM\Bin\AsGHost.exe
c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-11  16:55:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-02-11 15:55

Vor Suchlauf: 17 Verzeichnis(se), 118.753.456.128 Bytes frei
Nach Suchlauf: 26 Verzeichnis(se), 118.062.948.352 Bytes frei

- - End Of File - - 5C3E491BD1C02258C35661F8B5AF2C5F

Alt 11.02.2011, 19:54   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Drop.Agnet.bzdh - Standard

Trojaner Drop.Agnet.bzdh


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Filelook::
c:\windows\system32\WMVCOREd.DLL
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.02.2011, 22:18   #9
chris1309
 
Trojaner Drop.Agnet.bzdh - Standard

Trojaner Drop.Agnet.bzdh


Code:
ATTFilter
ComboFix 11-02-10.01 - Christian 11.02.2011  21:27:49.2.2 - x64
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.3837.2663 [GMT 1:00]
ausgeführt von:: c:\users\Christian\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\users\Christian\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((   Dateien erstellt von 2011-01-11 bis 2011-02-11  ))))))))))))))))))))))))))))))
.

2011-02-11 20:40 . 2011-02-11 20:40	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-02-11 13:31 . 2011-02-11 13:31	--------	d-----w-	C:\_OTL
2011-02-10 16:32 . 2011-02-10 16:32	--------	d-----w-	c:\users\Christian\AppData\Roaming\Avira
2011-02-10 16:19 . 2011-02-10 16:19	--------	d-----w-	c:\program files (x86)\7-Zip
2011-02-10 15:49 . 2011-01-10 13:23	83120	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-02-10 15:49 . 2011-01-10 13:23	116568	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-02-10 15:49 . 2011-02-10 15:49	--------	d-----w-	c:\program files (x86)\Avira
2011-02-02 08:18 . 2011-02-05 11:50	--------	d-----r-	c:\users\Christian\Dropbox
2011-02-02 08:14 . 2011-02-05 11:50	--------	d-----w-	c:\users\Christian\AppData\Roaming\Dropbox
2011-01-22 19:31 . 2011-01-22 19:31	--------	d-----w-	c:\users\Christian\AppData\Roaming\DivX
2011-01-22 19:31 . 2011-01-22 19:31	--------	d-----w-	c:\program files\DivX
2011-01-22 19:30 . 2011-01-22 19:31	--------	d-----w-	c:\program files (x86)\Common Files\DivX Shared
2011-01-22 19:30 . 2011-01-22 19:32	--------	d-----w-	c:\program files (x86)\DivX
2011-01-22 19:25 . 2011-01-22 19:25	51200	----a-w-	c:\windows\system32\WMVCOREd.DLL

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2010-11-23 07:37	38224	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-08-18 09:05	24152	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-10 07:47 . 2010-08-23 10:35	521448	----a-w-	c:\windows\system32\deployJava1.dll
2010-12-02 03:35 . 2010-12-02 03:35	4280320	----a-w-	c:\windows\SysWow64\GPhotos.scr
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\SysWow64\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\SysWow64\QuickTime.qts
2010-11-22 16:18 . 2010-11-22 16:18	388096	----a-r-	c:\users\Christian\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
.

(((((((((((((((((((((((((((((   SnapShot@2011-02-11_15.49.14   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-11-24 14:40 . 2011-02-11 20:44	53632              c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2011-02-11 20:44	46368              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
- 2009-07-14 05:10 . 2011-02-11 15:50	46368              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2009-11-24 14:16 . 2011-02-11 20:44	17446              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1284297116-794809632-3988175124-1000_UserData.bin
- 2009-11-24 13:49 . 2011-02-11 15:48	16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-11-24 13:49 . 2011-02-11 20:43	16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2011-02-11 13:33 . 2011-02-11 20:43	32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2011-02-11 13:33 . 2011-02-11 15:48	32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-02-11 15:48	16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:54 . 2011-02-11 20:43	16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-11-24 14:16 . 2011-02-11 20:42	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-11-24 14:16 . 2011-02-11 15:47	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-01-26 07:23 . 2011-02-11 15:49	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Temp\Temporary Internet Files\Content.IE5\index.dat
+ 2011-01-26 07:23 . 2011-02-11 20:43	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Temp\Temporary Internet Files\Content.IE5\index.dat
- 2011-01-26 07:23 . 2011-02-11 15:49	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Temp\History\History.IE5\index.dat
+ 2011-01-26 07:23 . 2011-02-11 20:43	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Temp\History\History.IE5\index.dat
- 2011-01-26 07:23 . 2011-02-11 15:49	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Temp\Cookies\index.dat
+ 2011-01-26 07:23 . 2011-02-11 20:43	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Temp\Cookies\index.dat
- 2009-11-24 14:16 . 2011-02-11 15:49	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-11-24 14:16 . 2011-02-11 20:43	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-11-24 14:16 . 2011-02-11 15:47	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-11-24 14:16 . 2011-02-11 20:42	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-11-24 14:16 . 2011-02-11 15:49	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-11-24 14:16 . 2011-02-11 20:43	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-11-24 14:16 . 2011-02-11 20:43	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-11-24 14:16 . 2011-02-11 15:49	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-02-11 20:41 . 2011-02-11 20:41	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2011-02-11 15:47 . 2011-02-11 15:47	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-02-11 20:41 . 2011-02-11 20:41	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2011-02-11 15:47 . 2011-02-11 15:47	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-07-14 02:36 . 2011-02-11 14:37	618912              c:\windows\system32\perfh009.dat
+ 2009-07-14 02:36 . 2011-02-11 20:10	618912              c:\windows\system32\perfh009.dat
- 2009-07-14 02:36 . 2011-02-11 14:37	107232              c:\windows\system32\perfc009.dat
+ 2009-07-14 02:36 . 2011-02-11 20:10	107232              c:\windows\system32\perfc009.dat
- 2009-07-14 05:12 . 2011-02-11 15:48	262144              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
+ 2009-07-14 05:12 . 2011-02-11 20:43	262144              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
- 2009-07-14 05:01 . 2011-02-11 15:46	482640              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 05:01 . 2011-02-11 20:41	482640              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FileHippo.com"="c:\program files (x86)\FileHippo.com\UpdateChecker.exe" [2010-08-09 248832]
"Adobe Reader Synchronizer"="c:\program files (x86)\Adobe\Reader 10.0\Reader\AdobeCollabSync.exe" [2010-11-10 1216416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"QlbCtrl.exe"="c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-09-03 288312]
"SoundMAXPnP"="c:\program files (x86)\Analog Devices\Core\smax4pnp.exe" [2009-05-18 1314816]
"CognizanceTS"="c:\progra~2\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2009-07-28 24848]
"File Sanitizer"="c:\program files (x86)\Hewlett-Packard\File Sanitizer\CoreShredder.exe" [2009-07-06 11227136]
"LogMeIn Hamachi Ui"="c:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-12-06 1910152]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~2\HEWLET~1\IAM\Bin\APSHook.dll

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

R1 vflt;Shrew Soft Lightweight Filter;c:\windows\system32\DRIVERS\vfilter.sys [2009-11-19 20992]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-23 135664]
R3 HP ProtectTools Service;HP ProtectTools Service;c:\program files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe [2009-08-07 45056]
R3 Point64;Microsoft IntelliPoint Filter Driver;c:\windows\system32\DRIVERS\point64.sys [2010-07-21 45456]
R3 TridVid;USB TV Tuner;c:\windows\system32\DRIVERS\tridvid6010.sys [2010-07-13 404352]
R3 UDXTTM6000;DTV-DVB UDXTTM6000 - USB 2.0 Receiver;c:\windows\system32\Drivers\UDXTTM6000.sys [2007-02-27 365824]
R3 UDXTTM6000HID;UDXTTM6000HID - HID Driver;c:\windows\system32\drivers\UDXTTM6000HID.sys [2007-02-27 17920]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2010-09-28 51712]
R3 vnet;Shrew Soft Virtual Adapter;c:\windows\system32\DRIVERS\virtualnet.sys [2009-11-19 12800]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-09-17 503352]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 ac.sharedstore;ActivIdentity Shared Store Service;c:\program files\Common Files\ActivIdentity\ac.sharedstore.exe [2009-06-03 277032]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 203264]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-01-10 135336]
S2 ASBroker;Logon Session Broker;c:\windows\System32\svchost.exe [2009-07-14 27136]
S2 ASChannel;Lokaler Verbindungskanal;c:\windows\System32\svchost.exe [2009-07-14 27136]
S2 ATService;AuthenTec Fingerprint Service;c:\program files\Fingerprint Sensor\ATService.exe [2009-07-29 1841912]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2010-12-06 2101640]
S2 HPFSService;File Sanitizer for HP ProtectTools;c:\program files (x86)\Hewlett-Packard\File Sanitizer\HPFSService.exe [2009-07-06 77824]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2009-07-08 30520]
S2 IGDCTRL;AVM IGD CTRL Service;c:\program files (x86)\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
S2 uvnc_service;uvnc_service;c:\program files (x86)\UltraVNC\WinVNC.exe [2009-12-06 1590216]
S3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver;c:\windows\system32\Drivers\ATSwpWDF.sys [2009-07-29 549888]
S3 Com4QLBEx;Com4QLBEx;c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2009-05-05 228408]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-14 17920]


[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
Cognizance	REG_MULTI_SZ   	ASBroker
Bioscrypt	REG_MULTI_SZ   	ASChannel
.
Inhalt des "geplante Tasks" Ordners

2011-02-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-23 15:05]

2011-02-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-23 15:05]
.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0EA99306-BC87-4930-9E1D-1D1EA32A7E4E}]
2009-07-28 02:06	568592	----a-w-	c:\program files (x86)\Hewlett-Packard\IAM\Bin\ItIEAddIn64.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	97792	----a-w-	c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	97792	----a-w-	c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	97792	----a-w-	c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	97792	----a-w-	c:\users\Christian\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="%ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
"AppInit_DLLs"=c:\progra~2\HEWLET~1\IAM\Bin\APSHook64.dll c:\progra~2\HEWLET~1\IAM\Bin\APSHook64.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uDefault_Search_URL = hxxp://www.google.com/ie
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: An vorhandene PDF-Datei anfügen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to Mp3 Converter - c:\users\Christian\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\mlwnrp04.default\
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: BetterPrivacy: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3} - %profile%\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: DivX Plus Web Player HTML5 <video>: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files (x86)\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\program files (x86)\DivX\DivX Plus Web Player\firefox\wpa
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{E20DD46F-0CC4-5960-1B1F69E13D145F9C}\{B130274E-D0E8-282B-E7F07B1EE1210709}\{71D795F0-66AF-00D6-EF71DCAC5CDD95C3}*]
"UFBX6Y5AHC6I2K63MVSK2YA1ZE1"=hex:01,00,01,00,00,00,00,00,bc,09,02,36,3f,bc,b3,
   f9,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{F16633BB-6FFB-FEEF-6851EE4CF61ADAA7}\{8DE0EF13-9AB8-84BF-28848AB6F741F092}\{2912CDF2-3190-D0FE-95FF87CEE55A8F74}*]
"UFBX6Y5AHC6I2K63MVSK2YA1ZE1"=hex:01,00,01,00,00,00,00,00,bc,09,02,36,3f,bc,b3,
   f9,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\program files (x86)\Esker\Common\eslcbcst.exe
c:\program files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files (x86)\Hewlett-Packard\IAM\Bin\AsGHost.exe
c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-11  22:10:34 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-02-11 21:10
ComboFix2.txt  2011-02-11 15:55

Vor Suchlauf: 24 Verzeichnis(se), 118.110.998.528 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 117.813.915.648 Bytes frei

- - End Of File - - D5C2A82D7A79440313DFD14CD510C9F9

Alt 12.02.2011, 13:09   #10
chris1309
 
Trojaner Drop.Agnet.bzdh - Standard

Trojaner Drop.Agnet.bzdh


hier schon mal das Log von Kmer.
Mbr kommt gleich.


Code:
ATTFilter
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-02-12 13:08:16
Windows 6.1.7600  
Running: w8jwnrw4.exe


---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\00247e7b2b61                                           
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1                                                                    771343423
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2                                                                    285507792
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@h0                                                                    1
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                      
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                   0
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                0x29 0x2D 0x43 0xA7 ...
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                             
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                       0x97 0x0A 0x95 0x14 ...
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40                      
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                0xDB 0xEF 0xFF 0x80 ...
Reg  HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\00247e7b2b61 (not active ControlSet)                       
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                  
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                       0
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                    0x29 0x2D 0x43 0xA7 ...
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)         
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                           0x97 0x0A 0x95 0x14 ...
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)  
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                    0xDB 0xEF 0xFF 0x80 ...

---- EOF - GMER 1.0.15 ----

Alt 11.02.2011, 22:20   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Drop.Agnet.bzdh - Standard

Trojaner Drop.Agnet.bzdh


Zitat:
c:\windows\system32\WMVCOREd.DLL
Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.02.2011, 13:12   #12
chris1309
 
Trojaner Drop.Agnet.bzdh - Standard

Trojaner Drop.Agnet.bzdh


jetzt noch Mbr

Code:
ATTFilter
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows 7 Professional
Windows Information:		 (build 7600), 64-bit
Base Board Manufacturer:	Hewlett-Packard
BIOS Manufacturer:		Hewlett-Packard
System Manufacturer:		Hewlett-Packard
System Product Name:		HP Compaq 6735b
Logical Drives Mask:		0x0000000c

Kernel Drivers (total 213):
  0x02E0A000 \SystemRoot\system32\ntoskrnl.exe
  0x033E7000 \SystemRoot\system32\hal.dll
  0x00BAE000 \SystemRoot\system32\kdcom.dll
  0x00CF0000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll
  0x00CFD000 \SystemRoot\system32\PSHED.dll
  0x00D11000 \SystemRoot\system32\CLFS.SYS
  0x00C00000 \SystemRoot\system32\CI.dll
  0x00E6C000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x00F10000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x01071000 \SystemRoot\System32\Drivers\sptd.sys
  0x011CE000 \SystemRoot\System32\Drivers\WMILIB.SYS
  0x01000000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
  0x00F1F000 \SystemRoot\system32\DRIVERS\ACPI.sys
  0x0102F000 \SystemRoot\system32\DRIVERS\msisadrv.sys
  0x01039000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
  0x00F76000 \SystemRoot\system32\DRIVERS\pci.sys
  0x01046000 \SystemRoot\System32\drivers\partmgr.sys
  0x0105B000 \SystemRoot\system32\DRIVERS\compbatt.sys
  0x01064000 \SystemRoot\system32\DRIVERS\BATTC.SYS
  0x011D7000 \SystemRoot\system32\DRIVERS\volmgr.sys
  0x00E00000 \SystemRoot\System32\drivers\volmgrx.sys
  0x00FA9000 \SystemRoot\System32\drivers\mountmgr.sys
  0x011EC000 \SystemRoot\system32\DRIVERS\atapi.sys
  0x00FC3000 \SystemRoot\system32\DRIVERS\ataport.SYS
  0x011F5000 \SystemRoot\system32\DRIVERS\msahci.sys
  0x00FED000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
  0x00E5C000 \SystemRoot\system32\DRIVERS\amdxata.sys
  0x00D6F000 \SystemRoot\system32\drivers\fltmgr.sys
  0x00DBB000 \SystemRoot\system32\drivers\fileinfo.sys
  0x0123B000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x01415000 \SystemRoot\System32\Drivers\msrpc.sys
  0x01473000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x0148D000 \SystemRoot\System32\Drivers\cng.sys
  0x01500000 \SystemRoot\System32\drivers\pcw.sys
  0x01511000 \SystemRoot\System32\Drivers\Fs_Rec.sys
  0x0169A000 \SystemRoot\system32\drivers\ndis.sys
  0x0178C000 \SystemRoot\system32\drivers\NETIO.SYS
  0x01600000 \SystemRoot\System32\Drivers\ksecpkg.sys
  0x01803000 \SystemRoot\System32\drivers\tcpip.sys
  0x0162B000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x01675000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
  0x0151B000 \SystemRoot\system32\DRIVERS\volsnap.sys
  0x01685000 \SystemRoot\System32\Drivers\spldr.sys
  0x01567000 \SystemRoot\System32\drivers\rdyboost.sys
  0x017EC000 \SystemRoot\System32\Drivers\mup.sys
  0x0168D000 \SystemRoot\System32\drivers\hwpolicy.sys
  0x015A1000 \SystemRoot\system32\DRIVERS\hpdskflt.sys
  0x015AB000 \SystemRoot\System32\DRIVERS\fvevol.sys
  0x015E5000 \SystemRoot\system32\DRIVERS\disk.sys
  0x01200000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
  0x00CC0000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x013F5000 \SystemRoot\System32\Drivers\Null.SYS
  0x0140E000 \SystemRoot\System32\Drivers\Beep.SYS
  0x00DE2000 \SystemRoot\System32\drivers\vga.sys
  0x02C37000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x02C5C000 \SystemRoot\System32\drivers\watchdog.sys
  0x02C6C000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x02C75000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x02C7E000 \SystemRoot\system32\drivers\rdprefmp.sys
  0x02C87000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x02C92000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x02CA3000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x02CC1000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x02CCE000 \SystemRoot\system32\drivers\afd.sys
  0x02D58000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x02D9D000 \SystemRoot\system32\DRIVERS\wfplwf.sys
  0x02DA6000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x02DCC000 \SystemRoot\system32\DRIVERS\vwififlt.sys
  0x02DE2000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x02C00000 \SystemRoot\system32\DRIVERS\serial.sys
  0x03A89000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x03AA4000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x03AB8000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x03B09000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x03B15000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x03B20000 \SystemRoot\System32\drivers\discache.sys
  0x03B2F000 \SystemRoot\system32\drivers\csc.sys
  0x03BB2000 \SystemRoot\System32\Drivers\dfsc.sys
  0x03BD0000 \SystemRoot\system32\DRIVERS\blbdrive.sys
  0x03A00000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0x03A22000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x03A48000 \SystemRoot\system32\DRIVERS\amdppm.sys
  0x03CA8000 \SystemRoot\system32\DRIVERS\atikmdag.sys
  0x042BF000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x043B3000 \SystemRoot\System32\drivers\dxgmms1.sys
  0x048F5000 \SystemRoot\system32\DRIVERS\bcmwl664.sys
  0x04BD0000 \SystemRoot\system32\DRIVERS\vwifibus.sys
  0x04BDD000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
  0x04BEA000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0x04800000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x04856000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x04867000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x0488B000 \SystemRoot\system32\drivers\tpm.sys
  0x0489A000 \SystemRoot\system32\DRIVERS\serenum.sys
  0x048A6000 \SystemRoot\system32\DRIVERS\parport.sys
  0x048C3000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x048E1000 \SystemRoot\system32\DRIVERS\HpqKbFiltr.sys
  0x03C48000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x04417000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0x0456E000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x04570000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x0457F000 \SystemRoot\system32\DRIVERS\1394ohci.sys
  0x045BD000 \SystemRoot\system32\DRIVERS\Accelerometer.sys
  0x045C9000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0x045CE000 \SystemRoot\system32\DRIVERS\cpqbttn64.sys
  0x045D1000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x045EA000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x045F3000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0x04400000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
  0x048ED000 \SystemRoot\system32\DRIVERS\serscan.sys
  0x04410000 \SystemRoot\system32\drivers\ksthunk.sys
  0x03C57000 \SystemRoot\system32\drivers\ks.sys
  0x03A5D000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
  0x04E61000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x04E85000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x04E91000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x04EC0000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x04EDB000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x04EFC000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x04F16000 \SystemRoot\system32\DRIVERS\hamachi.sys
  0x04F21000 \SystemRoot\System32\Drivers\pcouffin.sys
  0x04F36000 \SystemRoot\system32\DRIVERS\rdpbus.sys
  0x04F41000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x04F43000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x04F55000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x04FAF000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0x04FBD000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x05CD5000 \SystemRoot\system32\drivers\ADIHdAud.sys
  0x05D55000 \SystemRoot\system32\drivers\portcls.sys
  0x05D92000 \SystemRoot\system32\drivers\drmk.sys
  0x05EAD000 \SystemRoot\system32\DRIVERS\agrsm64.sys
  0x05FCF000 \SystemRoot\system32\drivers\modem.sys
  0x000B0000 \SystemRoot\System32\win32k.sys
  0x05FDE000 \SystemRoot\System32\drivers\Dxapi.sys
  0x05FEA000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x05E00000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x05E0C000 \SystemRoot\System32\Drivers\dump_msahci.sys
  0x05E17000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
  0x05C00000 \SystemRoot\System32\Drivers\ATSwpWDF.sys
  0x02421000 \SystemRoot\system32\DRIVERS\snp2uvc.sys
  0x025EA000 \SystemRoot\system32\DRIVERS\STREAM.SYS
  0x02400000 \SystemRoot\system32\DRIVERS\sncduvc.SYS
  0x02409000 \SystemRoot\System32\Drivers\BTHUSB.sys
  0x026D1000 \SystemRoot\System32\Drivers\bthport.sys
  0x0275D000 \SystemRoot\system32\DRIVERS\rfcomm.sys
  0x02789000 \SystemRoot\system32\DRIVERS\BthEnum.sys
  0x02799000 \SystemRoot\system32\DRIVERS\bthpan.sys
  0x005D0000 \SystemRoot\System32\TSDDD.dll
  0x00770000 \SystemRoot\System32\cdd.dll
  0x00900000 \SystemRoot\System32\ATMFD.DLL
  0x027C7000 \SystemRoot\system32\drivers\luafv.sys
  0x02600000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0x0261D000 \SystemRoot\system32\drivers\WudfPf.sys
  0x0263E000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x02653000 \SystemRoot\system32\DRIVERS\nwifi.sys
  0x026A6000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0x026B9000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x054BA000 \SystemRoot\system32\drivers\HTTP.sys
  0x05582000 \SystemRoot\system32\DRIVERS\vwifimp.sys
  0x0558C000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x055AA000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x055C2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x05400000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x0544E000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x07605000 \SystemRoot\system32\drivers\peauth.sys
  0x076AB000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x076B6000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x076E3000 \SystemRoot\System32\drivers\tcpipreg.sys
  0x076F5000 \SystemRoot\System32\DRIVERS\srv2.sys
  0x0775C000 \SystemRoot\System32\DRIVERS\srv.sys
  0x077F2000 \SystemRoot\system32\DRIVERS\asyncmac.sys
  0x05471000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x05E2A000 \SystemRoot\System32\Drivers\fastfat.SYS
  0x77220000 \Windows\System32\ntdll.dll
  0x475B0000 \Windows\System32\smss.exe
  0xFF540000 \Windows\System32\apisetschema.dll
  0xFF360000 \Windows\System32\autochk.exe
  0xFF500000 \Windows\System32\imm32.dll
  0xFF4E0000 \Windows\System32\imagehlp.dll
  0xFF460000 \Windows\System32\difxapi.dll
  0xFF380000 \Windows\System32\oleaut32.dll
  0x773F0000 \Windows\System32\psapi.dll
  0xFF270000 \Windows\System32\msctf.dll
  0xFF190000 \Windows\System32\advapi32.dll
  0xFEF80000 \Windows\System32\ole32.dll
  0xFEF70000 \Windows\System32\lpk.dll
  0xFEF50000 \Windows\System32\sechost.dll
  0xFEF40000 \Windows\System32\nsi.dll
  0xFEEF0000 \Windows\System32\Wldap32.dll
  0xFEE80000 \Windows\System32\gdi32.dll
  0xFEE30000 \Windows\System32\ws2_32.dll
  0xFEBD0000 \Windows\System32\iertutil.dll
  0xFDE40000 \Windows\System32\shell32.dll
  0xFDDA0000 \Windows\System32\clbcatq.dll
  0xFDBC0000 \Windows\System32\setupapi.dll
  0xFDB20000 \Windows\System32\msvcrt.dll
  0xFDAA0000 \Windows\System32\shlwapi.dll
  0x77100000 \Windows\System32\kernel32.dll
  0xFD970000 \Windows\System32\rpcrt4.dll
  0x773E0000 \Windows\System32\normaliz.dll
  0xFD8A0000 \Windows\System32\usp10.dll
  0xFD770000 \Windows\System32\wininet.dll
  0x77000000 \Windows\System32\user32.dll
  0xFD6D0000 \Windows\System32\comdlg32.dll
  0xFD550000 \Windows\System32\urlmon.dll
  0xFD510000 \Windows\System32\wintrust.dll
  0xFD3A0000 \Windows\System32\crypt32.dll
  0xFD330000 \Windows\System32\KernelBase.dll
  0xFD2F0000 \Windows\System32\cfgmgr32.dll
  0xFD250000 \Windows\System32\comctl32.dll
  0xFD230000 \Windows\System32\devobj.dll
  0xFD220000 \Windows\System32\msasn1.dll
  0x76C90000 \Windows\SysWOW64\normaliz.dll

Processes (total 75):
       0 System Idle Process
       4 System
     272 C:\Windows\System32\smss.exe
     388 csrss.exe
     448 C:\Windows\System32\wininit.exe
     468 csrss.exe
     512 C:\Windows\System32\services.exe
     528 C:\Windows\System32\lsass.exe
     536 C:\Windows\System32\lsm.exe
     644 C:\Windows\System32\svchost.exe
     700 C:\Windows\System32\winlogon.exe
     768 C:\Windows\SysWOW64\svchost.exe
     788 C:\Windows\SysWOW64\svchost.exe
     824 C:\Program Files\Fingerprint Sensor\ATService.exe
     848 C:\Program Files (x86)\Hewlett-Packard\File Sanitizer\HPFSService.exe
     900 C:\Windows\System32\svchost.exe
     948 C:\Windows\System32\atiesrxx.exe
     316 C:\Windows\System32\svchost.exe
     592 C:\Windows\System32\svchost.exe
     924 C:\Windows\System32\svchost.exe
    1208 C:\Windows\System32\svchost.exe
    1296 C:\Windows\System32\atieclxx.exe
    1312 C:\Windows\System32\hpservice.exe
    1452 C:\Windows\System32\svchost.exe
    1548 C:\Windows\System32\wlanext.exe
    1556 C:\Windows\System32\conhost.exe
    1664 C:\Windows\System32\spoolsv.exe
    1716 C:\Program Files\Common Files\ActivIdentity\ac.sharedstore.exe
    1752 C:\Windows\System32\svchost.exe
    1792 C:\Program Files\ActivIdentity\ActivClient\acevents.exe
    1800 C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
    1872 C:\Windows\System32\svchost.exe
    2000 C:\Windows\System32\AEADISRV.EXE
    2024 C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
    1308 C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    1356 C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
    1444 C:\Windows\System32\conhost.exe
    1964 C:\Program Files (x86)\Bonjour\mDNSResponder.exe
    2084 C:\Program Files (x86)\Esker\Common\ESLCBcst.exe
    2124 C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe
    2212 C:\Program Files (x86)\FRITZ!DSL\IGDCTRL.EXE
    2416 C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
    2508 C:\Program Files (x86)\UltraVNC\winvnc.exe
    2960 C:\Program Files (x86)\UltraVNC\winvnc.exe
    2148 C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe
    2056 C:\Windows\System32\svchost.exe
    3088 C:\Windows\System32\svchost.exe
    3124 WmiPrvSE.exe
    3368 C:\Windows\System32\svchost.exe
    3408 C:\Program Files\Windows Media Player\wmpnetwk.exe
     148 C:\Windows\System32\SearchIndexer.exe
    2464 C:\Windows\System32\taskhost.exe
    1864 C:\Program Files (x86)\Hewlett-Packard\IAM\Bin\asghost.exe
    3464 C:\Windows\System32\dllhost.exe
    3568 C:\Windows\System32\rundll32.exe
    3712 C:\Windows\System32\dwm.exe
    3180 C:\Windows\explorer.exe
    1204 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    1004 C:\Program Files (x86)\FileHippo.com\UpdateChecker.exe
    2924 C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCtrl.exe
    2952 C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
    2528 C:\Program Files (x86)\Hewlett-Packard\File Sanitizer\CoreShredder.exe
    1956 C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe
    1336 C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
    1288 C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
    4148 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
    4212 C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
    4956 C:\Windows\System32\taskeng.exe
    4408 taskhost.exe
     356 C:\Windows\System32\svchost.exe
    2676 C:\Windows\System32\SearchProtocolHost.exe
    4536 C:\Windows\System32\SearchFilterHost.exe
    4224 C:\Users\Christian\Desktop\MBRCheck.exe
    2188 C:\Windows\System32\conhost.exe
    2672 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHM250HI, Rev: 2AC101C4

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0   Windows 7 MBR code detected
            SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!

Alt 11.02.2011, 22:50   #13
chris1309
 
Trojaner Drop.Agnet.bzdh - Standard

Trojaner Drop.Agnet.bzdh


Hi Arne,

ich kann die Datei irgendwie nicht hochladen. Ich finde sie zwar im angegebenen Pfad, aber wenn ich bei Virustotal auf Durchsuchen gehe ist die Datei nicht mehr da. (Habe alles sichtbargemacht wie beschrieben)
2. Versuch, per Email an Virus Total. Das selbe. Wenn ich einen Anhang einfügen will ist die Dateil nicht da. Copy Paste in die Mail rein funktioniert auch nicht. Dann heißt es: "die Datei kann nicht gefunden werden"

Was kann ich tun?

Gruße christian

Alt 11.02.2011, 22:57   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Drop.Agnet.bzdh - Standard

Trojaner Drop.Agnet.bzdh


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
file::
c:\windows\system32\WMVCOREd.DLL
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.02.2011, 11:25   #15
chris1309
 
Trojaner Drop.Agnet.bzdh - Standard

Trojaner Drop.Agnet.bzdh


Hallo Arne,

gestern konnte ich plötzlich keine Verbindung zum Internet herstellen.
Heute geht es nach dem 2. Neustart wieder!

Wenn ich Cobofix mit deinem Skript ausführe, stürzt es gleich nach Start des Suchlaufes immer ab mit der Warnmeldung:
"Windows-Befehlsprozessor funktioniert nicht mehr - Das Programm wird auf Grund eines Problems nicht richtig ausgeführt. Das Programm wird geschlossen und Sie werden benachrichtigt, wenn eine Lösung verfügbar ist"

Was hat das zu bedeuten?

Gruße Christian

Antwort
Seite 1 von 2 1 2

Themen zu Trojaner Drop.Agnet.bzdh
datei, dateien, extrem, gefunde, gen, hilfe!, hänge, hängen, immer wieder, langsam, microsoft, mozilla, quarantäne, scan, splitten, troja, trojaner, verschoben


« Spyeye Trojaner hat laut Bank meinen PC infiziert | Virus autorun.inf auf Festplatte, externer Festplatte und USB »


Ähnliche Themen: Trojaner Drop.Agnet.bzdh


  1. GVU Trojaner-Problem!(Exploit.Drop.GS;Exploit.drop.GSA;trojan.ransom.SUGen;--->Malwarebytes-Funde)
    Plagegeister aller Art und deren Bekämpfung - 02.03.2013 (6)
  2. GVU Trojaner und Exploit.Drop.GS
    Log-Analyse und Auswertung - 27.10.2012 (10)
  3. TR/Drop.Injector.fonv.1, TR/Drop.Injector.fnus.1, EXP/2012-1723.DG.1
    Plagegeister aller Art und deren Bekämpfung - 23.08.2012 (17)
  4. Exploit.Drop - Trojaner
    Log-Analyse und Auswertung - 03.07.2012 (3)
  5. Trojaner TR/Drop.Agent.agp
    Plagegeister aller Art und deren Bekämpfung - 01.04.2010 (4)
  6. Trojaner gefunden: TR/Drop.fra.2168720', TR/Drop.fra.2168720' u 'TR/Dldr.Client.kiu
    Plagegeister aller Art und deren Bekämpfung - 09.08.2009 (3)
  7. TR/Crypt.XPACK.Gen'/ TR/Drop.Agent.qkm/ TR/Drop.Mudr.CY.305...alles seit heut morgen!
    Plagegeister aller Art und deren Bekämpfung - 06.04.2009 (8)
  8. TDSServ and PWS-Agnet auf dem Lappen. Rettung möglich?
    Log-Analyse und Auswertung - 17.02.2009 (0)
  9. Trojaner? TR/Drop.Ag.age.87.A
    Plagegeister aller Art und deren Bekämpfung - 31.01.2008 (1)
  10. Trojaner Drop.Ag.age
    Log-Analyse und Auswertung - 29.01.2008 (0)
  11. Trojaner TR/Drop.Agent.adp.2 und adp.3
    Mülltonne - 25.06.2006 (4)
  12. Trojaner: drop.delf.MQ
    Plagegeister aller Art und deren Bekämpfung - 14.09.2005 (15)
  13. Trojaner TR/Drop.FakeBckd.A ?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2005 (7)
  14. Trojaner-TR/drop.Small.pv
    Plagegeister aller Art und deren Bekämpfung - 27.06.2005 (6)
  15. Trojaner TR/Drop.small.TY.2
    Log-Analyse und Auswertung - 15.04.2005 (4)
  16. Trojaner Drop.VB.CZ.1
    Plagegeister aller Art und deren Bekämpfung - 25.11.2004 (17)
  17. Trojaner: Drop.e Wekstat.1
    Plagegeister aller Art und deren Bekämpfung - 18.06.2004 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner Drop.Agnet.bzdh - Hallo, Avira hat auf meinem PC den Trojaner Drop.Agnet.bzdh gefunden Nach dem Scan wurde die Datei in die Quarantäne verschoben und gelöscht. Die Symptome gehen aber weiter: Mozilla + Microsoft - Trojaner Drop.Agnet.bzdh...
Archiv
Du betrachtest: Trojaner Drop.Agnet.bzdh auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131