Trojaner-Board
Seite 3 von 5 12 3 45
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner, was kann ich tun? (https://www.trojaner-board.de/57655-trojaner-tun.html)

Caprise 15.08.2008 16:11
so, ich versuchs jetzt mal mit Ruhe und Muße.... hmmmm

Nur eine Frage, kann man die Scanner irgendwie schneller kriegenß hab schon alles möglich sinnlose aus gemacht. Aber das dauert ja ewig. der eine läuft jetzt seit über 6 stunden.... :sleepy:

undoreal 15.08.2008 17:47
Zitat:
ich versuchs jetzt mal mit Ruhe und Muße....
das ist gut! :daumenhoc

Zitat:
Nur eine Frage, kann man die Scanner irgendwie schneller kriegenß hab schon alles möglich sinnlose aus gemacht. Aber das dauert ja ewig. der eine läuft jetzt seit über 6 stunden..
:) Du stellst ab und an etwas unpräzise Fragen.. ;)

Welchen Scanner meinst du? Und nein, kann man nicht... :) Sonst würden wir euch das so posten..

Caprise 16.08.2008 14:04
So, nun hab iche folgendes getan:

1. Dr.Web drüber laufen lassen
(gibts da auch nen Log? der Laptop hatte neu gestartet und dann stand da nix)

2. Blacklight drüber laufen lassen
-> Keine Funde

3. CCCleaner drüber laufen lassen.


3. Malwarebytes drüber laufen lassen.
Hier das Log:
Code:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1040
Windows 6.0.6001 Service Pack 1

10:00:30 16.08.2008
mbam-log-8-16-2008 (10-00-30).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 164709
Laufzeit: 1 hour(s), 7 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


4. ComboFix drüber laufen lassen.
Hier muß ich aber sagen, dass nach dem Neustart Antivir angesprungen ist und ich da immer wieder wegklicken mußte, hoffe, dass das Log dennoch brauchbar ist.

Hier das Log:
Code:
ComboFix 08-08-14.05 - *** 2008-08-16 10:44:00.1 - NTFSx86
Microsoft® Windows Vista™ Business  *** [GMT 2:00]
ausgeführt von:: C:\Users\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere L”schungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\Autorun.inf

.
(((((((((((((((((((((((  Dateien erstellt von 2008-07-16 bis 2008-08-16  ))))))))))))))))))))))))))))))
.

2008-08-16 10:18 . 2008-08-16 10:18        <DIR>        d--------        C:\Program Files\CCleaner
2008-08-16 10:10 . 2008-08-16 10:16        <DIR>        d--------        C:\Users\All Users\Spybot - Search & Destroy
2008-08-16 10:10 . 2008-08-16 10:16        <DIR>        d--------        C:\ProgramData\Spybot - Search & Destroy
2008-08-16 10:10 . 2008-08-16 10:17        <DIR>        d--------        C:\Program Files\Spybot - Search & Destroy
2008-08-16 03:10 . 2008-07-16 03:32        2,048        --a------        C:\Windows\System32\tzres.dll
2008-08-15 09:28 . 2008-06-19 05:31        361,984        --a------        C:\Windows\System32\IPSECSVC.DLL
2008-08-15 09:27 . 2008-06-27 03:55        1,383,424        --a------        C:\Windows\System32\mshtml.tlb
2008-08-15 09:27 . 2008-04-10 07:12        738,304        --a------        C:\Windows\System32\inetcomm.dll
2008-08-14 20:40 . 2008-08-15 13:57        <DIR>        d--------        C:\Users\***\DoctorWeb
2008-08-14 13:40 . 2008-04-18 07:48        269,312        --a------        C:\Windows\System32\es.dll
2008-08-14 13:40 . 2008-04-18 07:48        269,312        --a------        C:\Windows\System32\es(92).dll
2008-08-14 13:39 . 2008-06-27 06:15        1,166,336        --a------        C:\Windows\System32\urlmon(118).dll
2008-08-14 13:39 . 2008-06-27 06:15        827,392        --a------        C:\Windows\System32\wininet.dll
2008-08-14 13:39 . 2008-06-27 06:15        827,392        --a------        C:\Windows\System32\wininet(124).dll
2008-08-12 21:00 . 2008-08-12 21:00        0        --ah-----        C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2008-08-11 21:45 . 2008-03-03 15:05        54,672        --a------        C:\Windows\System32\vsutil_loc0407.dll
2008-08-11 21:45 . 2008-08-11 21:45        5,571        --a------        C:\Windows\System32\vsconfig.xml
2008-08-11 21:44 . 2008-08-11 21:44        <DIR>        d--------        C:\Users\All Users\CheckPoint
2008-08-11 21:44 . 2008-08-11 21:44        <DIR>        d--------        C:\ProgramData\CheckPoint
2008-08-11 21:44 . 2008-08-11 21:44        <DIR>        d--------        C:\Program Files\Zone Labs
2008-08-11 21:44 . 2008-03-03 15:05        1,086,952        --a------        C:\Windows\System32\zpeng24.dll
2008-08-11 21:44 . 2008-03-03 15:06        279,440        --a------        C:\Windows\System32\drivers\~GLH0014.TMP
2008-08-11 21:43 . 2008-08-11 21:45        <DIR>        d--------        C:\Windows\System32\ZoneLabs
2008-08-11 21:43 . 2008-08-16 10:51        352,615        --ah-----        C:\Windows\System32\drivers\vsconfig.xml
2008-08-11 21:43 . 2008-08-13 09:26        352,615        --ah-----        C:\Windows\System32\drivers\vsconfig(210).xml
2008-08-11 21:43 . 2008-03-03 15:06        279,440        ---------        C:\Windows\System32\drivers\vsdatant.sys
2008-08-11 21:42 . 2008-08-16 10:59        <DIR>        d--------        C:\Windows\Internet Logs
2008-08-11 11:58 . 2008-08-11 11:58        <DIR>        d--------        C:\Users\***\AppData\Roaming\Malwarebytes
2008-08-11 11:58 . 2008-08-11 11:58        <DIR>        d--------        C:\Users\All Users\Malwarebytes
2008-08-11 11:58 . 2008-08-11 11:58        <DIR>        d--------        C:\ProgramData\Malwarebytes
2008-08-11 11:58 . 2008-08-11 11:58        <DIR>        d--------        C:\Program Files\Malwarebytes' Anti-Malware
2008-08-11 11:58 . 2008-07-30 20:07        38,472        --a------        C:\Windows\System32\drivers\mbamswissarmy.sys
2008-08-11 11:58 . 2008-07-30 20:07        17,144        --a------        C:\Windows\System32\drivers\mbam.sys
2008-08-11 11:22 . 2008-08-11 11:22        <DIR>        d--------        C:\Program Files\Trend Micro
2008-08-11 09:53 . 2008-08-11 18:43        <DIR>        d--------        C:\Users\***\AppData\Roaming\SUPERAntiSpyware.com
2008-08-11 09:53 . 2008-08-11 09:53        <DIR>        d--------        C:\Users\All Users\SUPERAntiSpyware.com
2008-08-11 09:53 . 2008-08-11 09:53        <DIR>        d--------        C:\ProgramData\SUPERAntiSpyware.com
2008-08-10 23:54 . 2008-08-10 23:54        <DIR>        d--------        C:\Users\All Users\Avira
2008-08-10 23:54 . 2008-08-10 23:54        <DIR>        d--------        C:\ProgramData\Avira
2008-08-10 23:54 . 2008-08-10 23:54        <DIR>        d--------        C:\Program Files\Avira
2008-08-10 22:50 . 2008-08-10 22:50        <DIR>        d--------        C:\Users\All Users\Macrovision
2008-08-10 22:50 . 2008-08-10 22:50        <DIR>        d--------        C:\ProgramData\Macrovision
2008-08-10 22:50 . 2008-08-10 22:50        <DIR>        d--------        C:\Program Files\Common Files\Adobe Systems Shared
2008-07-30 19:10 . 2008-07-30 19:10        <DIR>        d--------        C:\Users\***\AppData\Roaming\DivX
2008-07-30 18:51 . 2008-07-30 18:51        <DIR>        d--------        C:\Program Files\Common Files\Pinnacle
2008-07-30 18:50 . 2008-07-30 18:50        <DIR>        d--------        C:\Users\All Users\Pinnacle Studio
2008-07-30 18:50 . 2008-07-30 18:50        <DIR>        d--------        C:\ProgramData\Pinnacle Studio
2008-07-30 18:40 . 2008-07-30 18:40        <DIR>        d--------        C:\Program Files\Common Files\Pegasus Imaging
2008-07-30 18:39 . 2008-07-30 18:39        <DIR>        d--------        C:\Users\All Users\Studio 12
2008-07-30 18:39 . 2008-07-30 18:39        <DIR>        d--------        C:\Users\All Users\Pinnacle Studio Plus
2008-07-30 18:39 . 2008-07-30 18:39        <DIR>        d--------        C:\ProgramData\Studio 12
2008-07-30 18:39 . 2008-07-30 18:39        <DIR>        d--------        C:\ProgramData\Pinnacle Studio Plus
2008-07-30 18:39 . 2008-07-30 18:39        <DIR>        d--------        C:\Program Files\Pinnacle
2008-07-30 18:39 . 2008-07-30 18:39        <DIR>        d--------        C:\Program Files\Common Files\Yahoo!
2008-07-30 18:27 . 2008-07-30 18:39        <DIR>        d--------        C:\Users\All Users\Pinnacle
2008-07-30 18:27 . 2008-07-30 18:39        <DIR>        d--------        C:\ProgramData\Pinnacle
2008-07-21 10:22 . 2008-07-21 10:30        <DIR>        d--------        C:\Users\***\AppData\Roaming\Wimpomat2
2008-07-20 16:08 . 2008-07-20 16:08        <DIR>        d--------        C:\Program Files\Logitech
2008-07-20 16:08 . 2008-07-20 16:08        130,208        -r-------        C:\Windows\bwUnin-8.1.1.87-8876480SL.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-16 09:00        ---------        d-----w        C:\Users\***\AppData\Roaming\skypePM
2008-08-16 09:00        ---------        d-----w        C:\Users\***\AppData\Roaming\Skype
2008-08-16 08:59        43,786,973        ----a-w        C:\Windows\Internet Logs\vsmon_on_demand_2008_08_16_10_10_12_full.dmp.zip
2008-08-16 08:58        43,777,001        ----a-w        C:\Windows\Internet Logs\vsmon_on_demand_2008_08_16_10_07_17_full.dmp.zip
2008-08-16 08:57        43,772,660        ----a-w        C:\Windows\Internet Logs\vsmon_on_demand_2008_08_16_10_06_55_full.dmp.zip
2008-08-16 08:01        ---------        d-----w        C:\ProgramData\Lavasoft
2008-08-16 01:12        ---------        d-----w        C:\ProgramData\Microsoft Help
2008-08-16 01:03        ---------        d-----w        C:\Program Files\Windows Mail
2008-08-14 22:23        ---------        d-----w        C:\ProgramData\FLEXnet
2008-08-14 22:23        ---------        d-----w        C:\Program Files\RADVideo
2008-08-14 22:23        ---------        d-----w        C:\Program Files\PC Connectivity Solution
2008-08-14 22:23        ---------        d-----w        C:\Program Files\Lavasoft
2008-08-14 22:23        ---------        d-----w        C:\Program Files\Common Files\Wise Installation Wizard
2008-08-11 19:02        ---------        d-----w        C:\Program Files\Common Files\Adobe
2008-08-11 17:43        15,648        ----a-w        C:\Windows\system32\drivers\NSDriver.sys
2008-08-11 17:43        15,648        ----a-w        C:\Windows\system32\drivers\AWRTRD.sys
2008-08-11 17:43        12,960        ----a-w        C:\Windows\system32\drivers\AWRTPD.sys
2008-08-11 17:43        12,632        ----a-w        C:\Windows\System32\lsdelete.exe
2008-08-11 16:41        ---------        d-----w        C:\ProgramData\Symantec
2008-08-11 16:41        ---------        d-----w        C:\Program Files\Common Files\Symantec Shared
2008-08-11 16:27        174        --sha-w        C:\Program Files\desktop.ini
2008-08-11 16:18        ---------        d-----w        C:\Program Files\Google
2008-08-11 16:13        ---------        d-----w        C:\Program Files\Windows Sidebar
2008-08-11 16:13        ---------        d-----w        C:\Program Files\Windows Photo Gallery
2008-08-11 16:13        ---------        d-----w        C:\Program Files\Windows Journal
2008-08-11 16:13        ---------        d-----w        C:\Program Files\Windows Defender
2008-08-11 16:13        ---------        d-----w        C:\Program Files\Windows Collaboration
2008-08-11 16:13        ---------        d-----w        C:\Program Files\Windows Calendar
2008-08-11 15:32        82,432        ----a-w        C:\Windows\System32\axaltocm.dll
2008-08-11 15:32        101,888        ----a-w        C:\Windows\System32\ifxcardm.dll
2008-08-11 14:50        ---------        d-----w        C:\Program Files\DEUTSCHLAND SPIELT
2008-08-11 14:49        ---------        d--h--w        C:\Program Files\InstallShield Installation Information
2008-08-06 21:24        ---------        d-----w        C:\Users\***\AppData\Roaming\OpenOffice.org2
2008-07-29 08:29        ---------        d-----w        C:\Users\***\AppData\Roaming\gtk-2.0
2008-07-25 07:31        ---------        d-----w        C:\Program Files\Mozilla Thunderbird
2008-07-10 08:40        ---------        d-----w        C:\Program Files\Zattoo
2008-07-10 01:04        ---------        d-----w        C:\Program Files\Microsoft SQL Server
2008-07-02 19:38        ---------        d-----w        C:\Users\***\AppData\Roaming\Nokia
2008-07-02 11:05        ---------        d-----w        C:\Program Files\Lexmark 810 Series
2008-06-27 07:18        ---------        d-----w        C:\Users\***\AppData\Roaming\Roxio
2008-06-27 07:18        ---------        d-----w        C:\ProgramData\Sonic
2008-06-26 03:29        801,280        ----a-w        C:\Windows\System32\NaturalLanguage6.dll
2008-06-26 01:45        2,644,480        ----a-w        C:\Windows\System32\NlsLexicons0009.dll
2008-06-26 01:45        12,240,896        ----a-w        C:\Windows\System32\NlsLexicons0007.dll
2008-06-23 09:10        ---------        d-----w        C:\ProgramData\Avg7
2008-06-23 09:07        ---------        d-----w        C:\Program Files\Tools&More
2008-05-27 05:21        1,582,592        ----a-w        C:\Windows\System32\tquery.dll
2008-05-27 05:21        1,418,240        ----a-w        C:\Windows\System32\mssrch.dll
2008-05-27 05:17        87,552        ----a-w        C:\Windows\System32\SearchFilterHost.exe
2008-05-27 05:17        87,552        ----a-w        C:\Windows\System32\mssitlb.dll
2008-05-27 05:17        754,176        ----a-w        C:\Windows\System32\propsys.dll
2008-05-27 05:17        60,416        ----a-w        C:\Windows\System32\msscntrs.dll
2008-05-27 05:17        6,103,040        ----a-w        C:\Windows\System32\chtbrkr.dll
2008-05-27 05:17        34,816        ----a-w        C:\Windows\System32\msscb.dll
2008-05-27 05:17        32,768        ----a-w        C:\Windows\System32\mssprxy.dll
2008-05-27 05:17        313,344        ----a-w        C:\Windows\System32\thawbrkr.dll
2008-05-27 05:17        301,568        ----a-w        C:\Windows\System32\srchadmin.dll
2008-05-27 05:17        194,560        ----a-w        C:\Windows\System32\offfilt.dll
2008-05-27 05:17        143,872        ----a-w        C:\Windows\System32\korwbrkr.dll
2008-05-27 05:17        11,776        ----a-w        C:\Windows\System32\msshooks.dll
2008-05-27 05:17        1,671,680        ----a-w        C:\Windows\System32\chsbrkr.dll
2008-05-27 04:59        18,904        ----a-w        C:\Windows\System32\StructuredQuerySchemaTrivial.bin
2008-05-27 04:59        106,605        ----a-w        C:\Windows\System32\StructuredQuerySchema.bin
2008-02-25 21:05        32        ----a-w        C:\Users\All Users\ezsid.dat
2008-02-25 21:05        32        ----a-w        C:\ProgramData\ezsid.dat
2008-02-25 16:22        22        --sha-w        C:\Windows\SMINST\HPCD.sys
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-19 09:33 1233920]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-02-06 19:21 21898024]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 09:33 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PDF Complete"="C:\Program Files\PDF Complete\pdfsty.exe" [2007-05-08 08:38 331552]
"PTHOSTTR"="C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 15:52 145184]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 15:36 827392]
"HP Health Check Scheduler"="C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-03-12 11:54 50696]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"CognizanceTS"="C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 19:12 17920]
"HP Software Update"="c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-15 13:08 1097728]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 15:05 959976]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 18:41 1232896]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-08-10 22:49:27 113664]
DVD Check.lnk - C:\Program Files\InterVideo\DVD Check\DVDCheck.exe [2008-02-25 16:15:39 192512]
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-07-20 16:08:41 91440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=APSHook.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.mjpg"= pvmjpg30.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{D7F80BE7-4073-4B6A-A8E1-A2D0DD290C02}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{E79EABEC-4C38-40CB-9355-D82C965626C8}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{8439A048-C5A3-493B-ACB7-C5EE99AFD36B}C:\\program files\\trillian\\trillian.exe"= UDP:C:\program files\trillian\trillian.exe:Trillian
"UDP Query User{7A64B10F-605B-4AB7-9857-3F150E6C6394}C:\\program files\\trillian\\trillian.exe"= TCP:C:\program files\trillian\trillian.exe:Trillian
"TCP Query User{17E9861C-A63E-4518-85A9-A154791BC0A3}C:\\program files\\skype\\phone\\skype.exe"= UDP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"UDP Query User{2AAB5488-B27C-441C-B7B7-5746F9325CA7}C:\\program files\\skype\\phone\\skype.exe"= TCP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"{8C2A436E-CAFD-481B-BC13-6B79E2B69498}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{9C80B6CB-9B82-43CD-86BA-F7E70C444361}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{AC354659-1FD1-4D41-BF20-2B160EE397A6}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{E4CADAB0-B6E8-4E4C-95B2-7B3F8E82CCFC}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{D791F72A-BDBD-4A0B-8CBF-290CEF7B245E}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{0207F2B6-42B5-471C-A8BC-B356C6503F5E}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{F6556854-1C99-46F0-98C3-490815F9CAF9}"= UDP:C:\Program Files\Pinnacle\Studio 12\Programs\RM.exe:Render Manager
"{B77FF5E5-5AC2-49CB-8806-6B84BE7A05BF}"= TCP:C:\Program Files\Pinnacle\Studio 12\Programs\RM.exe:Render Manager
"{7D2828E4-70F0-42C8-A4CB-18E0D6DCCD25}"= UDP:C:\Program Files\Pinnacle\Studio 12\Programs\Studio.exe:Studio
"{163F3F18-D8CD-45B3-8A3B-26532A52BC4C}"= TCP:C:\Program Files\Pinnacle\Studio 12\Programs\Studio.exe:Studio
"{BDDC6415-99A2-4061-9432-4FA538756BF4}"= UDP:C:\Program Files\Pinnacle\Studio 12\Programs\umi.exe:umi
"{478887DB-5617-4B91-89C8-87DA885E1C74}"= TCP:C:\Program Files\Pinnacle\Studio 12\Programs\umi.exe:umi

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R0 AtiPcie;ATI PCI Express (3GIO) Filter;C:\Windows\system32\DRIVERS\AtiPcie.sys [2006-10-30 13:23]
R2 ASBroker;Anmeldesitzungsbroker;C:\Windows\System32\svchost.exe [2008-01-19 09:33]
R2 ASChannel;Lokaler Verbindungskanal;C:\Windows\System32\svchost.exe [2008-01-19 09:33]
R2 BcmSqlStartupSvc;SQL Server-Startdienst für Business Contact Manager;C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe [2008-01-16 10:51]
R2 pdfcDispatcher;PDF Document Manager;C:\Program Files\PDF Complete\pdfsvc.exe [2007-05-08 08:38]
R2 TeamViewer;TeamViewer 3;C:\Program Files\TeamViewer3\TeamViewer_Host.exe [2008-03-12 10:50]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;C:\Windows\system32\DRIVERS\b57nd60x.sys [2007-02-26 16:52]
S3 btwaudio;Bluetooth-Audiogerät;C:\Windows\system32\drivers\btwaudio.sys [2007-05-11 12:42]
S3 btwavdt;Bluetooth AVDT;C:\Windows\system32\drivers\btwavdt.sys [2007-05-11 12:42]
S3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2007-05-11 12:42]
S3 G3GRUMDM;G3G R USB Modem;C:\Windows\system32\DRIVERS\g3grumdm.sys [2006-10-16 14:45]
S3 G3GRUSER;G3G R USB Serial;C:\Windows\system32\DRIVERS\g3gruser.sys [2006-10-16 14:45]
S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2008-02-26 22:08]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork        REG_MULTI_SZ          PLA DPS BFE mpssvc
bthsvcs        REG_MULTI_SZ          BthServ
Cognizance        REG_MULTI_SZ          ASBroker ASChannel

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]
msiexec /fums {990BA001-D69F-9DB2-56CE-88E0399B30FB} /qb

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Program Files\Common Files\LightScribe\LSRunOnce.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2008-08-15 C:\Windows\Tasks\User_Feed_Synchronization-{FFC4BDF0-3F1B-4E8F-A64B-27433AD84B8A}.job
- C:\Windows\system32\msfeedssync.exe [2008-01-19 09:33]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-MSSMSGS - winvtu32.rom


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\k1evbgjs.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.***.de


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-16 11:00:27
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Windows\System32\Ati2evxx.exe
C:\Windows\System32\audiodg.exe
C:\Windows\System32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\System32\agrsmsvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe
C:\Windows\System32\conime.exe
C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Service.exe
C:\Windows\SMINST\Scheduler.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-16 11:08:59 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-08-16 09:06:51

Pre-Run: 11 Verzeichnis(se), 98,194,358,272 Bytes frei
Post-Run: 21 Verzeichnis(se), 98,041,057,280 Bytes frei

286        --- E O F ---        2008-08-16 01:12:46
Ich hoffe, nun kann mir jemand helfen.

LG

Caprise 16.08.2008 17:19
So, habe nun noch den Antivir laufen lassen.
Hier der Report:

Code:
Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\k1evbgjs.default\Cache\C2152591d01
    [0] Archivtyp: RAR SFX (self extracting)
    --> 327882R2FWJFW\NirCmd.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 327882R2FWJFW\nircmd.com
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 327882R2FWJFW\NirCmdC.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
    --> 327882R2FWJFW\psexec.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
    --> 327882R2FWJFW\pv.cfexe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Users\***\Desktop\ComboFix.exe
    [0] Archivtyp: RAR SFX (self extracting)
    --> 327882R2FWJFW\NirCmd.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 327882R2FWJFW\nircmd.com
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 327882R2FWJFW\NirCmdC.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
    --> 327882R2FWJFW\psexec.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
    --> 327882R2FWJFW\pv.cfexe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
    [WARNUNG]  Die Datei wurde ignoriert.
C:\Users\Romina\DoctorWeb\Quarantine\C2152591d01
    [0] Archivtyp: RAR SFX (self extracting)
    --> 327882R2FWJFW\NirCmd.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 327882R2FWJFW\nircmd.com
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 327882R2FWJFW\NirCmdC.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
    --> 327882R2FWJFW\psexec.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
    --> 327882R2FWJFW\pv.cfexe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Users\***\DoctorWeb\Quarantine\ComboFi0.exe
    [0] Archivtyp: RAR SFX (self extracting)
    --> 327882R2FWJFW\NirCmd.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 327882R2FWJFW\nircmd.com
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    --> 327882R2FWJFW\NirCmdC.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
    --> 327882R2FWJFW\psexec.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
    --> 327882R2FWJFW\pv.cfexe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
    [HINWEIS]  Die Datei wurde gelöscht.
Beginne mit der Suche in 'E:\' <OS_TOOLS>
Beginne mit der Suche in 'F:\' <HP_RECOVERY>


Ende des Suchlaufs: Samstag, 16. August 2008  18:14
Benötigte Zeit:  2:32:49 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  25903 Verzeichnisse wurden überprüft
 482063 Dateien wurden geprüft
    20 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      3 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 482042 Dateien ohne Befall
  12251 Archive wurden durchsucht
      2 Warnungen
      3 Hinweise
  96220 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Caprise 16.08.2008 23:36
So und hier nun auch noch das aktuelle Log von HiJackThis:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:07:00, on 14.08.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\SMINST\scheduler.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\PDF Complete\pdfsty.exe
C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\pthosttr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=none&bd=smb&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=none&bd=smb&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL (file missing)
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [PDF Complete] "C:\Program Files\PDF Complete\pdfsty.exe"
O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [ST Recovery Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winvtu32.rom,HKeRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: APSHook.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - Unknown owner - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: lxbs_device - Lexmark International, Inc. - C:\Windows\system32\lxbscoms.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - C:\Program Files\TeamViewer3\TeamViewer_Host.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 10388 bytes

undoreal 17.08.2008 16:19

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\Windows\bwUnin-8.1.1.87-8876480SL.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Systembereinigung
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Beende alle anderen Arbeiten am PC und speichere alle offenen Projekte.
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!

  • Unter File -> Database Update ->Start drücken.
  • Unter AVZPM -> Install extended monitoring driver drücken.
  • Unter AVZGuard -> Enable AVZGuard drücken dieser verhindert alle anderen Arbeiten am PC!

  • Im Hauptfenster oben sind verschiedene Reiter. Im Linken kannst du die Search Range einstellen. Mache hier bitte Haken vor alle deine Festplatten.
  • Im Reiter daneben kannst du die File Types einstellen. Wähle hier bitte All files.
  • Im Reiter ganz rechts kannst du die Search parameters einstellen. Schiebe den Regler der Heuristic Analysis bitte nach ganz oben und setzte den Haken bei Extended analysis. Alles weitere bleibt wie es ist!
  • Dann setzte rechts im Hauptfenster unter Actions den Haken bei Perform healing und danach unbedingt auch den Haken bei Copy deletet files to "infected" Folder. Sonst werden keine Backups erstellt!
Die letzten Einstellungen werden nochmal in folgendem Bild zusammengefasst. Gleiche sie bitte genau mit deinen Einstellungen ab!
http://img339.imageshack.us/img339/3...ameterssf7.png
  • Nun starte den Scan bitte durch Drücken des Start Buttons.

  • Nachdem der Scan beendet ist klicke auf den Disketten Speicher-Button und speichere das log im AVZ Ordner auf dem Desktop.
    Danach klicke auf die Brille darunter. Es öffnet sich ein Fenster bei dem unten rechts bitte auf Save as CSV klickst und die Datei ebenfalls im AVZ Ordner abspeicherst.
http://img393.imageshack.us/img393/165/logti9.png
  • Die beiden logs hänge bitte an deinen nächsten Post an.

  • Deaktiviere den AVZGuard: Im Hauptfenster unter AVZGuard -> Disable AVZGuard.


Systemanalyse
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Unter File -> Database Update Start drücken.
  • Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  • Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  • Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Caprise 17.08.2008 17:15
Also Virustotal hat bei

C:\Windows\bwUnin-8.1.1.87-8876480SL.exe folgendes angezeigt:



Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.8.15.0        2008.08.15        -
AntiVir        7.8.1.19        2008.08.16        -
Authentium        5.1.0.4        2008.08.17        -
Avast        4.8.1195.0        2008.08.17        -
AVG        8.0.0.161        2008.08.17        -
BitDefender        7.2        2008.08.17        -
CAT-QuickHeal        9.50        2008.08.16        -
ClamAV        0.93.1        2008.08.16        -
DrWeb        4.44.0.09170        2008.08.17        -
eSafe        7.0.17.0        2008.08.17        -
eTrust-Vet        31.6.6035        2008.08.15        -
Ewido        4.0        2008.08.17        -
F-Prot        4.4.4.56        2008.08.17        -
F-Secure        7.60.13501.0        2008.08.17        Suspicious:W32/Netsnake.n!Gemini
Fortinet        3.14.0.0        2008.08.17        -
GData        2.0.7306.1023        2008.08.16        -
Ikarus        T3.1.1.34.0        2008.08.17        -
K7AntiVirus        7.10.417        2008.08.15        -
Kaspersky        7.0.0.125        2008.08.17        -
McAfee        5362        2008.08.15        -
Microsoft        1.3807        2008.08.17        -
NOD32v2        3362        2008.08.17        -
Norman        5.80.02        2008.08.15        -
Panda        9.0.0.4        2008.08.17        -
PCTools        4.4.2.0        2008.08.17        -
Prevx1        V2        2008.08.17        -
Rising        20.57.62.00        2008.08.17        -
Sophos        4.32.0        2008.08.17        -
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.17        -
TheHacker        6.3.0.3.052        2008.08.17        -
TrendMicro        8.700.0.1004        2008.08.16        -
VBA32        3.12.8.3        2008.08.17        -
ViRobot        2008.8.16.1338        2008.08.16        -
VirusBuster        4.5.11.0        2008.08.17        -
Webwasher-Gateway        6.6.2        2008.08.17        -
weitere Informationen
File size: 130208 bytes
MD5...: c84b25ae27af071a7fbad6bab574ec5d
SHA1..: c1b146c378e8b292f6fa42aad4702d38129eff43
SHA256: 17dd4f657a9ce9140362c485e4a261b54ef4ae51d97f4b990202b803c398f3e3
SHA512: 6f012e21149d989163f3909e124528d1e3d782e8fb48c310d0809f73e9bfb2b2
a2eacb55791a571e19045986068a8b928984baaac78a7d07f2b3d1fe525b5b48
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40e536
timedatestamp.....: 0x47e64e25 (Sun Mar 23 12:33:41 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xe116 0xf000 6.21 5cc4838c05a582ffe32700b762f2d085
.rdata 0x10000 0x3c02 0x4000 5.36 4e95d9eea8447cf0ec96c42d37a88f84
.data 0x14000 0xb718 0x9000 4.90 88029d506fe8c670961cc22c21a73fe8
.rsrc 0x20000 0x1480 0x2000 3.33 51821de9e562ddbcf3a639e2019ca827

( 8 imports )
> MSVCRT.dll: _except_handler3, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _onexit, __dllonexit, _chsize, fseek, fwrite, fread, _get_osfhandle, sscanf, _stat, swprintf, memset, strchr, realloc, atoi, fgets, _mbschr, _mbsdec, strncat, malloc, free, _purecall, ctime, fprintf, fflush, ftell, rename, memcpy, _iob, vfprintf, fopen, _unlink, _ftime, _strnicmp, memcmp, strrchr, _setmbcp, _snprintf, _mbslwr, strcpy, strlen, _errno, sprintf, _mbsrchr, __CxxFrameHandler, _mbsicmp, __3@YAXPAX@Z, strcat, strcmp, _rmdir, toupper, _ultoa, strncmp, _findnext, remove, strncpy, strstr, _findclose, __2@YAPAXI@Z, _chmod, _findfirst, _stricmp, fclose
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> KERNEL32.dll: ReleaseMutex, GetModuleHandleA, GetFileType, PeekNamedPipe, GetFileTime, GetFileSize, RemoveDirectoryA, LocalFree, OpenMutexA, Sleep, lstrlenW, WideCharToMultiByte, GetTickCount, MultiByteToWideChar, CreateDirectoryA, MoveFileExA, GetWindowsDirectoryA, GetCurrentThread, GetPrivateProfileSectionNamesA, GetPrivateProfileStringA, GetPrivateProfileSectionA, SetLastError, ExpandEnvironmentStringsA, GetEnvironmentVariableA, SetEnvironmentVariableA, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetCurrentThreadId, GetCurrentProcess, OpenProcess, TerminateProcess, GetSystemDirectoryA, WritePrivateProfileStringA, lstrcmpA, GetTempPathA, LoadLibraryExA, GetFileAttributesA, DeleteFileA, CopyFileA, GetLocaleInfoA, SetFileAttributesA, lstrcatA, SleepEx, FindResourceA, LoadResource, SearchPathA, GetShortPathNameA, GetModuleFileNameA, GetStartupInfoA, CreateProcessA, LoadLibraryA, GetProcAddress, FreeLibrary, CreateMutexA, WaitForSingleObject, GetLastError, lstrlenA, lstrcpyA, GetVersionExA, CloseHandle
> USER32.dll: GetClassNameA, SendMessageTimeoutA, FindWindowA, EnumWindows, GetLastActivePopup, IsWindow, PostMessageA, ExitWindowsEx, IsIconic, GetClientRect, DrawIcon, MessageBoxA, SystemParametersInfoA, UpdateWindow, KillTimer, SendMessageA, SetTimer, EnableWindow, LoadIconA, MsgWaitForMultipleObjects, PeekMessageA, GetSystemMetrics, DispatchMessageA, TranslateMessage, LoadStringA
> ADVAPI32.dll: RegEnumKeyA, RegDeleteKeyA, RegFlushKey, GetServiceKeyNameA, OpenSCManagerA, CloseServiceHandle, LookupPrivilegeValueA, AdjustTokenPrivileges, GetUserNameA, RegSetValueExA, RegEnumValueA, RegCloseKey, RegCreateKeyExA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, OpenProcessToken, RegDeleteValueA, RegQueryInfoKeyA, RegOpenKeyExA, RegQueryValueExA
> SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA, SHGetMalloc
> ole32.dll: CoTaskMemFree, CoUninitialize, StringFromCLSID, CLSIDFromProgID, CoInitialize, CoCreateInstance
> OLEAUT32.dll: -, -

( 2 exports )
GetUninstallerPath, RemoveUnusedVersions

undoreal 17.08.2008 17:42
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
C:\Windows\bwUnin-8.1.1.87-8876480SL.exe
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Caprise 18.08.2008 08:10
und hier das AVZ Log.

Caprise 18.08.2008 08:16
und das Log vom Avenger

Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Windows\bwUnin-8.1.1.87-8876480SL.exe" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

undoreal 18.08.2008 08:32
Die Dateien die in die Quarantäne gewandert sind kannst du wieder herstellen.

AVZ öffnen File->Quarantine Folder Viewer Dateien markieren und dann auf wiederherstellen klicken..

Caprise 18.08.2008 08:47
Okay, hab ich gemacht.

Hie rnochmal das aktuelle HiJAckThis Log.

Ist das nun okay?



Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:07:00, on 14.08.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\SMINST\scheduler.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\PDF Complete\pdfsty.exe
C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\pthosttr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=none&bd=smb&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=none&bd=smb&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL (file missing)
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [PDF Complete] "C:\Program Files\PDF Complete\pdfsty.exe"
O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [ST Recovery Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winvtu32.rom,HKeRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: APSHook.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - Unknown owner - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: lxbs_device - Lexmark International, Inc. - C:\Windows\system32\lxbscoms.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - C:\Program Files\TeamViewer3\TeamViewer_Host.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 10388 bytes

undoreal 18.08.2008 08:49
Da ist noch ein Eintrag drinn aus dem ich nicht schlau werde. Kannst du die AVZ Systemanalyse noch ausführen bitte und das log posten. Hatte ich weiter unten gepostet..

Caprise 18.08.2008 08:57
so, da isse: http://rapidshare.com/files/13816552...sinfo.zip.html

undoreal 18.08.2008 09:38
Suche mal bitte nach der Datei: LSSrvc.exe und lade sie bei Virustotal hoch..

PS: Und die hier auch: TeamViewer_Host.exe
C:\Windows\system32\drivers\mwsbpc.sys
C:\Windows\system32\DRIVERS\ssmdrv.sys
C:\Windows\system32\DRIVERS\avipbb.sys
C:\Windows\SMINST\launcher.exe
C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe
C:\Windows\System32\Drivers\PxHelp20.sys

Das sieht nicht besonders rosig aus... Da steht eine Verbindung nach Bulgarien und die Dateien sind Besorgniss erregend..


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:38 Uhr.
Seite 3 von 5 12 3 45
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131