Trojaner-Board - IE Explorer startet immer automatisch und verlangsamt mein System extrem!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - IE Explorer startet immer automatisch und verlangsamt mein System extrem! (https://www.trojaner-board.de/63473-ie-explorer-startet-immer-automatisch-verlangsamt-system-extrem.html)

IE Explorer startet immer automatisch und verlangsamt mein System extrem!

Hallo,
Ich habe ein Problem.
Wenn ich mein PC starte und auf den Desktop lande startet sich der IE Explorer.
Ich habe versucht ihn duch den Task-Mangaer unter "Prozesse" zu beenden doch der IE Exprloer startet jede paar Minuten neu. Dabei taucht Werbung auf.
Danke im Voraus!
Hier mal die Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:02:24, on 02.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINXP\Explorer.EXE
C:\WINXP\RTHDCPL.EXE
C:\WINXP\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
E:\DAEMON Tools Lite\daemon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
D:\Steam\Steam.exe
D:\Teamspeak2\TeamSpeak.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Nico\Desktop\HiJackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ANTI LITE TITLE DEBUG] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Okay meta anti lite\plan soft.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DriverUpdaterPro] D:\XPC Tools\Driver Updater Pro\DriverUpdaterPro.exe -t
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "E:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [up memo] C:\DOKUME~1\Nico\ANWEND~1\ABOUTG~1\scr media comp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - S-1-5-18 Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Logitech\QuickCam\eReg.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Logitech\QuickCam\eReg.exe (User 'Default user')
O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Logitech\QuickCam\eReg.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

--
End of file - 7949 bytes

Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Okay meta anti lite\plan soft.exe

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

1.)virus total

Code:

AhnLab-V3        2008.11.1.0        2008.11.03        -

AntiVir        7.9.0.10        2008.11.03        -

Authentium        5.1.0.4        2008.11.03        -

Avast        4.8.1248.0        2008.11.02        -

AVG        8.0.0.161        2008.11.03        -

BitDefender        7.2        2008.11.03        -

CAT-QuickHeal        9.50        2008.11.03        -

ClamAV        0.94.1        2008.11.03        -

DrWeb        4.44.0.09170        2008.11.03        -

eTrust-Vet        31.6.6187        2008.11.03        -

Ewido        4.0        2008.11.03        -

F-Prot        4.4.4.56        2008.11.02        -

F-Secure        8.0.14332.0        2008.11.03        Suspicious:W32/Kronos.b!Gemini

Fortinet        3.117.0.0        2008.11.02        -

GData        19        2008.11.03        -

Ikarus        T3.1.1.45.0        2008.11.03        -

K7AntiVirus        7.10.514        2008.11.01        -

Kaspersky        7.0.0.125        2008.11.03        -

McAfee        5422        2008.11.02        -

Microsoft        1.4005        2008.11.03        -

NOD32        3577        2008.11.03        -

Norman        5.80.02        2008.10.31        -

Panda        9.0.0.4        2008.11.02        -

PCTools        4.4.2.0        2008.11.03        -

Prevx1        V2        2008.11.03        -

Rising        21.02.02.00        2008.11.03        -

SecureWeb-Gateway        6.7.6        2008.11.03        -

Sophos        4.35.0        2008.11.03        -

Sunbelt        3.1.1777.2        2008.11.03        -

Symantec        10        2008.11.03        -

TheHacker        6.3.1.1.137        2008.11.03        -

TrendMicro        8.700.0.1004        2008.11.03        -

VBA32        3.12.8.9        2008.11.02        OScope.Trojan.BagsWay.D

ViRobot        2008.11.3.1449        2008.11.03        -

VirusBuster        4.5.11.0        2008.11.02        -
 

File size: 6273024 bytes

MD5...: bc91b4639f57a35c96a21234e2c3f614

SHA1..: e98fe564cb9a546bdd1f7734ff200dfff5ebe358

SHA256: 09c3aa305a17cc9773e6532264ce70ab96bed53a87f20d1fedf456e0c79dabee

SHA512: bd263b41042934b4c814666012ffa87d7c71a7419257d1f54495a0c2d3cbd865

e975b7ffd1a9386e9f0256f9fe4fd0ed3d91076b2b5b4c8e0bd71fe83bf8793b

PEiD..: -

TrID..: File type identification

Win64 Executable Generic (59.6%)

Win32 Executable MS Visual C++ (generic) (26.2%)

Win32 Executable Generic (5.9%)

Win32 Dynamic Link Library (generic) (5.2%)

Generic Win/DOS Executable (1.3%)
 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x43f0c0

timedatestamp.....: 0x46f512c8 (Sat Sep 22 13:04:08 2007)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x8137d 0x81400 7.39 63710fb54cbd2dfba1ddef7ad7195923

.rdata 0x83000 0x141d0 0xf000 6.15 f65886689d2fc69daa5d45057355e8c7

.data 0x98000 0x55c2a0 0x55dc00 8.00 37103a3f06f7cfdd56ffe4b72220e7fc

.rsrc 0x5f5000 0xd2cd 0xd400 6.11 4f0ec68c73a5670fe4d2ba0afa1f5dd0
 

( 7 imports )

> USER32.dll: SetWindowTextW, InternalGetWindowText, ShowWindow, GetMenuItemRect, CloseWindowStation, LoadCursorFromFileA, RegisterClassExA, RegisterClassA, CallWindowProcW, TranslateAcceleratorW, EqualRect, TabbedTextOutA, SetShellWindow, GetDlgCtrlID, EnumThreadWindows, UnloadKeyboardLayout, GetDlgItem, CreateWindowExW, GetMenuInfo, EnumDisplayDevicesW, InsertMenuItemA, FindWindowExA, DeleteMenu, DefWindowProcW, GrayStringA, WinHelpW, CharNextExA, DrawStateA, DestroyWindow, GetWindowInfo, FindWindowExW, MessageBoxW

> ADVAPI32.dll: RegCloseKey, RegRestoreKeyW, RegSetKeySecurity, CryptAcquireContextA

> WININET.dll: RetrieveUrlCacheEntryFileA, DeleteUrlCacheEntryA, FtpOpenFileW, UpdateUrlCacheContentPath, ShowCertificate, FindNextUrlCacheGroup, FtpGetFileW, FtpCreateDirectoryA

> GDI32.dll: SetViewportOrgEx, GetEnhMetaFileBits, GetPath, EnumFontFamiliesExA, Escape, GetBoundsRect, PolylineTo, PolyBezierTo, GetPaletteEntries, RectInRegion, GetDeviceCaps, CreateDCW, EnumICMProfilesW, DeleteObject, CreateDiscardableBitmap, GetObjectW, BeginPath, LineDDA, SelectClipRgn, SetBkMode, GetDIBits, ResetDCA, GetNearestPaletteIndex, DeleteEnhMetaFile, ScaleWindowExtEx, StrokePath, GetClipBox, FrameRgn, SetViewportExtEx, DeleteDC, SelectObject

> KERNEL32.dll: IsValidCodePage, GetConsoleCP, VirtualAlloc, TlsAlloc, WriteConsoleA, GetVersionExA, GetStringTypeW, GetEnvironmentStrings, WriteFile, GetStdHandle, CloseHandle, DebugBreak, InterlockedDecrement, GetProcAddress, DeleteCriticalSection, LoadLibraryW, GetConsoleOutputCP, WriteConsoleW, GetUserDefaultLCID, CreateMutexA, GetCPInfo, GetTickCount, GetConsoleMode, SetFilePointer, FreeEnvironmentStringsW, GetConsoleScreenBufferInfo, SetHandleCount, LoadLibraryA, SetConsoleCtrlHandler, GetSystemTimeAsFileTime, FillConsoleOutputCharacterW, GetModuleFileNameW, HeapDestroy, IsValidLocale, EnumSystemLocalesA, ReadFile, SetUnhandledExceptionFilter, TlsGetValue, GetFileType, IsDebuggerPresent, GetCommandLineA, LCMapStringA, OutputDebugStringA, HeapReAlloc, InitializeCriticalSection, FreeLibrary, HeapFree, SetLastError, EnumResourceTypesW, InterlockedIncrement, GetModuleFileNameA, GetCurrentProcessId, GetStartupInfoA, GetOEMCP, TlsSetValue, GetEnvironmentStringsW, LeaveCriticalSection, RaiseException, GetLocaleInfoA, GetLastError, LCMapStringW, lstrlenA, GetProcessHeap, GetTimeZoneInformation, HeapValidate, GetACP, GetCurrentThread, EnterCriticalSection, CompareStringA, CreateFileA, TlsFree, GetStringTypeA, UnhandledExceptionFilter, RemoveDirectoryA, OutputDebugStringW, OpenMutexA, HeapAlloc, SetStdHandle, HeapCreate, IsBadReadPtr, CompareStringW, GetLocaleInfoW, GetModuleHandleA, GetCurrentThreadId, VirtualFree, GetDateFormatA, RtlUnwind, ExitProcess, SetEnvironmentVariableA, WideCharToMultiByte, GetCurrentProcess, QueryPerformanceCounter, MultiByteToWideChar, VirtualQuery, InterlockedExchange, GetTimeFormatA, FreeEnvironmentStringsA, TerminateProcess, FlushFileBuffers

> comctl32.dll: DestroyPropertySheetPage, CreatePropertySheetPage, ImageList_Draw, CreatePropertySheetPageW, InitCommonControlsEx, ImageList_SetOverlayImage, _TrackMouseEvent, ImageList_Remove, ImageList_ReplaceIcon, CreateStatusWindowW

> SHELL32.dll: DragQueryFileW, SheSetCurDrive
 

( 0 exports )

Bei 3.) (MBR TOOL) meldet mein Virenscanner (avast) Malware

4.) Blacklight :

Code:

11/03/08 13:29:25 [Info]: BlackLight Engine 2.2.1092 initialized

11/03/08 13:29:25 [Info]: OS: 5.1 build 2600 (Service Pack 3)

11/03/08 13:29:25 [Note]: 7019 4

11/03/08 13:29:25 [Note]: 7005 0

11/03/08 13:29:28 [Note]: 7006 0

11/03/08 13:29:28 [Note]: 7011 1964

11/03/08 13:29:28 [Note]: 7035 0

11/03/08 13:29:28 [Note]: 7026 0

11/03/08 13:29:28 [Note]: 7026 0

11/03/08 13:29:30 [Note]: FSRAW library version 1.7.1024

11/03/08 13:31:01 [Note]: 2000 1012

11/03/08 13:31:01 [Note]: 2000 1012

11/03/08 13:31:01 [Note]: 2000 1012

11/03/08 13:31:01 [Note]: 2000 1012

11/03/08 13:31:01 [Note]: 2000 1012

11/03/08 13:32:15 [Note]: 7007 0

4.) Malwarebytes Antimalware

Code:

Malwarebytes' Anti-Malware 1.30

Datenbank Version: 1358

Windows 5.1.2600 Service Pack 3
 

03.11.2008 15:10:19

mbam-log-2008-11-03 (15-10-13).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)

Durchsuchte Objekte: 297510

Laufzeit: 1 hour(s), 35 minute(s), 17 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 1

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

C:\Programme\PluginDL (Trojan.Lop) -> No action taken.
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

5.) Silentrunners
File-Upload.net - Startup-Programs--NICO-985DE6694E--2008-11-03-15.11.42.zip

6.)COMBO Fix

Code:

ComboFix 08-11-02.05 - Nico 2008-11-03 15:23:15.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.2432 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Nico\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\winxp\system32\tmp97.tmp

c:\winxp\system32\tmp98.tmp

c:\winxp\system32\xpysys.dll
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-10-03 bis 2008-11-03  ))))))))))))))))))))))))))))))

.
 

2008-11-03 15:16 . 2008-11-03 15:16        <DIR>        d--------        c:\programme\CCleaner

2008-11-03 13:33 . 2008-11-03 13:33        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2008-11-03 13:33 . 2008-11-03 13:33        <DIR>        d--------        c:\dokumente und einstellungen\Nico\Anwendungsdaten\Malwarebytes

2008-11-03 13:33 . 2008-11-03 13:33        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-11-03 13:33 . 2008-10-22 16:10        38,496        --a------        c:\winxp\system32\drivers\mbamswissarmy.sys

2008-11-03 13:33 . 2008-10-22 16:10        15,504        --a------        c:\winxp\system32\drivers\mbam.sys

2008-11-01 23:52 . 2008-11-01 23:56        <DIR>        d--------        c:\dokumente und einstellungen\Nico\Anwendungsdaten\Red Alert 3

2008-10-31 13:58 . 2008-10-31 13:58        <DIR>        d--------        c:\programme\AboutGrey

2008-10-31 13:58 . 2008-10-31 13:58        <DIR>        d--------        c:\dokumente und einstellungen\Nico\Anwendungsdaten\AboutGrey

2008-10-31 13:58 . 2008-10-31 13:58        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Okay meta anti lite

2008-10-30 16:11 . 2008-04-14 07:52        159,232        --a------        c:\winxp\system32\ptpusd.dll

2008-10-30 16:11 . 2001-08-18 04:54        5,632        --a------        c:\winxp\system32\ptpusb.dll

2008-10-30 16:05 . 2008-10-30 16:05        <DIR>        d--------        c:\programme\Avanquest update

2008-10-30 16:05 . 2008-10-30 16:05        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software

2008-10-30 16:05 . 2008-05-12 13:15        122,024        --a------        c:\winxp\system32\drivers\s3117mdm.sys

2008-10-30 16:05 . 2008-05-12 13:15        117,544        --a------        c:\winxp\system32\drivers\s3117unic.sys

2008-10-30 16:05 . 2008-05-12 13:15        115,368        --a------        c:\winxp\system32\drivers\s3117mgmt.sys

2008-10-30 16:05 . 2008-05-12 13:15        111,784        --a------        c:\winxp\system32\drivers\s3117obex.sys

2008-10-30 16:05 . 2008-05-12 13:15        25,768        --a------        c:\winxp\system32\drivers\s3117nd5.sys

2008-10-30 16:05 . 2008-05-12 13:15        15,016        --a------        c:\winxp\system32\drivers\s3117mdfl.sys

2008-10-30 16:05 . 2008-05-12 13:15        12,200        --a------        c:\winxp\system32\drivers\s3117cmnt.sys

2008-10-30 16:05 . 2008-05-12 13:15        12,200        --a------        c:\winxp\system32\drivers\s3117cm.sys

2008-10-30 16:05 . 2008-05-12 13:15        10,792        --a------        c:\winxp\system32\drivers\s3117cr.sys

2008-10-30 16:04 . 2008-10-30 16:04        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson

2008-10-30 15:58 . 2008-05-12 13:15        90,408        -ra------        c:\winxp\system32\drivers\s3117bus.sys

2008-10-30 15:58 . 2008-05-12 13:15        12,200        -ra------        c:\winxp\system32\drivers\s3117whnt.sys

2008-10-30 15:58 . 2008-05-12 13:15        12,200        -ra------        c:\winxp\system32\drivers\s3117wh.sys

2008-10-29 13:56 . 2008-10-29 13:56        <DIR>        d--------        c:\programme\ASF to AVI

2008-10-28 16:58 . 2008-10-28 16:58        <DIR>        d--------        c:\winxp\system32\AGEIA

2008-10-28 16:58 . 2008-10-28 16:59        <DIR>        d--------        c:\programme\AGEIA Technologies

2008-10-27 19:02 . 2008-10-27 19:02        <DIR>        dr-h-----        c:\dokumente und einstellungen\Nico\Anwendungsdaten\SecuROM

2008-10-27 19:02 . 2008-07-12 08:18        3,851,784        --a------        c:\winxp\system32\D3DX9_39.dll

2008-10-27 19:02 . 2008-07-12 08:18        1,493,528        --a------        c:\winxp\system32\D3DCompiler_39.dll

2008-10-27 19:02 . 2008-07-31 10:40        509,448        --a------        c:\winxp\system32\XAudio2_2.dll

2008-10-27 19:02 . 2008-07-12 08:18        467,984        --a------        c:\winxp\system32\d3dx10_39.dll

2008-10-27 19:02 . 2008-07-31 10:41        238,088        --a------        c:\winxp\system32\xactengine3_2.dll

2008-10-27 19:02 . 2008-10-27 19:02        107,888        --a------        c:\winxp\system32\CmdLineExt.dll

2008-10-27 19:02 . 2008-07-31 10:41        68,616        --a------        c:\winxp\system32\XAPOFX1_1.dll

2008-10-27 18:28 . 2008-10-27 18:28        <DIR>        d--------        c:\dokumente und einstellungen\Nico\Anwendungsdaten\DAEMON Tools

2008-10-27 18:28 . 2008-10-27 18:28        717,296        --a------        c:\winxp\system32\drivers\sptd.sys

2008-10-17 20:25 . 2008-10-17 20:25        <DIR>        d--------        c:\programme\TS Admin-Client 2

2008-10-05 23:49 . 2008-10-05 23:49        <DIR>        d--------        c:\programme\DivX

2008-10-05 23:12 . 1998-11-23 11:53        304,128        --a------        c:\winxp\unin0407.exe

2008-10-05 23:12 . 2008-10-05 23:12        0        --a------        c:\winxp\PROTOCOL.INI

2008-10-05 19:38 . 2008-10-05 19:38        4,808        --a------        c:\winxp\system32\gaeffect.sti

2008-10-05 19:38 . 2008-10-05 19:38        3,176        --a------        c:\winxp\system32\gafilter.sti

2008-10-05 19:37 . 2008-10-16 14:59        391        --a------        c:\winxp\ULead32.ini

2008-10-03 10:31 . 2008-10-03 10:31        <DIR>        d--------        c:\dokumente und einstellungen\Nico\Anwendungsdaten\Thinstall
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-02 17:32        ---------        d-----w        c:\dokumente und einstellungen\Nico\Anwendungsdaten\teamspeak2

2008-11-02 15:19        ---------        d-----w        c:\dokumente und einstellungen\Nico\Anwendungsdaten\FileZilla

2008-10-31 13:15        ---------        d-----w        c:\programme\UltraISO

2008-10-30 15:05        ---------        d--h--w        c:\programme\InstallShield Installation Information

2008-10-29 11:28        ---------        d---a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2008-10-29 11:13        ---------        d-----w        c:\programme\Hamachi

2008-10-29 11:12        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Codemasters

2008-10-29 10:38        ---------        d-----w        c:\dokumente und einstellungen\Nico\Anwendungsdaten\Hamachi

2008-10-28 15:58        ---------        d-----w        c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2008-10-28 15:19        ---------        d-----w        c:\programme\QuickTime

2008-10-28 15:17        ---------        d-----w        c:\programme\Gemeinsame Dateien\logishrd

2008-10-28 15:15        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logishrd

2008-10-28 15:08        ---------        d-----w        c:\programme\CoffeeCup Software

2008-09-24 13:30        ---------        d-----w        c:\dokumente und einstellungen\Nico\Anwendungsdaten\Axialis

2008-09-22 11:48        ---------        d-----w        c:\programme\eBay-Screensaver

2008-09-17 12:35        ---------        d-----w        c:\programme\mIRC

2008-09-17 12:35        ---------        d-----w        c:\dokumente und einstellungen\Nico\Anwendungsdaten\mIRC

2008-09-16 00:12        200,704        ----a-w        c:\winxp\system32\ssldivx.dll

2008-09-16 00:12        1,044,480        ----a-w        c:\winxp\system32\libdivx.dll

2008-09-13 10:05        ---------        d-----w        c:\programme\FileZilla FTP Client

2008-09-12 12:35        25,280        ----a-w        c:\winxp\system32\drivers\hamachi.sys

2008-09-11 10:19        ---------        d-----w        c:\programme\Gemeinsame Dateien\Adobe

2008-09-11 09:42        ---------        d-----w        c:\programme\SmartFTP Client

2008-09-11 09:42        ---------        d-----w        c:\dokumente und einstellungen\Nico\Anwendungsdaten\SmartFTP

2008-09-11 09:41        ---------        d-----w        c:\programme\SmartFTP Client 3.0 Setup Files

2008-09-11 09:03        ---------        d-----w        c:\dokumente und einstellungen\Nico\Anwendungsdaten\CoffeeCup Software

2008-09-07 14:58        ---------        d-----w        c:\dokumente und einstellungen\Nico\Anwendungsdaten\ICQ

2008-09-07 09:44        ---------        d-----w        c:\dokumente und einstellungen\Gast\Anwendungsdaten\Nero

2008-09-06 21:57        94,208        ----a-w        c:\winxp\system32\ScrUnZip.dll

2008-09-06 21:57        129,536        ----a-w        c:\winxp\system32\IJL15.dll

2008-09-04 08:31        288,024        ----a-w        c:\winxp\system32\PhysXCplUI.exe

2008-09-03 14:24        ---------        d-----w        c:\dokumente und einstellungen\Nico\Anwendungsdaten\Leadertech

2008-09-03 14:06        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech

2008-08-29 07:57        70,936        ----a-w        c:\winxp\system32\PhysXLoader.dll

2008-08-23 08:27        444,952        ----a-w        c:\winxp\system32\wrap_oal.dll

2008-08-23 08:27        109,080        ----a-w        c:\winxp\system32\OpenAL32.dll

2008-08-04 19:43        315,392        ----a-w        c:\winxp\HideWin.exe

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-09-20 202024]

"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

"DAEMON Tools Lite"="e:\daemon tools lite\daemon.exe" [2008-07-24 490952]

"Sony Ericsson PC Suite"="e:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 360448]

"up memo"="c:\dokume~1\Nico\ANWEND~1\ABOUTG~1\scr media comp.exe" [2008-10-31 520704]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2008-05-16 13529088]

"NvMediaCenter"="c:\winxp\system32\NvMcTray.dll" [2008-05-16 86016]

"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]

"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]

"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]

"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"EPSON Stylus DX3800 Series"="c:\winxp\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]

"GrooveMonitor"="d:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]

"ANTI LITE TITLE DEBUG"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Okay meta anti lite\plan soft.exe" [2008-11-03 6479872]

"nwiz"="nwiz.exe" [2008-05-16 c:\winxp\system32\nwiz.exe]

"RTHDCPL"="RTHDCPL.EXE" [2007-08-20 c:\winxp\RTHDCPL.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.ffds"= ffdshow.ax

"msacm.ac3filter"= ac3filter.acm
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"d:\\Five Game collection T.2\\Counter-Strike Source BlUe\\hl2.exe"=

"d:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\fsx.exe"=

"d:\\ICQ6\\ICQ.exe"=

"d:\\Steam\\SteamApps\\ffg_nicz2\\counter-strike source\\hl2.exe"=

"d:\\FlatOut Ultimate Carnage\\Fouc.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=

"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=

"d:\\Battlefield 2\\BF2.exe"=
 

R1 aswSP;avast! Self Protection;c:\winxp\system32\drivers\aswSP.sys [2008-07-19 78416]

R2 aswFsBlk;aswFsBlk;c:\winxp\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

R3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\winxp\system32\drivers\nvhda32.sys [2007-07-16 26272]

S3 ASPI;Advanced SCSI Programming Interface Driver;c:\winxp\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]

S3 LVRS;Logitech RightSound Filter Driver;c:\winxp\system32\DRIVERS\lvrs.sys [ ]

S3 s3117bus;Sony Ericsson Device 3117 driver (WDM);c:\winxp\system32\DRIVERS\s3117bus.sys [2008-05-12 90408]

S3 s3117mdfl;Sony Ericsson Device 3117 USB WMC Modem Filter;c:\winxp\system32\DRIVERS\s3117mdfl.sys [2008-05-12 15016]

S3 s3117mdm;Sony Ericsson Device 3117 USB WMC Modem Driver;c:\winxp\system32\DRIVERS\s3117mdm.sys [2008-05-12 122024]

S3 s3117mgmt;Sony Ericsson Device 3117 USB WMC Device Management Drivers (WDM);c:\winxp\system32\DRIVERS\s3117mgmt.sys [2008-05-12 115368]

S3 s3117nd5;Sony Ericsson Device 3117 USB Ethernet Emulation SEMC3117 (NDIS);c:\winxp\system32\DRIVERS\s3117nd5.sys [2008-05-12 25768]

S3 s3117obex;Sony Ericsson Device 3117 USB WMC OBEX Interface;c:\winxp\system32\DRIVERS\s3117obex.sys [2008-05-12 111784]

S3 s3117unic;Sony Ericsson Device 3117 USB Ethernet Emulation SEMC3117 (WDM);c:\winxp\system32\DRIVERS\s3117unic.sys [2008-05-12 117544]

S3 SetupNTGLM7X;SetupNTGLM7X;J:\NTGLM7X.sys [ ]
 

*Newly Created Service* - PROCEXP90

.

Inhalt des "geplante Tasks" Ordners
 

2008-11-03 c:\winxp\Tasks\A97A39379185B117.job

- c:\dokume~1\nico\anwend~1\aboutg~1\Upload Bolt Htm.exe [2008-10-31 13:58]
 

2008-09-11 c:\winxp\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]

.

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - c:\dokumente und einstellungen\Nico\Anwendungsdaten\Mozilla\Firefox\Profiles\n54sikj8.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://smashslayers.kilu.de/

FF -: plugin - d:\mozilla firefox\plugins\npalnn.dll

FF -: plugin - d:\mozilla firefox\plugins\npdivx32.dll

FF -: plugin - d:\mozilla firefox\plugins\npnul32.dll

FF -: plugin - d:\mozilla firefox\plugins\nppl3260.dll

FF -: plugin - d:\mozilla firefox\plugins\nprpjplug.dll

FF -: plugin - e:\programme\Anti-Leech\ALNN\npalnn.dll

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-03 15:24:57

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-11-03 15:25:55

ComboFix-quarantined-files.txt  2008-11-03 14:25:52
 

Vor Suchlauf: 5.813.231.616 Bytes frei

Nach Suchlauf: 5,908,041,728 Bytes frei
 

202

7.) listing.txt: File-Upload.net - listing.txt

8.)Neue HijackThis log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:32:16, on 03.11.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal
 

Running processes:

C:\WINXP\System32\smss.exe

C:\WINXP\system32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\System32\svchost.exe

C:\WINXP\system32\svchost.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINXP\system32\spoolsv.exe

C:\Programme\Bonjour\mDNSResponder.exe
 

C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINXP\system32\nvsvc32.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\WINXP\system32\svchost.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

C:\WINXP\explorer.exe

D:\Mozilla Firefox\firefox.exe

C:\WINXP\system32\ctfmon.exe

C:\Dokumente und Einstellungen\Nico\Desktop\qlketzd.com
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [ANTI LITE TITLE DEBUG] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Okay meta anti lite\plan soft.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "E:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon

O4 - HKCU\..\Run: [up memo] C:\DOKUME~1\Nico\ANWEND~1\ABOUTG~1\scr media comp.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - S-1-5-18 Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Logitech\QuickCam\eReg.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Logitech\QuickCam\eReg.exe (User 'Default user')

O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Logitech\QuickCam\eReg.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
 

--

End of file - 7086 bytes

So arbei erledigt^^

Probmel besteht weiterhin. Immernoch zwei Prozzese im Hintergurnd am laufen. "IEXPLORER.EXE
einmal 150.172 K und der andere zieht mir 7.860 K ab.

Hallo,

die mbr.exe bitte trotzdem noch ausführen. Avast ist da sehr voreilig, ist ein Fehlalarm. Setz die mbr.exe in die Ausnahmeliste.

Wende danach mal bitte den Avenger an:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

folders to delete:

c:\programme\AboutGrey

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Okay meta anti lite

c:\dokumente und einstellungen\Nico\Anwendungsdaten\AboutGrey
 

files to delete:

c:\winxp\system32\gaeffect.sti

c:\winxp\system32\gafilter.sti

c:\winxp\Tasks\A97A39379185B117.job
 

registry values to delete:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | up memo

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | ANTI LITE TITLE DEBUG

http://mitglied.lycos.de/efunction/tb/avenger.png

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Ok also,
hier die log vom MBR:

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Dann die Log vom avenger:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

Folder "c:\programme\AboutGrey" deleted successfully.

Folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Okay meta anti lite" deleted successfully.

Folder "c:\dokumente und einstellungen\Nico\Anwendungsdaten\AboutGrey" deleted successfully.

File "c:\winxp\system32\gaeffect.sti" deleted successfully.

File "c:\winxp\system32\gafilter.sti" deleted successfully.

File "c:\winxp\Tasks\A97A39379185B117.job" deleted successfully.
 

Error:  could not delete registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|up memo"

Deletion of registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|up memo" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  could not delete registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ANTI LITE TITLE DEBUG"

Deletion of registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ANTI LITE TITLE DEBUG" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Und die neue HijackThis log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:28:08, on 04.11.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal
 

Running processes:

C:\WINXP\System32\smss.exe

C:\WINXP\system32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\System32\svchost.exe

C:\WINXP\system32\svchost.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINXP\system32\spoolsv.exe

C:\WINXP\Explorer.EXE

C:\WINXP\system32\NOTEPAD.EXE

C:\WINXP\system32\RUNDLL32.EXE

C:\WINXP\RTHDCPL.EXE

C:\WINXP\system32\rundll32.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINXP\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe

C:\Programme\Messenger\msmsgs.exe

E:\DAEMON Tools Lite\daemon.exe

C:\WINXP\system32\nvsvc32.exe

C:\WINXP\system32\svchost.exe

E:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe

C:\WINXP\system32\wuauclt.exe

D:\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\Nico\Desktop\qlketzd.com
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "E:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon

O4 - HKCU\..\Run: [up memo] C:\DOKUME~1\Nico\ANWEND~1\ABOUTG~1\scr media comp.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - S-1-5-18 Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Logitech\QuickCam\eReg.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Logitech\QuickCam\eReg.exe (User 'Default user')

O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Logitech\QuickCam\eReg.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
 

--

End of file - 7560 bytes

Der Trojaner scheint weg zu sein doch ich habe vorab noch eine Frage;
Was war das für ein Trojaner bzw, wie habe ich ihn mir eingefangen?

in der HijackThis Log wollte ich mal wissen was das ist :

Code:

O4 - HKCU\..\Run: [up memo] C:\DOKUME~1\Nico\ANWEND~1\ABOUTG~1\scr media comp.exe

Sieht mir ein bissel komsich aus :confused:

Aber Danke schonmal das der Trojaner (ich hoffe) weg ist. Echt vielen herzlichen Dank!

Zitat:

in der HijackThis Log wollte ich mal wissen was das ist :

Code:

O4 - HKCU\..\Run: [up memo] C:\DOKUME~1\Nico\ANWEND~1\ABOUTG~1\scr media comp.exe

Sieht mir ein bissel komsich aus :confused:

Das ist der Autostart-Eintrag zum Schädling. Damit der Schädling bei jedem Windowsstart auch startet ;)
Der Eintrag ist nun aber wirkungslos, da wir das gesamte Verzeichnis C:\DOKUME~1\Nico\ANWEND~1\ABOUTG~1\ (bzw. c:\programme\AboutGrey) mit dem Avenger gelöscht haben. Du kannst/solltest den Eintrag fixen.

OK DANKE!!!:dankeschoen:

Doch noch eine Frage. Was war das für ein Trojaner ? Was hätte er angerichtet? Woher kam der Trojaner?

Was das genau war, weiß ich nicht. Entweder was Neues oder Modifiziertes, denn nur ein Virenscanner ist bei Virustotal angesprungen.

Dem Pfad und der Namengebung aber nach zu urteilen, sieht das Ding wie ein (neuer?) Swizzor aus.

:dankeschoen::dankeschoen::dankeschoen:

NOCHMALS: ECHT SUPER HILFE HIER.

danke!!!
.close.