Dateien versteckt, Desktop leer - Trojaner?

pencil case · 23.05.2011, 13:06

Guten Tag,

Folgende Symptome sind aufgetreten: Der Desktop war ein leerer schwarzer Bildschirm, die meisten Dateien waren versteckt und diverse Anzeigen meldeten einen Defekt der Festplatte. Allgemein ähnliche Probleme, wie andere User, die sich über ein gewisses "TR/Kazy" beklagen.

Ich hab bis jetzt unhide.exe ausgeführt und einen quickscan mit Malewarebytes gemacht, nach einem Neustart waren zumindestens die Order auf dem Desktop wieder sichtbar.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6649

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.05.2011 13:04:47
mbam-log-2011-05-23 (13-04-47).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 163262
Laufzeit: 8 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 26
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 13
Infizierte Verzeichnisse: 2
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{D032570A-5F63-4812-A094-87D007C23012} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D032570A-5F63-4812-A094-87D007C23012} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{D032570A-5F63-4812-A094-87D007C23012} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{D032570A-5F63-4812-A094-87D007C23012} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\RegistryDoktorNE (Rogue.RegistryDoktor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RapportMgmtService.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RapportService.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ICF (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ICF (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4BD2D6C3-31DC-B947-23D0-DC52EC4F0C4C} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\XTTB00001.IEToolbar.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\XTTB00001.IEToolbar (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XTTB00001.XTTB00001Toolbar (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (D:\DOKUME~1\RALFLI~1\ANWEND~1\MACROM~1\Common\baf3c07e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (D:\DOKUME~1\RALFLI~1\ANWEND~1\MACROM~1\Common\baf3c07e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (D:\DOKUME~1\RALFLI~1\ANWEND~1\MACROM~1\Common\baf3c07e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (D:\DOKUME~1\RALFLI~1\ANWEND~1\MACROM~1\Common\baf3c07e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (D:\DOKUME~1\RALFLI~1\ANWEND~1\MACROM~1\Common\baf3c07e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (D:\DOKUME~1\RALFLI~1\ANWEND~1\MACROM~1\Common\baf3c07e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (D:\DOKUME~1\RALFLI~1\ANWEND~1\MACROM~1\Common\baf3c07e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (D:\DOKUME~1\RALFLI~1\ANWEND~1\MACROM~1\Common\baf3c07e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe rundll32.exe italc.ifo before1main) Good: (Explorer.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
d:\dokumente und einstellungen\all users\AVP 2009 (Malware.Trace) -> Quarantined and deleted successfully.
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
d:\dokumente und einstellungen\ralf link\anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> Quarantined and deleted successfully.
d:\dokumente und einstellungen\all users\AVP 2009\1.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
c:\programme\icqtoolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.

Ich hoffe mir kann irgendjemand helfen, danke schon einmal.

markusg · 23.05.2011, 13:51

hi
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

pencil case · 23.05.2011, 16:09

Hi,
ComboFix und AVG 2011 vertragen sich irgend wie nicht, obwohl ich AVG temporär deaktiviert habe, zeigt mir ComboFix eine Fehlermeldung, die besagt, ich solle entweder AVG deinstalieren oder ein anderes Programm verwenden.
Ist das entfernen von AVG hier die einzige Möglichkeit?

markusg · 23.05.2011, 16:52

kannst ja danach neu instalieren.
bitte während cf avg deinstalieren.

pencil case · 23.05.2011, 19:11

Drei Versuche, drei Bluescreens. Nach dem die Anzeige bei "Abschnitt 50 fertig" angekommen ist, tauchte darunter kurz die Meldung "Daten werden gelöscht" auf, dann stürtzt er ab. AVG ist deinstalliert, Windows Firewall ist aus, alle Fenster waren geschlossen, allgemein hab ich die Anleitung Schritt für Schritt befolgt.
Unter Explorer -> Arbeitsplatz -> C hab ich jetzt einen Unterpunkt ComboFix, der aussieht wie mein Arbeitsplatz und auch denselben Inhalt hat, also auch wieder C und ComboFix, damit kann ich eine lustige Endloskette produzieren aber is das normal?

markusg · 24.05.2011, 11:19

ok,
starte mal in den abgesicherten modus ohne netzwerk, bei den meisten pcs mit f8 zu erreichen, dort noch mal versuchen.

pencil case · 25.05.2011, 11:40

Folgendes ist passiert, nachdem ich ComboFix im abgesicherten Modus ausgeführt habe:
- cf hat ganz normal angefangen zu scanen
- als es mit dem Scan fertig war, hatt sich der PC selbst neugestartet
- Windows hat sich normal gestartet
- nach der Anmeldung hat sich cf mit der Meldung "Bereite Logdatei vor. Öffne keine anderen Programme" (oder so ähnlich) geöffnet.
- als nächstes meldete es, das es fertig sei und ich einige Sekunden warten solle, damit es die Logdatei öffnen kann.
- Bluescreen

Ich hab dan nochmal gebootet und unter C nach der Logdatei gesucht, die da leider nicht war. Im Ordner ComboFix hab ich dan einige Textdokumente gefunden, von denen eines so anfängt:

ComboFix 11-05-22.02 - *** 25.05.2011 12:05:02.5.2 - x86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.694 [GMT 2:00]
ausgeführt von:: D:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\2117701155.dat
C:\WINDOWS\system32\Thumbs.db
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\1.xml

...

Die geht noch recht lange so weiter, ist die richtig?

markusg · 25.05.2011, 16:44

ja das ist sie

pencil case · 25.05.2011, 17:30

ComboFix 11-05-22.02 - *** 25.05.2011 12:05:02.5.2 - x86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.694 [GMT 2:00]
ausgeführt von:: D:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\2117701155.dat
C:\WINDOWS\system32\Thumbs.db
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\1.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\a.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\b.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\c.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\d.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\e.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\f.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\g.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\h.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\i.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\J.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\k.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\l.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\m.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\mru.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\n.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\o.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\p.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\q.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\r.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\s.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\t.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\u.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\v.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\w.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\x.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\y.xml
D:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\z.xml
D:\Dokumente und Einstellungen\***\Recent\Thumbs.db

((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ICF

((((((((((((((((((((((( Dateien erstellt von 2011-04-25 bis 2011-05-25 ))))))))))))))))))))))))))))))

2011-05-25 10:02:15 . 2011-05-25 10:02:15 -------- d-sh--w- D:\Dokumente und Einstellungen\Administrator\IETldCache
2011-05-23 10:49:24 . 2011-05-23 10:49:24 -------- d-----w- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2011-05-23 10:49:15 . 2010-12-20 16:09:00 38224 ----a-w- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2011-05-23 10:49:14 . 2011-05-23 10:49:14 -------- d-----w- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-05-23 10:49:11 . 2011-05-23 10:49:17 -------- d-----w- C:\Programme\Malwarebytes' Anti-Malware
2011-05-23 10:49:11 . 2010-12-20 16:08:40 20952 ----a-w- C:\WINDOWS\system32\drivers\mbam.sys
2011-05-12 19:01:04 . 2011-05-12 19:58:07 -------- d-----w- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Magic Set Editor
2011-05-06 17:41:28 . 2011-05-06 17:41:28 1409 ----a-w- C:\WINDOWS\QTFont.for
2011-05-05 20:17:10 . 2011-05-05 20:17:10 -------- d-----w- D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Help
2011-05-05 19:30:32 . 2003-07-16 04:14:40 31744 ----a-w- C:\WINDOWS\system32\E_DCINST.DLL
2011-05-05 19:30:28 . 2004-05-20 20:04:00 79622 ----a-w- C:\WINDOWS\system32\EBPMON24.DLL
2011-05-05 19:30:28 . 2004-02-17 16:10:00 98304 ----a-w- C:\WINDOWS\system32\E_SAGSET.DLL
2011-05-05 19:30:28 . 2003-05-20 17:27:00 64000 ----a-w- C:\WINDOWS\system32\ECBTEG.DLL
2011-05-05 19:30:28 . 2000-06-06 16:01:00 34304 ----a-w- C:\WINDOWS\system32\EBPCHP.DLL
2011-05-05 19:29:42 . 2011-05-05 19:30:40 -------- d-----w- C:\Programme\EPSON
2011-05-04 21:30:10 . 2006-10-30 22:10:00 71840 ----a-w- C:\WINDOWS\system32\EPPicMgr.dll
2011-05-04 21:30:10 . 2006-10-30 22:10:00 120992 ----a-w- C:\WINDOWS\system32\EpPicPrt.dll
2011-05-04 21:30:10 . 2006-10-19 22:10:00 80024 ----a-w- C:\WINDOWS\system32\PICSDK.dll
2011-05-04 21:30:10 . 2006-10-19 22:10:00 501912 ----a-w- C:\WINDOWS\system32\PICSDK2.dll
2011-05-04 21:30:10 . 2006-10-19 22:10:00 108704 ----a-w- C:\WINDOWS\system32\PICEntry.dll
2011-05-04 19:36:04 . 2008-04-13 17:47:38 25856 ----a-w- C:\WINDOWS\system32\drivers\usbprint.sys
2011-05-04 19:36:04 . 2008-04-13 17:47:38 25856 ----a-w- C:\WINDOWS\system32\dllcache\usbprint.sys
2011-04-29 17:46:46 . 2011-04-29 17:46:46 -------- d-----w- D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\AVG Security Toolbar
2011-04-29 13:45:00 . 2011-04-29 13:45:22 -------- d-----w- D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Temp
.

(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))

2011-05-02 20:35:30 . 2010-11-09 16:42:20 0 ----a-w- C:\WINDOWS\system32\ConduitEngine.tmp
2011-03-07 05:33:45 . 2005-10-17 14:24:40 692736 ----a-w- C:\WINDOWS\system32\inetcomm.dll
2011-03-04 06:36:21 . 2005-10-17 14:00:12 420864 ----a-w- C:\WINDOWS\system32\vbscript.dll
2011-03-03 13:53:00 . 2005-10-17 14:00:14 1858048 ----a-w- C:\WINDOWS\system32\win32k.sys
2011-04-30 15:35:43 . 2011-04-02 12:35:10 142296 ----a-w- C:\Programme\mozilla firefox\components\browsercomps.dll

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll" [2011-01-17 14:54:02 175912]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54:02 175912 ----a-w- C:\Programme\ConduitEngine\prxConduitEngine.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2011-01-17 14:54:02 175912 ----a-w- C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll" [2011-01-17 14:54:02 175912]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "C:\Programme\ConduitEngine\prxConduitEngine.dll" [2011-01-17 14:54:02 175912]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll" [2011-01-17 14:54:02 175912]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Pando Media Booster"="C:\Programme\Pando Networks\Media Booster\PMB.exe" [2010-09-22 09:22:56 2969496]
"AutoStartNPSAgent"="C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe" [2010-10-12 22:15:59 102400]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-03-06 12:40:06 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATSwpNav"="C:\Programme\Fingerprint Sensor\ATSwpNav -run" [X]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 13:00:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 13:00:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 13:00:00 455168]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 12:34:32 64512]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 16:07:16 61952]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-08 14:55:22 57344]
"RTHDCPL"="RTHDCPL.EXE" [2005-06-29 11:25:30 14720000]
"ATICCC"="c:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 13:43:58 45056]
"MM_MODULE"="C:\Programme\MIC\HAWAII\Hawaii.exe" [2005-11-16 13:27:57 121856]
"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 10:43:34 90112]
"NECHotkey"="mHotkey.exe" [2006-01-11 09:29:02 548864]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-11-22 17:53:55 98304]
"MsgCenterExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" [2009-04-08 21:07:50 69632]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-04-08 21:07:50 198160]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 00:04:34 39792]
"SunJavaUpdateSched"="C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 09:43:18 248040]
"EPSON Stylus C48 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I091.EXE" [2005-05-16 18:00:00 99840]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 02:22:40 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]
2005-08-12 16:01:14 49152 ----a-w- C:\APPS\Softex\OmniPass\OPXPGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"=
"%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"C:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"C:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"58716:TCP"= 58716:TCP:Pando Media Booster
"58716:UDP"= 58716:UDP:Pando Media Booster
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
"6957:TCP"= 6957:TCP:League of Legends Launcher
"6957:UDP"= 6957:UDP:League of Legends Launcher
"6918:TCP"= 6918:TCP:League of Legends Launcher
"6918:UDP"= 6918:UDP:League of Legends Launcher
"6940:TCP"= 6940:TCP:League of Legends Launcher
"6940:UDP"= 6940:UDP:League of Legends Launcher
"6935:TCP"= 6935:TCP:League of Legends Launcher
"6935:UDP"= 6935:UDP:League of Legends Launcher

R2 Fabs;FABS - Helping agent for MAGIX media database;C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [03.02.2009 15:53:00 1155072]
R2 FsUsbExService;FsUsbExService;C:\WINDOWS\system32\FsUsbExService.Exe [13.10.2010 00:05:49 233472]
R2 WDDMService;WDDMService;C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe [08.09.2010 10:41:36 237056]
R2 WDFME;WD File Management Engine;C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDFME\WDFME.exe [08.09.2010 10:45:10 1034752]
R2 WDSC;WD File Management Shadow Engine;C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSC.exe [08.09.2010 10:44:50 484352]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\drivers\3xHybrid.sys [22.11.2007 19:40:52 799744]
R3 FsUsbExDisk;FsUsbExDisk;C:\WINDOWS\system32\FsUsbExDisk.Sys [13.10.2010 00:05:49 36608]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\drivers\x10hid.sys [22.11.2007 19:42:59 7040]
S0 oozbmpj;oozbmpj; [x]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
S2 gupdate;Google Update Service (gupdate);C:\Programme\Google\Update\GoogleUpdate.exe [06.03.2011 14:40:16 136176]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 11:10:02 3276800]
S3 GarenaPEngine;GarenaPEngine;\??\D:\DOKUME~1\RALFLI~1\LOKALE~1\Temp\FDC3.tmp --> D:\DOKUME~1\RALFLI~1\LOKALE~1\Temp\FDC3.tmp [?]
S3 GGSAFERDriver;GGSAFER Driver;\??\D:\Andres Spiele\garena\plugins\UI\safedrv.sys --> D:\Andres Spiele\garena\plugins\UI\safedrv.sys [?]
S3 gupdatem;Google Update-Dienst (gupdatem);C:\Programme\Google\Update\GoogleUpdate.exe [06.03.2011 14:40:16 136176]
S3 LTower;LEGO USB Tower Driver;C:\WINDOWS\system32\drivers\LTower.sys [24.11.2007 19:52:41 36981]
S3 MosIrUsb;MosIrUsb.sys;C:\WINDOWS\system32\drivers\MosIrUsb.sys [14.04.2004 15:52:54 20736]
S3 PciCon;PciCon;\??\E:\PciCon.sys --> E:\PciCon.sys [?]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);C:\WINDOWS\system32\drivers\ss_bbus.sys [13.10.2010 00:06:04 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);C:\WINDOWS\system32\drivers\ss_bmdfl.sys [13.10.2010 00:06:04 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;C:\WINDOWS\system32\drivers\ss_bmdm.sys [13.10.2010 00:06:04 121856]
S3 WDC_SAM;WD SCSI Pass Thru driver;C:\WINDOWS\system32\drivers\wdcsam.sys [13.04.2011 21:48:45 11520]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - FSUSBEXDISK

Inhalt des "geplante Tasks" Ordners

2011-05-25 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
- C:\Programme\Google\Update\GoogleUpdate.exe [2011-03-06 12:40:16 . 2011-03-06 12:40:11]

2011-05-24 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
- C:\Programme\Google\Update\GoogleUpdate.exe [2011-03-06 12:40:16 . 2011-03-06 12:40:11]

------- Zusätzlicher Suchlauf -------

uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.google.de/
IE: Free YouTube to Mp3 Converter - D:\Dokumente und Einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - D:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\wt0aun86.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://search.avg.com/route/?d=4dbaf92c&v=6.103.018.001&i=23&tp=ab&iy=&ychte=de&lng=de&q=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false

- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
HKLM-Run-NPSStartup - (no file)
AddRemove-paw•ned² - D:\Dokumente und Einstellungen\***\Desktop\André\paw-ned²\paw•ned²\uninst.exe
AddRemove-Teamspeak 2 RC2_is1 - D:\Andres Spiele\T S\Teamspeak2_RC2\unins000.exe
AddRemove-TeamSpeak 2 Server_is1 - D:\Andres Spiele\T S\Server\Teamspeak2_RC2\unins000.exe
AddRemove-TeamSpeak 3 Client - D:\Andres Spiele\T S\uninstall.exe

_________________________________________________________________
Folgende Textdateien waren auch noch in der Nähe:

_____________________________________________________

mbr

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: ST3300831AS rev.3.03 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
_____________________________________________________

Osld

Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.694 [GMT 2:00]
______________________________________________________

pend

.:\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\config\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\csrss.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\Drivers\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\hal.dll\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\lsass.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\ntdll.dll\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\services.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\smss.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\svchost.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\userinit.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\wbem\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\winlogon.exe\\\(0!\|0\\0\)
C:\\boot.ini\\\(0!\|0\\0\)
C:\\ntdetect.com\\\(0!\|0\\0\)
C:\\ntldr\\\(0!\|0\\0\)
C:\\WINDOWS\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\explorer.exe\\\(0!\|0\\0\)
____________________________________________

RegLocks

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@C:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="C:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
___________________________________________

Hier bitteschön ich hoff das ist alles. Entschuldige den langen Text und die vielen ***.

Wie kann ich soviel Text mit weniger Platzaufwand posten?

markusg · 26.05.2011, 16:32

na wie wäre es mit anhängen?
wie läuft das system jetzt?

pencil case · 26.05.2011, 21:27

Folgende Probleme die es voher nicht gab, sind noch vorhanden:

1.) Firefox funktioniert nur über "Ausführen als Administrator", wenn man es normal startet, kommt eine Fehlermeldung:"Die Sicherheitskomponenten der Anwendung konnten nicht initialisiert werden. Der wahrscheinlichste Grund dafür sind Probleme mit Dateien im Profilordner der Anwendung. Bitte überprüfen Sie, ob der Ordner keine Lese- oder Schreibbeschränkungen hat und Ihre Festplatte nicht voll oder fast voll ist. Es wird empfohlen, dass Sie die Anwendung jetzt beenden und das Problem beheben. Wenn Sie diese Sitzung weiter verwenden, könnten Sie unkorrektes Verhalten der Anwendung beim Zugriff auf Sicherheitsfunktionen feststellen."

2.) Internet Explorer spuckt auch was schönes aus, wenn man ihn startet:"Ein Programm auf ihrem Computer hat die Einstellung für Standartsuchanbietet beschädigt. Diese Einstellung wurde von IE auf den ursprünglichen Suchanbieter zurückgesetzt: google. Es werden jetzt die Sucheinstellungen geöffnet, in denen sie diese Einstellung ändern oder weitere Suchanbieter installieren können." Das macht er dann nach einem klick auf OK dann auch.

3.) Im Startmenü unter "Alle Programme" sind nicht alle Programme aufgelistet. Die, die dort stehen sind alle leer.

4.) Mikrosoft Outlook gibt die Fehlermeldung "Sie besitzen nicht die erforderliche Berechtigung, um diesen Vorgang auszuführen." sobald man auf "Senden/Empfangen" drückt.

Sonst läuft alles wieder wie gewohnt.

markusg · 27.05.2011, 11:24

das mit dem menü bekommen wir nicht mehr hin, höchstens senden an, startmenü dann hast du dort verknüpfungen
versuch mal ne sauere de- und neu instalation von firefox
Firefox deinstallieren | Anleitung | Firefox-Hilfe

23.05.2011, 13:51	#2
markusg /// Malware-holic	Dateien versteckt, Desktop leer - Trojaner? hi bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix __________________ __________________

24.05.2011, 11:19	#6
markusg /// Malware-holic	Dateien versteckt, Desktop leer - Trojaner? ok, starte mal in den abgesicherten modus ohne netzwerk, bei den meisten pcs mit f8 zu erreichen, dort noch mal versuchen. __________________ --> Dateien versteckt, Desktop leer - Trojaner?

25.05.2011, 16:44	#8
markusg /// Malware-holic	Dateien versteckt, Desktop leer - Trojaner? ja das ist sie __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

26.05.2011, 16:32	#10
markusg /// Malware-holic	Dateien versteckt, Desktop leer - Trojaner? na wie wäre es mit anhängen? wie läuft das system jetzt? __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

Dateien versteckt, Desktop leer - Trojaner?

Plagegeister aller Art und deren Bekämpfung: Dateien versteckt, Desktop leer - Trojaner?