Trojaner-Board - Sind noch Schädlinge auf meinem System?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Sind noch Schädlinge auf meinem System? (https://www.trojaner-board.de/57883-noch-schaedlinge-meinem-system.html)

Sind noch Schädlinge auf meinem System?

Moin,
ich hatte vor einigen tagen den Verdacht (mein PC wurde Langsamer), dass ich mir nen Virus eingefangen habe und habe daraufhin Panda u. Kasperski onlinescan und antivir drüber laufen lassen. Es wurden auch ein paar Sachen gefunden und gelöscht.
Ich bin aber noch nicht überzeugt, dass ich alles los bin. Deshalb wäre es klasse, wenn jemand über meinen Log gucken könnte um eventuell durchgeschlüpfte Sachen zu finden.

Was schon gelöscht wurde kann ich leider nicht mehr reproduzieren.

Vielen Dank schon mal im Voraus.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:51:38, on 14.08.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\X-Micro WLAN 11g USB Adapter\ZDWlan.exe

C:\Dokumente und Einstellungen\***\Desktop\FirefoxPortable\App\firefox\firefox.exe

C:\WINDOWS\System32\svchost.exe

D:\Programme\antivirus-Programme\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://update.zonelabs.com/downloadrequest?updtConfId=1527&updtReqId=1460566472

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: winhost_app.winhost_appdll - {5E06398E-3017-467B-A399-18425A20F655} - C:\WINDOWS\winhost_app.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: FCBHOBHO Class - {8B3868B4-EBA8-48FA-A19B-E1DFB99066FA} - d:\Programme\FlashCapture\fcbho.dll

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Verknüpfung mit aas.exe.lnk = D:\xampp\aas.exe

O4 - Global Startup: X-Micro WLAN 11g USB Adapter.lnk = C:\Programme\X-Micro WLAN 11g USB Adapter\ZDWlan.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Save F&lash with FlashCapture - res://d:\Programme\FlashCapture\fciext.dll/FCIEXT.htm

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~1\INetRepl.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202065246670

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apache2.2 - Unknown owner - D:\xampplite\apache\bin\apache.exe (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

--

End of file - 6431 bytes

Ich kann meinen Beitrag leider nicht editieren, falls ein Mod so nett wäre.

Mittlerweile habe ich noch mbam durchlaufen lassen und der hat noch einen Trojaner entdeckt und auch gleich beseitigt.
Das war aber das eizige.

Code:

Infizierte Dateien: 1
 

D:\alte Festplatte\c\Dokumente und Einstellungen\[...]\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

Hi,
wenn du einmal mit Malware befallen bist, wirst du diese durch Bereinigung nie 100% los, das soll dir schonmal klar sein.

Zitat:

D:\alte Festplatte\c\Dokumente und Einstellungen\[...]\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

Das hier sieht mir nach einem Backup von dir aus.

Formatiere deinen Rechner erneut, diesmal richtig. ;)

mfg

Das stimmt, es ist eine art backup. Ich habe aber so viele Daten, dass es schwer wird, diese extern zwischen zu speichern während dem vollständigen Formatieren.

Würde es reichen alle .exe und .dll Dateien in diesen "backups" zu löschen?

Wenn es dir ausreicht, kannst du das machen.
Allerdings würde ich es nicht empfehlen, und beim nächsten Backup ein Image des sauberen Systems erstellen (mit z.B. Acronis True Image) oder nur Bilder/Musik/Textdokumente via Live-CD wie Knoppix, BartPE, etc. auf eine ext. Platte/USB-Stick ziehen.

mfg

Danke überhaupt erstmal für deine Antwort.

Mit dem ausreichen ist das so ne Sache. Ich hätte natürlich schon gerne nen "malware-freies" System, würde aber nur ungerne meine D: Platte formatieren weil da halt echt viele Daten drauf liegen die ich brauche. Und weil es so viel ist, ist es eben auch nicht so einfach die mal eben auf ne externe Festplatte zu ziehen.
Wenn es aber nötig bzw. unumgänglich ist, muss ich mir halt noch de große Festplatte (ich weiß nichtmal ob 320gb reichen ^^) Kaufen für das Backup bzw. die dann gleich ganz einbauen und die Daten dann auf die neue spielen.

Die Frage ist jetzt halt, inwiefern das "wirklich nötig" ist.

Dazu müsste man wissen, welche Art von Schädlingen auf deinem Rechner waren/sind.
Dazu wäre es gut, wenn du alte Report-Dateien, etc. posten würdest.

mfg

Ok, dann begebe ich mich mal auf die suche.
Werde sie dann morgen gleich Posten.

g8 ^^

So, das sind jetzt alle die antivir jemals gefunden hat.
(Aber halt auch alle, die frühzeitig erkannt wurden, die kann ich leider nicht auseinander halten.)

TR/Dldr.Swizzor.Gen
TR/Click.Agen.36864
W95/Blumblebee.1738
HEUR/HTML.Malware
WORM/Autorun.cxl
Windows-Virus W95/CIH
Joker-Relokator-Virus
WORM/Autorun.cxl
HEUR/Malware
Windows-Virus W95/CIH
TR/Crypt.ULPM.Gen
TR/Vaklik.cdd
TR/Spy.Agent.BCP
TR/Agent.240128.B
HEUR/Crypted
TR/Agent.57344.O
TR/Crypt.XPACK.Gen
TR/ATRAPS.Gen

Wow, sind ne ganze menge geworden über die Zeit. Aber ich kann wie gesagt nicht erkennen, ob die sich schon ausgebreitet hatten oder noch im Keim erstickt wurden.

Zitat:

Windows-Virus W95/CIH

Bist wohl ein kleiner Virenhorter, was? ;)

Das lustige ist: ich hatte nie ein System mit Win 95. Mein erster PC hatte schon 98 drauf. ^^

Wie sieht das denn jetzt aus? Gibts da was dabei, was möglicherweise noch sein unwesen treibt bzw. was kann ich machen um noch eventuell unentdecktes zu finden?
Oder ist das ein Anlass zu Formatieren?

Zitat:

Das lustige ist: ich hatte nie ein System mit Win 95. Mein erster PC hatte schon 98 drauf. ^^

Das hat nichts damit zu tun, welches OS du hast.
Den CIH-Virus kannst du auch horten, wenn du kein Win95/98 hast.
Da er auf allen NT-Versionen keinen Schaden anrichtet, kannst du diesbezüglich beruhigt sein, aber ich gehe davon aus, die .exe ist absichtlich oben. :rolleyes:

Natürlich wäre Neuaufsetzen die sicherste Variante, nicht nur wegen der nicht definierbaren Schädlingen, sondern auch wegen eines Autorun-Wurms.

mfg

Sry for Doppelpost. *schäm*

:lach:
Was wiederholst du dich?

Edit:
Wenn du dir eine kleine Virensammlung anlegst und diese auch noch ausführst musst du mit deinem Problem selber fertig werden.
So nach dem Motto: Wer dem Andren eine Grube gräbt, fällt selbst hinein.

Sry, aber ich versteh dich nicht ganz. (Vielleicht liegts auch an der Uhrzeit, ka.)

Was für eine exe ist wo oben? Meinst du die, auf die du mich vor ein paar Posts hingewiesen hast?

Und in wieweit kann ich meinen PC auch ohne komplettes überbügeln wieder sicher bekommen?

Diese exe:

Zitat:

Windows-Virus W95/CIH

Der Virus ist nunmal ein Executable File. ;)

Zitat:

Und in wieweit kann ich meinen PC auch ohne komplettes überbügeln wieder sicher bekommen?

Eigentlich garnicht.
In Zukunft am besten die Finger davon lassen. ;)

Wenn du doch Bereinigen willst (was nicht empfehlenswert ist), folge erstmals die Anleitung von MalwareBytes Anti-Malware.
Danach können wir weitersehn.

mfg

Ah, comprende.

mbam ist drübergelaufen (gestern schon) und hat noch 1 Infizierte Datei gefunden.

Code:

D:\alte Festplatte\c\Dokumente und Einstellungen\[...]\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

Wie hast du die:

Zitat:

TR/Dldr.Swizzor.Gen
TR/Click.Agen.36864
W95/Blumblebee.1738
HEUR/HTML.Malware
WORM/Autorun.cxl
Windows-Virus W95/CIH
Joker-Relokator-Virus
WORM/Autorun.cxl
HEUR/Malware
Windows-Virus W95/CIH
TR/Crypt.ULPM.Gen
TR/Vaklik.cdd
TR/Spy.Agent.BCP
TR/Agent.240128.B
HEUR/Crypted
TR/Agent.57344.O
TR/Crypt.XPACK.Gen
TR/ATRAPS.Gen

dann entfernt?

Noch eine Frage, rein interessehalber:
Liest du Computer Bild? Wenn ja, hast du die Zeitschrift gekauft, in der die 100 gefährlichsten Internetseiten aufgelistet wurden? :rolleyes:

Die hat alle antivir gekillt bzw. mbam und so.

Jo, les ich. Die hab ich alle mal besucht, aber waren nicht wirklich interessant.

Achso ok.
Wenn du willst, können wir den Rest dann bereinigen.

Zitat:

Jo, les ich. Die hab ich alle mal besucht, aber waren nicht wirklich interessant.

Daher hast du also die W95-Viren. ;)

Das war ein SCHEEEEEARZ. *grübel*

Jo, wenn das geht wär das klasse.

Ok, dann poste mal ein Hijackthis Logfile, mit unkenntlich gemachten Links, versteht sich.

mfg

Oh überlesen (Alzheimer lässt grüßen :( )
Das Log ist soweit sauber, nur noch ein Paar Registryreste.
Schon eine Prozedur mit dem CCleaner durchgeführt?

Nope, starte ich dann gleich mal.

Edit: Die Anleitung ist ein bisschen hinüber, was das was wichtiges?

Hm,den CCleaner öffnen, auf die Rubrik "Registry" gehen und dann auf "Fehler suchen" klicken.
Diese dann beheben lassen.

mfg

Ein Standardsymbohl-Fehler des updateClient von zonealarm geht nicht weg. Alles andere ist (in drei durchgängen) behoben worden.

Hm, ZoneAlarm macht mehr Probleme, als ich gedacht hab. :D
Ich würde sagen, zum Schluss noch den Durchlauf:

Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]

Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.

Code:

Deckard's System Scanner v20071014.68

Run by *** on 2008-08-17 18:39:40

Computer is in Normal Mode.

--------------------------------------------------------------------------------
 

-- System Restore --------------------------------------------------------------
 

System Restore is disabled; attempting to re-enable...success.
 
 

-- Last 1 Restore Point(s) --

1: 2008-08-17 16:39:45 UTC - RP1 - Systemprüfpunkt
 
 

Backed up registry hives.

Performed disk cleanup.
 

Percentage of Memory in Use: 76% (more than 75%).

System Drive C: has 1.72 GiB (less than 15%) free.
 
 

-- HijackThis (run as ***.exe) ------------------------------------------------
 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:49:12, on 17.08.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\X-Micro WLAN 11g USB Adapter\ZDWlan.exe

C:\Dokumente und Einstellungen\***\Desktop\FirefoxPortable\App\firefox\firefox.exe

C:\WINDOWS\System32\svchost.exe

D:\Programme\Microsoft ActiveSync\wcescomm.exe

D:\PROGRA~1\MICROS~1\rapimgr.exe

D:\Programme\Miranda IM\miranda32.exe

D:\Programme\antivirus-Programme\dss\dss.exe

D:\PROGRA~1\ANTIVI~1\HIJACK~1\***.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://update.zonelabs.com/downloadrequest?updtConfId=1527&updtReqId=1460566472

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5E06398E-3017-467B-A399-18425A20F655} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: FCBHOBHO Class - {8B3868B4-EBA8-48FA-A19B-E1DFB99066FA} - d:\Programme\FlashCapture\fcbho.dll

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\wcescomm.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Verknüpfung mit aas.exe.lnk = D:\xampp\aas.exe

O4 - Global Startup: X-Micro WLAN 11g USB Adapter.lnk = C:\Programme\X-Micro WLAN 11g USB Adapter\ZDWlan.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Save F&lash with FlashCapture - res://d:\Programme\FlashCapture\fciext.dll/FCIEXT.htm

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~1\INetRepl.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202065246670

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apache2.2 - Unknown owner - D:\xampplite\apache\bin\apache.exe (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

--

End of file - 6589 bytes
 

-- File Associations -----------------------------------------------------------
 
 .cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 .cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*
 .reg - regfile - shell\open\command - regedit.exe "%1" %*
 .scr - AutoCADScriptFile - shell\open\command - "C:\WINDOWS\system32\notepad.exe" "%1"
 
 

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------
 

R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >

R3 X-Micro WLAN 11g USB Adapter(X-Micro) (X-Micro WLAN 11g USB Adapter Driver(X-Micro)) - c:\windows\system32\drivers\zd1211bu.sys <Not Verified; ZyDAS Technology Corporation; ZD1211B 802.11 b+g USB LAN Adapter>

R3 ZDPSp50 (ZDPSp50 NDIS Protocol Driver) - c:\windows\system32\drivers\zdpsp50.sys <Not Verified; Printing Communications Assoc., Inc. (PCAUSA); PCAUSA Rawether for Windows>
 

S1 InCDPass - c:\windows\system32\drivers\incdpass.sys (file missing)

S3 PORTMON - c:\dokume~1\***\lokale~1\temp\rar$ex02.000\portmsys.sys (file missing)

S3 usb_rndisx (USB RNDIS Adapter) - c:\windows\system32\drivers\usb8023x.sys <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>

S3 utblfilt - c:\windows\system32\drivers\utblfilt.sys <Not Verified; Aiptek; >
 
 

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------
 

R2 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Planer) - "d:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>
 

S2 Apache2.2 - "d:\xampplite\apache\bin\apache.exe" -k runservice (file missing)

S4 FileZilla Server (FileZilla Server FTP server) - d:\xampp\filezillaftp\filezillaserver.exe <Not Verified; FileZilla Project; FileZilla Server>

S4 mysql - d:\xampp\mysql\bin\mysqld-nt --defaults-file=d:\xampp\mysql\bin\my.cnf mysql
 
 

-- Device Manager: Disabled ----------------------------------------------------
 

Class GUID: {4D36E96C-E325-11CE-BFC1-08002BE10318}

Description: Microsoft Kernel-Waveaudiomixer

Device ID: SW\{B7EAFDC0-A680-11D0-96D8-00AA0051E51D}\{9B365890-165F-11D0-A195-0020AFD156E4}

Manufacturer: Microsoft

Name: Microsoft Kernel-Waveaudiomixer

PNP Device ID: SW\{B7EAFDC0-A680-11D0-96D8-00AA0051E51D}\{9B365890-165F-11D0-A195-0020AFD156E4}

Service: kmixer
 
 

-- Scheduled Tasks -------------------------------------------------------------
 

2008-03-11 10:52:25       296 --a------ C:\WINDOWS\Tasks\AutoMe_Build Museum.job

2008-03-11 03:43:29       296 --a------ C:\WINDOWS\Tasks\AutoMe_Upgrade Wall.job

2008-03-11 02:10:21       306 --a------ C:\WINDOWS\Tasks\AutoMe_2 Upgrade Rathaus.job

2008-03-10 08:42:14       302 --a------ C:\WINDOWS\Tasks\AutoMe_Upgrade Kaserne.job

2008-03-02 13:48:07       290 --a------ C:\WINDOWS\Tasks\AutoMe_lagerhaus.job

2008-03-02 09:32:01       300 --a------ C:\WINDOWS\Tasks\AutoMe_Hafen ausbauen.job

2008-03-02 06:31:07       304 --a------ C:\WINDOWS\Tasks\AutoMe_Rathaus ausbauen.job
 
 

-- Files created between 2008-07-17 and 2008-08-17 -----------------------------
 

2008-08-14 21:06:01         0 d-------- C:\Programme\Navilog1

2008-08-14 16:40:35         0 d-------- C:\WINDOWS\Prefetch

2008-08-14 16:17:45         0 d-------- C:\WINDOWS\l2schemas

2008-08-14 16:17:44         0 d-------- C:\WINDOWS\system32\bits

2008-08-12 17:21:21  17459960 --a------ C:\WINDOWS\system32\QGGGGJRUOF

2008-08-07 16:13:24     12084 --a------ C:\WINDOWS\system32\drivers\UTBLFILT.sys <Not Verified; Aiptek; >

2008-08-07 16:13:16     57344 --a------ C:\WINDOWS\system32\wintab32.dll <Not Verified; Aiptek; Aiptek wintab32>

2008-08-07 16:13:16     36864 --a------ C:\WINDOWS\system32\utblfilt.dll <Not Verified; Aiptek; USB Tablet>

2008-08-07 16:13:16    917504 --a------ C:\WINDOWS\system32\TblRes.dll <Not Verified; Aiptek; Aiptek TblRes>

2008-08-07 16:13:16     49152 --a------ C:\WINDOWS\system32\tblmouse.exe <Not Verified; ; Tblmouse>

2008-08-07 16:13:16     45056 --a------ C:\WINDOWS\system32\Tblfunc.dll <Not Verified; aiptek; aiptek tblfunc>

2008-08-07 16:13:16     49152 --a------ C:\WINDOWS\system32\Funckey.dll <Not Verified; ; Funckey>

2008-08-07 16:13:16         0 d-------- C:\Programme\USB Tablet

2008-08-07 16:13:08    305664 --a------ C:\WINDOWS\IsUn0407.exe <Not Verified; InstallShield Software Corporation; InstallShield® Deinstaller>

2008-08-01 14:09:54         0 d-------- C:\Programme\Panda Security

2008-08-01 13:51:15         0 d-------- C:\Programme\Avira

2008-07-24 21:55:35     86016 --a------ C:\WINDOWS\system32\ionenshi.dll <Not Verified; ionCube Ltd.; EncoderIconExt Module>

2008-07-24 17:32:38         0 d-------- C:\Programme\Gemeinsame Dateien\Autodesk Shared

2008-07-20 23:38:20         0 d-------- C:\WINDOWS\Caps

2008-07-20 23:37:46         0 d-------- C:\Programme\RapidLeecher Ultimate 2007

2008-07-20 18:40:14         0 d-------- C:\Down

2008-07-20 18:39:12         0 d-------- C:\Programme\List bore hide

2008-07-20 18:38:16         0 d-------- C:\Programme\NetPumper
 
 

-- Find3M Report ---------------------------------------------------------------
 

2008-08-17 17:00:18    458234 --a------ C:\WINDOWS\system32\perfh007.dat

2008-08-17 17:00:18     83578 --a------ C:\WINDOWS\system32\perfc007.dat

2008-08-17 16:17:24      4212 ---h----- C:\WINDOWS\system32\zllictbl.dat

2008-08-14 19:28:06         0 d--h----- C:\Programme\InstallShield Installation Information

2008-08-14 16:22:42         0 d-------- C:\Programme\Messenger

2008-08-14 16:17:44         0 d-------- C:\Programme\Movie Maker

2008-08-14 16:08:58         0 d-------- C:\Programme\Windows NT

2008-08-14 15:45:50         0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes

2008-08-12 17:02:47         0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\List bore hide

2008-08-08 03:34:03         0 d-------- C:\Programme\Symantec AntiVirus

2008-08-01 13:40:56         0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Help

2008-07-26 00:57:10         0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DBDesigner4

2008-07-24 17:35:32         0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Autodesk

2008-07-24 17:32:38         0 d-------- C:\Programme\Gemeinsame Dateien

2008-07-20 18:39:55         0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\NetPumper

2008-07-09 00:43:34         0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe

2008-07-08 15:20:45         0 d-------- C:\Programme\Gemeinsame Dateien\Adobe

2008-07-08 15:15:37         0 d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared

2008-07-08 13:29:02         0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype

2008-07-07 03:08:53         0 d-------- C:\Programme\Gemeinsame Dateien\Logox.4.0

2008-07-07 01:22:26    163840 --a------ C:\WINDOWS\LgxSetup.exe <Not Verified; G DATA Software AG; G DATA SFX Setup>

2008-06-22 12:49:54      2185 --a------ C:\WINDOWS\mozver.dat

2008-06-16 19:13:10         0 --a------ C:\WINDOWS\nsreg.dat
 
 

-- Registry Dump ---------------------------------------------------------------
 

*Note* empty entries & legit default entries are not shown
 
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5E06398E-3017-467B-A399-18425A20F655}]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [13.03.2008 23:11]

"avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [05.08.2008 19:32]

"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [14.04.2008 07:52]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 07:52]

"H/PC Connection Agent"="D:\Programme\Microsoft ActiveSync\wcescomm.exe" [13.11.2006 14:50]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

Verknpfung mit aas.exe.lnk - D:\xampp\aas.exe [08.08.2008 02:51:48]

X-Micro WLAN 11g USB Adapter.lnk - C:\Programme\X-Micro WLAN 11g USB Adapter\ZDWlan.exe [16.11.2005 21:23:24]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy] 

C:\WINDOWS\System32\dimsntfy.dll 
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

SecurityProviders        msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]

@="Service"
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

@="Volume shadow copy"
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\atwtusb]

atwtusb.exe beta
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

C:\WINDOWS\system32\ctfmon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]

"D:\Programme\Microsoft ActiveSync\wcescomm.exe"
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

"C:\Programme\QuickTime\QTTask.exe" -atboottime
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Storeheck]

C:\DOKUME~1\***\ANWEND~1\LISTBO~1\plus mags.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

"C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VMware hqtray]

"C:\Programme\VMware\VMware Workstation\hqtray.exe"
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vmware-tray]

C:\Programme\VMware\VMware Workstation\vmware-tray.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"VMware NAT Service"=2 (0x2)

"vmount2"=2 (0x2)

"VMnetDHCP"=2 (0x2)

"VMAuthdService"=2 (0x2)

"ufad-ws60"=3 (0x3)

"Symantec AntiVirus"=2 (0x2)

"SNDSrvc"=3 (0x3)

"DefWatch"=2 (0x2)

"ccSetMgr"=2 (0x2)

"ccPwdSvc"=3 (0x3)

"ccEvtMgr"=2 (0x2)

"Autodesk Licensing Service"=3 (0x3)

"mysql"=2 (0x2)

"Irmon"=2 (0x2)

"h**pFilter"=3 (0x3)

"FileZilla Server"=2 (0x2)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

eapsvcs        eaphost

dot3svc        dot3svc
 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

napagent

hkmsvc
 

-- End of Deckard's System Scanner: finished at 2008-08-17 18:50:18 ------------

Zitat:

2008-07-20 18:38:16 0 d-------- C:\Programme\NetPumper

Willst du dein System absichtlich infizieren? :confused:

Warum? Ist dieser netpumper denn malware???

Code:

Deckard's System Scanner v20071014.68

Extra logfile - please post this as an attachment with your post.

--------------------------------------------------------------------------------
 

-- System Information ----------------------------------------------------------
 

Microsoft Windows XP Professional (build 2600) SP 3.0

Architecture: X86; Language: German
 

CPU 0: Intel(R) Pentium(R) D CPU 3.00GHz

Percentage of Memory in Use: 76%

Physical Memory (total/avail): 511.23 MiB / 117.92 MiB

Pagefile Memory (total/avail): 1247.2 MiB / 594.5 MiB

Virtual Memory (total/avail): 2047.88 MiB / 1923.06 MiB
 

C: is Fixed (NTFS) - 14.65 GiB total, 1.72 GiB free. 

D: is Fixed (NTFS) - 283.43 GiB total, 21.86 GiB free. 

E: is CDROM (No Media)

F: is Removable (No Media)

G: is Removable (No Media)

H: is Removable (No Media)

I: is CDROM (No Media)

J: is Removable (No Media)
 

\\.\PHYSICALDRIVE0 - ST3320620A - 298.09 GiB - 2 partitions

  \PARTITION0 (bootable) - Installierbares Dateisystem - 14.65 GiB - C:

  \PARTITION1 - Erweitert mit Int 13 (erweitert) - 283.43 GiB - D:
 

\\.\PHYSICALDRIVE3 - Medion Flash XL  MMC/SD USB Device
 

\\.\PHYSICALDRIVE1 - Medion Flash XL      CF USB Device
 

\\.\PHYSICALDRIVE2 - Medion Flash XL      MS USB Device
 

\\.\PHYSICALDRIVE4 - Medion Flash XL      SM USB Device
 
 
 

-- Security Center -------------------------------------------------------------
 

AUOptions is set to notify before download.
 
 

-- Environment Variables -------------------------------------------------------
 

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users

APPDATA=C:\Dokumente und Einstellungen\***\Anwendungsdaten

CLASSPATH=.;C:\Programme\Java\jre1.6.0_03\lib\ext\QTJava.zip

CLIENTNAME=Console

CommonProgramFiles=C:\Programme\Gemeinsame Dateien

COMPUTERNAME=DB

ComSpec=C:\WINDOWS\system32\cmd.exe

FP_NO_HOST_CHECK=NO

HOMEDRIVE=C:

HOMEPATH=\Dokumente und Einstellungen\***

LOGONSERVER=\\DB

NUMBER_OF_PROCESSORS=2

OS=Windows_NT

Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\QuickTime\QTSystem\;C:\Programme\Gemeinsame Dateien\Adobe\AGL

PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

PROCESSOR_ARCHITECTURE=x86

PROCESSOR_IDENTIFIER=x86 Family 15 Model 6 Stepping 5, GenuineIntel

PROCESSOR_LEVEL=15

PROCESSOR_REVISION=0605

ProgramFiles=C:\Programme

PROMPT=$P$G

QTJAVA=C:\Programme\Java\jre1.6.0_03\lib\ext\QTJava.zip

SESSIONNAME=Console

SystemDrive=C:

SystemRoot=C:\WINDOWS

TEMP=C:\DOKUME~1\***\LOKALE~1\Temp

TMP=C:\DOKUME~1\***\LOKALE~1\Temp

tvdumpflags=8

USERDOMAIN=DB

USERNAME=***

USERPROFILE=C:\Dokumente und Einstellungen\***

windir=C:\WINDOWS
 
 

-- User Profiles ---------------------------------------------------------------
 

*** (admin)

Administrator (new local, admin)
 
 

-- Add/Remove Programs ---------------------------------------------------------
 

 --> MsiExec.exe /I{9A346205-EA92-4406-B1AB-50379DA3F057}

 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf

Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) --> MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}

Adobe Bridge 1.0 --> MsiExec.exe /I{B74D4E10-1033-0000-0000-000000000001}

Adobe Common File Installer --> MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5B39}

Adobe Flash Player 9 ActiveX --> MsiExec.exe /X{BB65C393-C76E-4F06-9B0C-2124AA8AF97B}

Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe

Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe

Adobe Help Center 1.0 --> MsiExec.exe /I{E9787678-1033-0000-8E67-000000000001}

Adobe Photoshop CS2 --> msiexec /I {236BB7C4-4419-42FD-0409-1E257A25E34D}

Adobe Reader 8.1.2 --> MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A81200000003}

Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}

Adobe Reader 8.1.2 Security Update 1 (KB403742) --> 

Adobe Reader 8.1.2 Security Update 1 (KB403742) --> 

Adobe Shockwave Player --> C:\WINDOWS\system32\Adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log

Adobe Stock Photos 1.0 --> MsiExec.exe /I{786C5747-1033-0000-B58E-000000000001}

AI Robot --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2BB8F01E-9BA5-4102-97F0-90D1B81A0038}\Setup.exe" -l0x9 

Apple Software Update --> MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}

ATI - Dienstprogramm zur Deinstallation der Software --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe

ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean

AutoCAD Architecture 2008 - Deutsch --> D:\Programme\AutoCAD Architecture 2008\Setup\Setup.exe /P {5783F2D7-6004-0407-0002-0060B0CE6BBA} /M ACAD

Autodesk DWF Viewer 7 --> MsiExec.exe /I{9A346205-EA92-4406-B1AB-50379DA3F057}

Avira AntiVir Personal - Free Antivirus --> D:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE

Avira RootKit Detection --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1FD25FCD-6F39-4686-AFBB-7056EBAE5E68}\setup.exe" -l0x9 

CCleaner (remove only) --> "D:\Programme\antivirus-Programme\CCleaner\uninst.exe"

CiD Help --> C:\DOKUME~1\***\ANWEND~1\LISTBO~1\plus mags.exe -uninstall

DVD to VCD AVI DivX Converter v3.2 (build 069) --> D:\PROGRA~1\MAGICD~1\UNWISE.EXE D:\PROGRA~1\MAGICD~1\INSTALL.LOG

Easy AVI/VCD/DVD/MPEG Converter --> "d:\Programme\Easy AVI VCD DVD MPEG Converter\unins000.exe"

FlashCapture v1.9.6.1104 --> "d:\Programme\FlashCapture\uninstall.exe"

G DATA Logox4 Speechengine --> C:\WINDOWS\LgxSetup.exe /u C:\PROGRA~1\GEMEIN~1\LOGOX4~1.0\Log.inf lgx.server lgx4

getPlus(R)_dll --> rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\inf\GETPLUSd.INF, DefaultUninstall

Gogo DVD Ripper --> "d:\Programme\Gogo DVD Ripper\unins000.exe"

Google Gmail Notifier --> "d:\Programme\Google\Gmail Notifier\UninstallGmail.exe"

High Definition Audio Driver Package - KB888111 --> "C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"

HijackThis 2.0.2 --> "D:\Programme\antivirus-Programme\HijackThis\HijackThis.exe" /uninstall

Hotfix für Windows XP (KB952287) --> "C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"

Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"

ionCube Package Foundry Evaluation 3.0 --> "d:\Programme\ionCube Package Foundry Evaluation\unins000.exe"

ionCube PHP Encoder Evaluation --> "d:\Programme\ionCube PHP Encoder 6.5 Evaluation\unins000.exe"

Java(TM) 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}

Kaspersky Online Scanner --> C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe

L&H TTS3000 Deutsch --> RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\LHTTSGED.inf, Uninstall

LiveUpdate 2.0 (Symantec Corporation) --> C:\Programme\Symantec\LiveUpdate\LSETUP.EXE /U

Malwarebytes' Anti-Malware --> "D:\Programme\antivirus-Programme\Malwarebytes' Anti-Malware\unins000.exe"

MD9570 Driver --> C:\WINDOWS\IsUn0407.exe -f"C:\Programme\USB Tablet\USB Tablet Driver\Uninst.isu"

Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket --> "C:\WINDOWS\$NtUninstallbasecsp$\spuninst\spuninst.exe"

Microsoft ActiveSync --> MsiExec.exe /I{99052DB7-9592-4522-A558-5417BBAD48EE}

Microsoft Office Professional Edition 2003 --> MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}

Minimo --> D:\Programme\Microsoft ActiveSync\Minimo\Uninstall.exe Minimo

Movavi Flash Converter --> MsiExec.exe /I{F713632B-989B-4AD0-88E3-0290F4C5DA71}

Mozilla Firefox (2.0.0.14) --> C:\Dokumente und Einstellungen\***\Desktop\Portable_Firefox 2.0.0.12_deutsch\Firefox\uninstall\helper.exe

Mozilla Firefox (2.0.0.16) --> C:\Dokumente und Einstellungen\***\Desktop\Kopie von Portable_Firefox 2.0.0.12_deutsch\Firefox\uninstall\helper.exe

MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{C4A230B7-518F-4224-A5A3-27F06CC57111}

Navilog1 3.6.3 --> "C:\Programme\Navilog1\unins000.exe"

Nero 7 Premium --> MsiExec.exe /I{4781569D-5404-1F26-4B2B-6DF444441031}

Panda ActiveScan --> C:\WINDOWS\system32\ASUninst.exe Panda ActiveScan

Panda ActiveScan 2.0 --> C:\Programme\Panda Security\ActiveScan 2.0\as2uninst.exe

PrismaCards --> "C:\Programme\InstallShield Installation Information\{2D890BDB-7AF2-44A6-B01C-38B7E8BE3011}\setup.exe" -runfromtemp -l0x0007 -removeonly

PrismaCards Südeuropäische Vokabeln --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9A7D95DF-396B-4A80-911E-6E431E1C952C}\setup.exe" -l0x9 

QuickTime --> MsiExec.exe /I{BFD96B89-B769-4CD6-B11E-E79FFD46F067}

RapidLeecher Ultimate 2007 --> "d:\Programme\RapidLeecher Ultimate 2007\Uninstall.exe"

Realtek High Definition Audio Driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7  -removeonly

Sicherheitsupdate für Step by Step Interactive Training (KB923723) --> "C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"

Sicherheitsupdate für Windows XP (KB923789) --> C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf

Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"

Sicherheitsupdate für Windows XP (KB946648) --> "C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"

Sicherheitsupdate für Windows XP (KB950760) --> "C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"

Sicherheitsupdate für Windows XP (KB950762) --> "C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"

Sicherheitsupdate für Windows XP (KB950974) --> "C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"

Sicherheitsupdate für Windows XP (KB951066) --> "C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"

Sicherheitsupdate für Windows XP (KB951376-v2) --> "C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"

Sicherheitsupdate für Windows XP (KB951376) --> "C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"

Sicherheitsupdate für Windows XP (KB951698) --> "C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"

Sicherheitsupdate für Windows XP (KB951748) --> "C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"

Sicherheitsupdate für Windows XP (KB952954) --> "C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"

Sicherheitsupdate für Windows XP (KB953839) --> "C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"

Startup Manager 2.4.1 --> "d:\Programme\Startup Manager\unins000.exe"

Symantec AntiVirus --> MsiExec.exe /I{848AC794-8B81-440A-81AE-6474337DB527}

Update für Windows XP (KB951072-v2) --> "C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"

Update für Windows XP (KB951978) --> "C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"

VIA Plattform-Geräte-Manager --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169} 

VMware Workstation --> MsiExec.exe /I{A3FF5CB2-FB35-4658-8751-9EDE1D65B3AA}

WEB.DE MultiMessenger --> d:\Programme\WEB.DE\WEB.DE MultiMessenger\uninst.exe

Windows Communication Foundation --> MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}

Windows Imaging Component --> "C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"

Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"

Windows Media Format SDK Hotfix - KB891122 --> "C:\WINDOWS\$NtUninstallKB891122$\spuninst\spuninst.exe"

Windows Presentation Foundation --> MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}

Windows Presentation Foundation Language Pack (DEU) --> MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}

Windows Workflow Foundation --> MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}

Windows Workflow Foundation DE Language Pack --> MsiExec.exe /I{7228FD8C-3B9E-4204-AE36-8A466107685B}

Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"

X-Micro WLAN 11g USB Adapter --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{337A3204-E3FC-4DC4-9B7E-8B66FEEE85DC} /l1031 

XML Paper Specification Shared Components Language Pack 1.0 --> "C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"

XML Paper Specification Shared Components Pack 1.0 --> 

ZoneAlarm Pro --> C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe
 
 

-- Application Event Log -------------------------------------------------------
 

Event Record #/Type1896 / Error

Event Submitted/Written: 08/17/2008 05:00:15 PM

Event ID/Source: 3011 / LoadPerf

Event Description:

Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für

Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 

Event Record #/Type1895 / Error

Event Submitted/Written: 08/17/2008 05:00:15 PM

Event ID/Source: 3012 / LoadPerf

Event Description:

Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn

der Prozess Performance auf dem Erweitungerungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der

Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite 

DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 

Event Record #/Type1894 / Error

Event Submitted/Written: 08/17/2008 05:00:15 PM

Event ID/Source: 3012 / LoadPerf

Event Description:

Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn

der Prozess Performance auf dem Erweitungerungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der

Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite 

DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 

Event Record #/Type1892 / Error

Event Submitted/Written: 08/17/2008 03:50:42 PM

Event ID/Source: 3011 / LoadPerf

Event Description:

Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für

Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 

Event Record #/Type1891 / Error

Event Submitted/Written: 08/17/2008 03:50:42 PM

Event ID/Source: 3012 / LoadPerf

Event Description:

Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn

der Prozess Performance auf dem Erweitungerungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der

Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite 

DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
 
 

-- Security Event Log ----------------------------------------------------------
 

No Errors/Warnings found.
 
 

-- System Event Log ------------------------------------------------------------
 

Event Record #/Type17998 / Error

Event Submitted/Written: 08/17/2008 06:33:10 PM

Event ID/Source: 29 / W32Time

Event Description:

Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen

konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb

der nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung

mit der Quelle herzustellen.

Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 

Event Record #/Type17997 / Error

Event Submitted/Written: 08/17/2008 06:33:10 PM

Event ID/Source: 17 / W32Time

Event Description:

Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer

"time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15 Minuten

wiederholt.

Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751)
 

Event Record #/Type17995 / Error

Event Submitted/Written: 08/17/2008 06:14:30 PM

Event ID/Source: 29 / W32Time

Event Description:

Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen

konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb

der nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung

mit der Quelle herzustellen.

Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 

Event Record #/Type17994 / Error

Event Submitted/Written: 08/17/2008 06:14:30 PM

Event ID/Source: 17 / W32Time

Event Description:

Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer

"time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15 Minuten

wiederholt.

Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751)
 

Event Record #/Type17993 / Error

Event Submitted/Written: 08/17/2008 06:14:30 PM

Event ID/Source: 1000 / Dhcp

Event Description:

Die Lease dieses Computers zu der IP-Adresse 192.168.0.12 über die 

Netzwerkkarte mit der Netzwerkadresse 0011E206E0CB ist verloren gegangen.
 
 
 

-- End of Deckard's System Scanner: finished at 2008-08-17 18:50:18 ------------

Google mal, dann wirst du es sehn.
Nochwas, sind dir diese Ordner bekannt:

Zitat:

2008-08-12 17:21:21 17459960 --a------ C:\WINDOWS\system32\QGGGGJRUOF
2008-07-20 18:40:14 0 d-------- C:\Down
2008-07-20 18:39:12 0 d-------- C:\Programme\List bore hide

Und du hast Symantec AntiVirus zusätzlich installiert? :eek:

ok, um netpumper kümmer ich mich gleich.

#1 weiß ich nicht wo das herkommt (ist eine auflistung aller Verzeichnisse und datein auf D)
#2 mein downloadordner für FlashGot
#3 kenn ich auch nicht (ist angeblich leer bzw. hat 0b)

Zu den ganzen Trojanern/Viren am Anfang:

Poste bitte, wo Avira die genau gefunden hat. Das heißt, die Pfadangabe.

mfg

Symantec hatte ich mal drauf, sollte aber eigentlich abgeschaltet sein.

Code:

C:\hiberfil.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
 

C:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
 

C:\Dokumente und Einstellungen\***\Desktop\FirefoxPortable\Data\profile\Cache\9D38BBDCd01

    [0] Archivtyp: GZ

      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware

    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 48d5d66e.qua erstellt ( QUARANTÄNE )

    [HINWEIS]   Die Datei wurde gelöscht.
 

D:\alte Festplatte\c\Programme\Adobe\Acrobat 7.0\Setup Files\RdrBig707\DEU_\Data1.cab

    [0] Archivtyp: CAB (Microsoft)

      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
 

D:\alte Festplatte\d\***\Installationsdateien

    [0] Archivtyp: ZIP

      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4911f856.qua' verschoben!
 

D:\alte Festplatte\d\***\Installationsdateien

    [0] Archivtyp: RAR

      [FUND]      Enthält Erkennungsmuster des Windows-Virus W95/CIH

      [FUND]      Enthält Erkennungsmuster des Windows-Virus W95/CIH

      [FUND]      Enthält Erkennungsmuster des Joker-Relokator-Virus

    [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26001

    [WARNUNG]   Fehler in der Quarantäne Initialisierung!

    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49050af4.qua' verschoben!
 

D:\alte Festplatte\d\***\Installationsdateien

    [0] Archivtyp: ZIP

      [FUND]      Enthält verdächtigen Code: HEUR/Malware

    [WARNUNG]   Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
 

D:\alte Festplatte\d\***\Installationsdateien

    [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49120e19.qua' verschoben!
 

D:\alte Festplatte\d\***\Installationsdateien

    [FUND]      Enthält verdächtigen Code: HEUR/Malware

    [HINWEIS]   Der Fund wurde als verdächtig eingestuft.

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49170e77.qua' verschoben!
 

D:\alte Festplatte\d\***\Installationsdateien

    [FUND]      Enthält Erkennungsmuster des Windows-Virus W95/CIH

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f70e7d.qua' verschoben!
 

D:\alte Festplatte\d\***\Installationsdateien\RB338CRK.COM

    [FUND]      Enthält Erkennungsmuster des Joker-Relokator-Virus

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d60e7e.qua' verschoben!
 

D:\alte Festplatte\d\***

    [FUND]      Ist das Trojanische Pferd TR/Crypt.ULPM.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49170f92.qua' verschoben!
 

D:\alte Festplatte\d\***

    [FUND]      Ist das Trojanische Pferd TR/Crypt.ULPM.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a0f9a.qua' verschoben!
 

D:\alte Festplatte\d\***

    [0] Archivtyp: ZIP

      [FUND]      Ist das Trojanische Pferd TR/Vaklik.cdd

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49160f95.qua' verschoben!
 

D:\alte Festplatte\d

    [0] Archivtyp: RAR

      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BCP

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49151269.qua' verschoben!
 

D:\alte Festplatte\d

    [0] Archivtyp: RAR

      [FUND]      Ist das Trojanische Pferd TR/Agent.240128.B

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f912e2.qua' verschoben!
 

D:\alte Festplatte\d

    [0] Archivtyp: ZIP

        [1] Archivtyp: RAR

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

       
 

D:\alte Festplatte\d

    [0] Archivtyp: ZIP

          [FUND]      Enthält verdächtigen Code: HEUR/Crypted

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49152a3d.qua' verschoben!
 

D:\alte Festplatte\d

    [0] Archivtyp: RAR

        [1] Archivtyp: CAB SFX (self extracting)

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
 

D:\alte Festplatte\d

    [0] Archivtyp: ACE

      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
 

D:\alte Festplatte\d

    [0] Archivtyp: ZIP

          [FUND]      Enthält verdächtigen Code: HEUR/Crypted

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491133da.qua' verschoben!
 

D:\alte Festplatte\d

    [0] Archivtyp: ZIP

      [FUND]      Ist das Trojanische Pferd TR/Agent.57344.O

      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490634a0.qua' verschoben!
 

D:\mda\Neuer Ordner

    [0] Archivtyp: ZIP

      [FUND]      Ist das Trojanische Pferd TR/Agent.57344.O

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48fa4dad.qua' verschoben!
 

D:\mda\Neuer Ordner

    [0] Archivtyp: RAR

      [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49114e1f.qua' verschoben!
 

D:\mda\Neuer Ordner

    [0] Archivtyp: RAR

      [FUND]      Ist das Trojanische Pferd TR/Agent.57344.O

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49164e2e.qua' verschoben!
 

D:\mda\Neuer Ordner

    [0] Archivtyp: ZIP

      [FUND]      Ist das Trojanische Pferd TR/Agent.57344.O

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49124e19.qua' verschoben!
 

D:\mda\Neuer Ordner

    [0] Archivtyp: ZIP

      [FUND]      Ist das Trojanische Pferd TR/Agent.57344.O

      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49124e1d.qua' verschoben!

    [0] Archivtyp: RAR

        [1] Archivtyp: CAB SFX (self extracting)

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

Ich bin dir krass dankbar, dass du mir hilfst, ist wirklich klasse, aber wenn du keine lust hast brauchst du das echt nicht machen.

Warum, sieht doch gut aus, wenn sich das Zeug in Archiven befindet und du es nicht ausgeführt hast.
ZoneAlarm würde ich noch deinstallieren und stattdessen die XP eigene aktivieren.

mfg

Ne, das meiste dürfte ich nicht ausgefüht haben uns NetPumper hatte ich auch sofort wieder deinstalliert über die software-systemsteuerung.

Ist die Windowsfirewall denn besser? Weil Zonealarm jetzt halbwegs funzt und ich die ganzen einstellungen ungerne noch mal machen würde. (wenns nötig ist mach ich das aber natürlich.)

Windows Firewall ist besser,
kommt erstens mit dem System besser klar und verbraucht zweitens weniger Ressourcen.

Ok, überredet. Wenn ich genug ressourcen habe ist es theoretisch aber egal oder?

Du bist so zuversichtlich. Heißt das jetzt, dass mein PC erstmal als vierenfrei zu sehen ist?

Zitat:

Ok, überredet. Wenn ich genug ressourcen habe ist es theoretisch aber egal oder?

Ich versuch es mal so auszudrücken: Sie ist einfach unnötig und bietet absolut keinen Schutz. Das Beste wäre ein Router, zumindest gegen eingehende Verbindungen.

Zitat:

Du bist so zuversichtlich. Heißt das jetzt, dass mein PC erstmal als vierenfrei zu sehen ist?

Mach noch einen Scan mit SuperAntiSpyware um den evlt. vorhandenen Swizzor zu entfernen. Danach noch Navilog1:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Nen Router hab ich sowieso.

Der SuperAntiSpyware-scan kommt dann morgen.

Gute Nacht noch

Code:

Search Navipromo version 3.6.3 began on 18.08.2008 at  1:27:13,07
 

!!! Warning, this report may include legitimate files/programs !!!

!!! Post this report on the forum you are being helped !!!

!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Actual User Account : "+++" 
 

Updated on 09.08.2008 at 18h00 by IL-MAFIOSO
 
 

Microsoft Windows XP [Version 5.1.2600]

Version Internet Explorer : 7.0.5730.13

Filesystem type : NTFS
 

Search done in normal mode
 

*** Searching for installed Software ***
 
 

*** Search folders in "C:\WINDOWS" ***
 
 

*** Search folders in "C:\Programme" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
 
 

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\+++\anwend~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\+++\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\+++\startm~1\progra~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** 
 
 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***

for more info : http://www.gmer.net
 
 
 

*** Search with GenericNaviSearch ***

!!! Possibility of legitimate files in the result !!!

!!! Must always be checked before manually deleting !!!
 

* Scan in "C:\WINDOWS\system32" *
 

* Scan in "C:\Dokumente und Einstellungen\+++\lokale~1\anwend~1" * 
 

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * 
 
 
 

*** Search files *** 
 
 
 

*** Search specific Registry keys ***
 
 

*** Complementary Search ***

(Search specific files)
 

1)Search new Instant Access files :
 
 

2)Heuristic Search :
 

* In "C:\WINDOWS\system32" :
 
 

* In "C:\Dokumente und Einstellungen\+++\lokale~1\anwend~1" : 
 
 

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" : 
 
 

3)Certificates Search :
 

Egroup certificate not found !

Electronic-Group certificate not found !

Montorgueil certificate not found !

OOO-Favorit certificate not found !

Sunny-Day-Design-Ltd certificate not found !
 

4)Search known files :
 
 
 

*** Search completed on 18.08.2008 at  1:32:39,18 ***

Ok,
das fixnavi.txt ist i.O.

Gute Nacht,

mfg

Das war nen Super Tipp mit SUPERAntiSpyware. Der hat noch mal was ausgegraben.
Netpumper war wohl doch noch nicht ganz weg wie du schon vermutet hast. Was es mit diesen "XAMPP_START.PHP" auf sich hat, habe ich aber noch nicht genau raus finden können. Ich habe zwar XAMPP (und einige Sicherungen weil ich ne menge ändern musste bis alles so funktioniert hat wie ich es wollte) aber eine "XAMPP_START.PHP" ist schon sehr komisch, da völlig sinnlos.
Ich hab 2 der Dateien (hatten den selben md5 hash) bei VirusTotal hoch geladen aber da wurde nichts gefunden.
Ich hab die Seite trojan-dropper-removal.c0m gefunden, vielleicht ist das ja was!?

Ich hab weiter noch nichts gemacht und warte auf Anweisungen. ^^

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 08/18/2008 at 05:06 PM
 

Application Version : 4.15.1000
 

Core Rules Database Version : 3538

Trace Rules Database Version: 1527
 

Scan type       : Complete Scan

Total Scan Time : 02:53:56
 

Memory items scanned      : 409

Memory threats detected   : 0

Registry items scanned    : 7201

Registry threats detected : 1

File items scanned        : 263386

File threats detected     : 11
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Dirk\Cookies\dirk@adtech[1].txt

        C:\Dokumente und Einstellungen\Dirk\Cookies\dirk@track.webtrekk[1].txt

        C:\Dokumente und Einstellungen\Dirk\Cookies\dirk@track.webtrekk[2].txt
 

Adware.NetPumper

        HKU\S-1-5-21-842925246-1343024091-682003330-1003\Software\NetPumper

        C:\Programme\NetPumper

        C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\NetPumper\Dirk.ini

        C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\NetPumper
 

Trojan.Dropper/Gen-PHP

        D:\##XAMPPLITE##\APACHE\XAMPP_START.PHP

        D:\AAS\APACHE\XAMPP_START.PHP

        D:\KOPIE VON XAMPPLITE\APACHE\XAMPP_START.PHP

        D:\XAMPP(DAS WAR EIN MAL)\APACHE\XAMPP_START.PHP

        D:\XAMPPLITE KOPIE2.0\APACHE\XAMPP_START.PHP

Zitat:

Ich hab die Seite trojan-dropper-removal.c0m gefunden, vielleicht ist das ja was!?

Die Seite klingt für mich unseriös.
Lass lieber die Finger davon.

Ansonsten, wenn du jetzt keine Probleme mehr hast, kann ich dich entlassen.
Für weitere Fragen stehe ich aber offen. ;)

Ich hab die Seite über nen Proxy versucht zu öffnen (ohne java(script) o.ä.) und bekomme ne Fehlermeldung mit "searchportal.information.c0m". Die seite ist wohl versäucht, sprich: guter Tipp nicht drauf zu gehen. ;)

Ich hab die Sachen noch nicht gelöcht, soll ich die .phps auch alle löschen lassen?

Von SuperAntiSpyware alle Funde löschen lassen, ja. ;)

So, ich hab zur sicherheit noch mal nen paar scans laufen lassen die auch alle nichts mehr gefunden haben. Dann ist Zolealarm (ich hatte es noch nicht aus dem autostart genommen) angesprungen und meinte ich hätte noch zwei Viren. Das eine war navilog aber da war noch nen zweiter. Ich weiß aber nicht was das war und wollte mal fragen ob du/jemand weiß wie man das im nachhinein noch rausbekommen kann. Ich hab alle Logs durch die ich gefunden habe, konnte aber nichts entdecken und.

Also,

1.)
Zonealarm deinstallieren. ;)

2.)
Navilog1 deinstallieren. :)
Systemsteuerung => Software
Die übriggebliebenen Ordner von Navilog1 kannst du manuell löschen.

mfg

Jo danke aber es geht mehr drum, dass ich denke es ist doch noch was auf meinem PC.

Na, das Gefühl versteh ich.
Es sind auch sicher noch Reste vorhanden, die man mit Tools nicht entfernen kann.
Um das zu bereinigen hilft leider nur ein Neuaufsetzen.

ich habe mir gestern ein programm runtergeladen wo ich i-wie gleich verdacht hatte habe sie auch gleich gelöscht , mein antivir hat nichts gefunden doch heute ist die datei :acer\acerclient.exe befallen von nem trojaner
Vaklik.-- hieß sie glaub ich ich lasse mein computer gerade von 3 virenscanner prüfen jeder findet das gleiche doch was soll ich tun den acerclient zu löschen wäre nicht schlau und reparieren kann ich es auch nicht ?:headbang::(

ich lasse es von antivir malwarebytes anti malware

avira und superantispyware scannen

Ich glaube es ist am besten wenn du nen neuen thread aufmachst; dann bleibt das alles ein bisschen übersichtlicher.

see ya
----
Dirk