Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY
 

Hallo!

Bin auf der Suche nach Hilfe. Habe folgende Probleme:
PC/Internet ist super langsam geworden, wenn ich auf Ergebnisse bei Google klicke, öffnet sich ein Extra-Fenster mit unbekannten Seiten, CPU-Auslastung ist oft nahe 100%, die Auslagerungsdatei bis zu einem Gigabyte groß, obwohl ich keine Programme ausführe.


Habe mein Antivir drüberlaufen lassen, welches das Rootkit RKIT/TDss.G.22, Backdoorprogramm BDS/TDSS.adb und den Trojaner TR/Proxy.GHY gefunden hat... Bekomme ich die irgendwie vom PC runter??

Schonmal vielen Dank für eure Hilfe!
Lg
weicki



Logfile of Trend Micro HiJackThis v2.0.2
Scan saved at 23:19:00, on 11.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Wireless Network Utility\RtWLan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Sicherheit\Ad Aware\aawservice.exe
C:\Programme\Sicherheit\CWS\HijackThis.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suchseite24.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926. 3450\swg.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe "
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp 5a.exe" /source=HKLM
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIC DE.EXE /FU "C:\WINDOWS\TEMP\E_S11E.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Wireless Network Utility.lnk = C:\Programme\Wireless Network Utility\RtWLan.exe
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: byXqOHaW - byXqOHaW.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Sicherheit\Ad Aware\aawservice.exe
O23 - Service: Web.de Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 10330 bytes

Hmm du hast zu viele daten LÖSCHE Oder formatiere (empfohlen)
weil dann die daten total Gehen ALsO
also mir fällt nIX ein auser formatt oder
beschreib besser dein Pc sagen wir mal Intel... ... . ..Q9600 oder sooooo...

Halli hallo weicki
Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

• Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
  Installiert bleiben dürfen nur Anti-Malware oder SuperAntispyware ohne Wächter.
  .
• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Installation des aktuellen ServicePacks:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  • Vista_ TechNET
  .
• Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume mit cCleaner auf; Punkte 1&2.
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

Nachdem du das gemacht hast fangen wir mit der Analyse an:

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

4) Run Combofix. Poste den erscheinenden Text.

5) Überprüfe dein System mit SASW.

6) Mache einen letzten Maleware-Check mit Malewarebytes.

7) Räume mit cCleaner auf. (Punkt 1 und 2)

8) Poste ein frisches Hijackthis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Sollten extrem viele 032 und 033 redirected Einträge im log auftauchen so kürze diese bitte damit das log nicht zu lang wird.

9) Systemanalyse:

• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes.
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter File -> Database Update Start drücken.
  
• Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Hallo,

danke schonmal für deine ausführliche Hilfestellung!

Habe jetzt folgendes Problem: Habe Java deinstalliert und will Schritt 3 und 4 (Blacklight und Combofix) durchführen. Allerdings lassen sich beide Websites von mir auch in verschiedenen Browsern nicht öffnen. Soll ich die Schritte einfach überspringeN?

lg
weicki

Nein.
Das ist der Schädling der den Zugriff verhindert. Das können wir ihm nicht so durchgehen lassen.. ;)

Geht der Link so: Blacklight

und: CF

Wenn nicht dann machen wir's noch anders..

super... es funktioniert..also, 1.:

12/16/08 19:55:54 [Info]: BlackLight Engine 2.2.1092 initialized
12/16/08 19:55:54 [Info]: OS: 5.1 build 2600 (Service Pack 3)
12/16/08 19:55:54 [Note]: 7019 4
12/16/08 19:55:54 [Note]: 7005 0
12/16/08 19:55:54 [Error]: 6027 1072
12/16/08 19:55:54 [Error]: 6002 0
12/16/08 19:55:55 [Note]: 7006 0
12/16/08 19:55:55 [Note]: 7011 504
12/16/08 19:55:55 [Note]: 7035 0
12/16/08 19:55:55 [Note]: 7037 1000
12/16/08 19:55:55 [Note]: 8001 2
12/16/08 19:55:56 [Note]: FSRAW library version 1.7.1024
12/16/08 19:56:09 [Note]: 7007 0



Habe jetzt versucht, ComboFix zu starten, was aber nicht funktioniert. Der Prozess erscheint zwar im Task-Manager, es öffnet sich jedoch kein Programm :((

Versuch's mal mit Umbenennen: combofix.exe -> comf.com :)

wie leicht man manchmal den pc austricksen kann :)


ComboFix 08-12-15.08 - XY 2008-12-16 21:03:30.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.511.182 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\XY\Desktop\ComFix.com
* Resident AV is active


Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\temp\tn3
c:\windows\system32\drivers\core.cache.dsk
c:\windows\system32\drivers\TDSSmqlt.sys
c:\windows\system32\dwwnw64r.exe
c:\windows\system32\eKQBdMoq.ini
c:\windows\system32\eKQBdMoq.ini2
c:\windows\system32\polynet.dll
c:\windows\system32\TDSShrxx.dll
c:\windows\system32\TDSSkkai.log
c:\windows\system32\TDSSlxcp.dll
c:\windows\system32\TDSSmtvd.dat
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSoiqt.dll
c:\windows\system32\TDSSsahc.dll
c:\windows\system32\TDSSvkql.dll
c:\windows\system32\TDSSxeyf.log
c:\windows\system32\TDSSxfmm.dll
c:\windows\system32\ujkudgpg.ini
c:\windows\Tasks\ouoljsdh.job

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSSERV.SYS
-------\Legacy_TDSSSERV.SYS
-------\Legacy_FCI
-------\Service_restore


((((((((((((((((((((((( Dateien erstellt von 2008-11-16 bis 2008-12-16 ))))))))))))))))))))))))))))))
.

2008-12-16 21:15 . 2008-12-16 21:15 <DIR> d--hs---- C:\found.001
2008-12-15 22:23 . 2008-12-15 22:23 <DIR> d-------- c:\programme\Lavalys
2008-12-15 21:44 . 2008-12-15 21:44 <DIR> d-------- c:\programme\Gemeinsame Dateien\Skype
2008-12-15 21:44 . 2008-12-15 21:44 <DIR> d-------- c:\dokumente und einstellungen\XY\Anwendungsdaten\skypePM
2008-12-15 21:44 . 2008-12-15 21:44 48 --ah----- c:\windows\system32\ezsidmv.dat
2008-12-15 21:39 . 2008-12-15 21:39 <DIR> d-------- c:\dokumente und einstellungen\XY\Anwendungsdaten\vlc
2008-12-15 20:56 . 2008-12-15 20:56 <DIR> d-------- c:\programme\Secunia
2008-12-10 22:55 . 2008-12-10 22:55 129 --a------ c:\windows\system32\MRT.INI
2008-12-10 15:17 . 2008-12-10 15:17 7,808 --a------ c:\windows\system32\drivers\psi_mf.sys
2008-12-09 22:12 . 2008-12-09 22:12 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-09 19:39 . 2008-12-11 23:04 <DIR> d-------- c:\programme\Norton Security Scan
2008-12-09 19:38 . 2008-12-14 22:53 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-12-04 19:59 . 2008-12-04 20:00 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-04 19:57 . 2008-12-04 19:57 <DIR> d-------- c:\programme\QuickTime
2008-12-03 19:33 . 2008-12-15 20:54 <DIR> d-------- c:\programme\SicherheitXP-Cleaner
2008-12-02 22:16 . 2008-12-02 22:16 64,859 --a------ c:\windows\system32\dotetatsgabkjaj.exe
2008-12-02 09:57 . 2008-12-02 09:57 282,649 --a------ c:\windows\system32\rswnw64s.exe
2008-12-02 09:50 . 2008-12-10 22:55 32,768 --a------ c:\windows\system32\drivers\ati4ekxx.sys
2008-12-02 09:48 . 2008-11-21 20:15 401,408 --a------ c:\windows\system32\winbc77.dll
2008-12-02 09:48 . 2008-12-02 09:50 2 --a------ C:\6990247

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-15 22:46 --------- d-----w c:\programme\Java
2008-12-15 21:43 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-15 20:52 --------- d-----w c:\programme\Safari
2008-12-15 20:45 --------- d-----w c:\dokumente und einstellungen\Xs\Anwendungsdaten\Skype
2008-12-15 20:31 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-12-15 20:05 --------- d-----w c:\programme\Opera
2008-12-15 19:53 --------- d-----w c:\programme\QIP
2008-12-15 08:10 --------- d-----w c:\programme\Spyware Doctor
2008-12-14 23:23 --------- d-----w c:\programme\Sicherheit
2008-12-14 23:22 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-12-14 23:21 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-09 21:42 --------- d-----w c:\programme\ICQ6
2008-12-09 21:00 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-09 20:57 --------- d-----w c:\programme\Disc2Phone
2008-12-09 19:46 --------- d-----w c:\programme\Picasa2
2008-12-09 18:38 --------- d-----w c:\programme\Google
2008-12-08 19:33 --------- d-----w c:\programme\Windows Live Safety Center
2008-12-04 19:00 --------- d-----w c:\programme\iTunes
2008-12-04 19:00 --------- d-----w c:\programme\iPod
2008-12-04 18:56 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-11-07 23:29 --------- d-----w c:\programme\NO23
2008-11-06 19:16 21,035 ----a-w c:\windows\system32\drivers\AegisP.sys
2008-11-06 19:16 --------- d-----w c:\programme\Wireless Network Utility
2008-10-27 08:41 206 ----a-w c:\dokumente und einstellungen\XY\Anwendungsdaten\wklnhst.dat
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-05-12 21:32 67,944 ----a-w c:\dokumente und einstellungen\XY\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-07-16 22:35 49,943,864 ----a-w c:\programme\iTunesSetup.exe
2006-03-15 20:32 952,496 ----a-w c:\programme\install_flash_player.exe
2006-03-11 20:50 6,007 ----a-w c:\programme\videodeLuxe.ini
2006-03-11 20:50 395 ----a-w c:\programme\dvdmaker.ini
2005-12-23 13:55 41 ----a-w c:\dokumente und einstellungen\XY\absender.dat
2006-05-06 16:42 7,260,160 ----a-w c:\programme\mozilla firefox\plugins\libvlc.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 1211176]
"EPSON Stylus DX7400 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE" [2007-04-12 182272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"ATIPTA"="c:\ati-cpanel\atiptaxx.exe" [2005-01-19 339968]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-30 266497]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe" [2006-06-26 497200]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"FinePrint Dispatcher v5"="c:\windows\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" [2006-01-12 491520]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SoundMan"="SOUNDMAN.EXE" [2005-03-24 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]
"PcSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304]

c:\dokumente und einstellungen\XY\Startmen�\Programme\Autostart\
Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2008-12-11 736464]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Wireless Network Utility.lnk - c:\programme\Wireless Network Utility\RtWLan.exe [2008-11-06 794624]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4ekxx.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^LevelOne Wireless Utility.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\LevelOne Wireless Utility.lnk
backup=c:\windows\pss\LevelOne Wireless Utility.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^XY^Startmenü^Programme^Autostart^SmartSurfer.lnk]
path=c:\dokumente und einstellungen\XY\Startmenü\Programme\Autostart\SmartSurfer.lnk
backup=c:\windows\pss\SmartSurfer.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
--a------ 2008-09-03 19:12 111936 c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-11-20 13:20 290088 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
--a------ 2006-06-26 10:34 614960 c:\programme\Logitech\QuickCam10\QuickCam10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
--a------ 2006-06-26 10:33 243248 c:\programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 09:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2006-11-28 13:12 222720 c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarAgent]
--a------ 2007-12-05 15:10 98304 c:\programme\phonostar\ps_agent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]
--a------ 2007-12-05 15:14 126976 c:\programme\phonostar\ps_timer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-11-04 10:30 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-04-21 15:32 185896 c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WEB.DE Club E-Mail Alarm]
--a------ 2008-03-13 10:45 2098688 c:\programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Games\\Mohpa\\mohpa.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Games\\Stronghold\\entpackt\\Stronghold 2\\Stronghold2.exe"=
"c:\\Games\\CIV 4\\Sid Meier's Civilization 4\\Civilization4.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\phonostar\\ps_olect.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Web.de\\web_de_Update.exe"=
"c:\\Programme\\Sony Ericsson\\Update Service\\ma3platform.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-02-11 22336]
R0 nvcchflt;NVIDIA Disk Cache Filter Driver;c:\windows\system32\DRIVERS\nvcchflt.sys [2005-05-20 16640]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2006-02-11 45376]
R2 AdminSVC;Web.de Browser Update;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe [2006-10-12 180224]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\DRIVERS\EAPPkt.sys [2008-11-06 38144]
R2 WinDefend;Windows Defender;"c:\programme\Windows Defender\MsMpEng.exe" [2006-11-03 13592]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\DRIVERS\avmwan.sys [2005-06-09 37568]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\DRIVERS\fpcibase.sys [2005-06-09 444416]
R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2008-12-10 7808]
S0 ati4ekxx;ati4ekxx;c:\windows\system32\Drivers\ati4ekxx.sys [2008-12-02 32768]
S0 tffsport;M-Systems DiskOnChip-2000;c:\windows\system32\DRIVERS\tffsport.sys [2007-07-10 149376]
S3 DTV_Capture_2X0;DVB-T Receiver;c:\windows\system32\Drivers\DTV_Capture_2X0.sys [2006-10-08 18432]
S3 DTV_Loader_2X1;DVB-T Loader;c:\windows\system32\Drivers\DTV_Loader_2X1.sys [2006-10-08 19328]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-18 7168]
S3 MemStPCI;Sony Memory Stick-Controller (PCI);c:\windows\system32\DRIVERS\MemStPCI.SYS [2007-05-05 26112]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2008-08-10 138112]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2008-08-10 8320]
.
Inhalt des "geplante Tasks" Ordners

2008-12-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2008-12-16 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]

2008-12-09 c:\windows\Tasks\Norton Security Scan.job
- c:\programme\Norton Security Scan\Nss.exe [2007-09-18 23:42]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-byXqOHaW - byXqOHaW.dll
MSConfigStartUp-eDonkey2000 - c:\programme\eDonkey2000\eDonkey2000.exe
MSConfigStartUp-FreePDF Assistant - c:\programme\FreePDF_XP\fpassist.exe
MSConfigStartUp-ICQ Lite - c:\programme\ICQLite\ICQLite.exe
MSConfigStartUp-QIP2005 - c:\programme\QIP\qip.exe
MSConfigStartUp-SpybotSD TeaTimer - c:\programme\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.suchseite24.de/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
IE: Download with Xilisoft Download YouTube Video - c:\programme\Xilisoft\Download YouTube Video\upod_link.HTM
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\XY\Anwendungsdaten\Mozilla\Firefox\Profiles\78j1m7e8.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel-online.de
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1425.4532\npCIDetect13.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava11.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava12.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava13.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava14.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava32.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJPI150_11.dll
FF - plugin: c:\programme\Opera\program\plugins\NPOJI610.dll
FF - plugin: c:\programme\Picasa2\npPicasa2.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 21:18:36
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(900)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcSrv.exe
c:\windows\system32\ati2evxx.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\ehome\ehRecvr.exe
c:\windows\ehome\ehSched.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\dllhost.exe
c:\windows\ehome\ehmsas.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-16 21:24:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-16 20:24:11

Vor Suchlauf: 27 Verzeichnis(se), 54,799,511,552 Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), 55,564,795,904 Bytes frei

283 --- E O F --- 2008-12-12 08:39:23

:) nicht den PC sondern den Schädling trickst du aus.. ;)


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


Was ist in dem Ordner C:\6990247 drinn?


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Und führe die restlichen Schritte wie beschrieben aus.

Hallo!

hatte in der zwischenzeit bereits schritt 5 (scan mit sasw) durchgeführt, jetzt finde ich die ersten 4 Dateien nicht an besagtem Ort. Kann es sein, dass sie gelöscht wurden, der Scanner hatte Viren/Trojaner gefunden?

Die Datei C:\6990247 (ist eine 2 Byte große Datei, kein Ordner) wurde genau zu dem Zeitpunkt erstellt, als ich mir diese "Schädlinge" eingefangen habe, daher gehe ich davon aus, dass das auch was damit zu tub hat!?

Brauche ich jetzt den Schritt mit dem Avenger noch ausführen, wenn die 4 Dateien nicht mehr existieren? Mache ich jetzt bei Schritt 6 (Malewarebytes) weiter?

Aaah, bemerke übrigens gerade, dass das Problem bei google, dass sich ein neuer Tab mit fremder Seite öffnet, nicht mehr existiert :aplaus:

Nochmals schonmal vieeeeeelen Dank und gute Nacht :)

c:\programme\videodeLuxe.ini

Datei videodeLuxe.ini empfangen 2008.12.17 00:08:08 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/38 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.17.0 2008.12.16 -
AntiVir 7.9.0.45 2008.12.16 -
Authentium 5.1.0.4 2008.12.16 -
Avast 4.8.1281.0 2008.12.16 -
AVG 8.0.0.199 2008.12.16 -
BitDefender 7.2 2008.12.17 -
CAT-QuickHeal 10.00 2008.12.16 -
ClamAV 0.94.1 2008.12.16 -
Comodo 764 2008.12.16 -
DrWeb 4.44.0.09170 2008.12.16 -
eSafe 7.0.17.0 2008.12.16 -
eTrust-Vet 31.6.6263 2008.12.16 -
Ewido 4.0 2008.12.16 -
F-Prot 4.4.4.56 2008.12.16 -
F-Secure 8.0.14332.0 2008.12.16 -
Fortinet 3.117.0.0 2008.12.16 -
GData 19 2008.12.16 -
Ikarus T3.1.1.45.0 2008.12.16 -
K7AntiVirus 7.10.555 2008.12.16 -
Kaspersky 7.0.0.125 2008.12.16 -
McAfee 5466 2008.12.16 -
McAfee+Artemis 5466 2008.12.16 -
Microsoft 1.4205 2008.12.17 -
NOD32 3695 2008.12.16 -
Norman 5.80.02 2008.12.16 -
Panda 9.0.0.4 2008.12.15 -
PCTools 4.4.2.0 2008.12.16 -
Prevx1 V2 2008.12.17 -
Rising 21.08.12.00 2008.12.16 -
SecureWeb-Gateway 6.7.6 2008.12.16 -
Sophos 4.36.0 2008.12.16 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.16 -
TheHacker 6.3.1.4.189 2008.12.16 -
TrendMicro 8.700.0.1004 2008.12.16 -
VBA32 3.12.8.10 2008.12.16 -
ViRobot 2008.12.16.1521 2008.12.16 -
VirusBuster 4.5.11.0 2008.12.16 -
weitere Informationen
File size: 6007 bytes
MD5...: a114eb6902898fc3946ed97097067aa1
SHA1..: a9e621518c73e917097910318d8424a897fde455
SHA256: 8a5789db2433a4739666ddf444af952db3f2541ed827d54c1af4eef32dbbc363
SHA512: ac597600d50f592b7b69fd21be7b154355d5dfbf9303888cae3453cb26d65579
d6a358264d8539cce9469005b079c9cfafb3ec74e81e22c76055beaaba6243cc
ssdeep: 96:iqsFWmwAKKHO7LsLxLgNT0x6YBy5XQrNDBryRi5vUIEeR7NdG1kd7+ww2B4:G
jlKKu74VGTWLrN3vUIEF2B4
PEiD..: -
TrID..: File type identification
Generic INI configuration (100.0%)
PEInfo: -



c:\programme\install_flash_player.exe

atei install_flash_player.exe empfangen 2008.12.16 23:57:37 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/38 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.17.0 2008.12.16 -
AntiVir 7.9.0.45 2008.12.16 -
Authentium 5.1.0.4 2008.12.16 -
Avast 4.8.1281.0 2008.12.16 -
AVG 8.0.0.199 2008.12.16 -
BitDefender 7.2 2008.12.16 -
CAT-QuickHeal 10.00 2008.12.16 -
ClamAV 0.94.1 2008.12.16 -
Comodo 764 2008.12.16 -
DrWeb 4.44.0.09170 2008.12.16 -
eSafe 7.0.17.0 2008.12.16 -
eTrust-Vet 31.6.6263 2008.12.16 -
Ewido 4.0 2008.12.16 -
F-Prot 4.4.4.56 2008.12.16 -
F-Secure 8.0.14332.0 2008.12.16 -
Fortinet 3.117.0.0 2008.12.16 -
GData 19 2008.12.16 -
Ikarus T3.1.1.45.0 2008.12.16 -
K7AntiVirus 7.10.555 2008.12.16 -
Kaspersky 7.0.0.125 2008.12.16 -
McAfee 5466 2008.12.16 -
McAfee+Artemis 5466 2008.12.16 -
Microsoft 1.4205 2008.12.16 -
NOD32 3696 2008.12.16 -
Norman 5.80.02 2008.12.16 -
Panda 9.0.0.4 2008.12.15 -
PCTools 4.4.2.0 2008.12.16 -
Prevx1 V2 2008.12.16 -
Rising 21.08.12.00 2008.12.16 -
SecureWeb-Gateway 6.7.6 2008.12.16 -
Sophos 4.36.0 2008.12.16 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.16 -
TheHacker 6.3.1.4.189 2008.12.16 -
TrendMicro 8.700.0.1004 2008.12.16 -
VBA32 3.12.8.10 2008.12.16 -
ViRobot 2008.12.16.1521 2008.12.16 -
VirusBuster 4.5.11.0 2008.12.16 -
weitere Informationen
File size: 952496 bytes
MD5...: c0709f71e60ff8c7d5780f75147a51f1
SHA1..: 88dc6abf3a0f0be0b1d8e7b73632265fba65c5e6
SHA256: 2d754ca047e70e1a18cf0589513bb5dde48b3e126b3908e1f398e865e9ed84b6
SHA512: 6c14fc3e31101874e506eaa3bb17a7fc0d00145dffae65a95354164a2dc53e3a
b3e7377fa36804c2f8095b9b09fc3fd4637571938ec92debf8e1c5ac9f8f12dd
ssdeep: 24576:mskn/OXR1v6luFn8+K1kN3PvzkXsHCwUfukYlY:Fk2f6cFnhKOQiCwiuvY
PEiD..: Wise Installer Stub
TrID..: File type identification
Wise Installer executable (97.5%)
Win32 Executable Generic (1.0%)
Win32 Dynamic Link Library (generic) (0.9%)
Generic Win/DOS Executable (0.2%)
DOS Executable Generic (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x370d108f (Thu Apr 08 20:24:47 1999)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1fe 0x200 5.55 f155a70bb31aab4a8c58b0f9d57db03c
.rdata 0x2000 0x215 0x400 2.84 6f58ca49378072d460147a07b96a95fd
.data 0x3000 0x14 0x200 0.27 e146e7c47bdf7b7c953201f0721505e1
.rsrc 0x4000 0xe7000 0xe6600 7.99 9aa5cf7441bf58db16dbd5296afa3f7c

( 2 imports )
> KERNEL32.dll: CreateFileMappingA, WaitForSingleObject, CreateProcessA, GetCommandLineA, CloseHandle, UnmapViewOfFile, WriteFile, MapViewOfFile, DeleteFileA, GetTempFileNameA, GetTempPathA, CreateFileA, GetShortPathNameA, GetModuleFileNameA
> USER32.dll: wsprintfA

( 0 exports )
packers (F-Prot): embedded
packers (Kaspersky): WiseSFXDropper, PE_Patch

Wo ist dann das log? :rolleyes: Wir brauchen alle logs die anfallen! ;)

Hast du dir auch wirklich alle Dateien anzeigen lassen? Poste bitte das SASW log da wewrden wir ja sehen ob sie bereits gelöscht wurden..


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Danach weiter mit den nächsten Punkten.

Sooo, bitteschön, zwei weitere logs ;)

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 12/16/2008 at 11:33 PM

Application Version : 4.23.1006

Core Rules Database Version : 3676
Trace Rules Database Version: 1655

Scan type : Complete Scan
Total Scan Time : 01:45:08

Memory items scanned : 432
Memory threats detected : 0
Registry items scanned : 6791
Registry threats detected : 31
File items scanned : 162857
File threats detected : 17

Adware.Vundo Variant
HKLM\Software\Classes\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\InprocServer32
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\InprocServer32#ThreadingModel
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#Version
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#BuildName
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#Affiliate
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#Show3X
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#ShowType
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#PopupCount
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#BlockEnable
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#Ticket
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#WalkThrough
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\TypeLib
HKCR\TypeLib\{F0CC1C9B-BF56-47C8-86C4-BD78EC091E82}
C:\WINDOWS\SYSTEM32\WINBC77.DLL
HKU\S-1-5-21-3463404501-29070894-4144051427-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}

Trojan.Unknown Origin
HKLM\System\ControlSet001\Services\ati4ekxx
C:\WINDOWS\SYSTEM32\DRIVERS\ATI4EKXX.SYS
HKLM\System\ControlSet001\Enum\Root\LEGACY_ati4ekxx
HKLM\System\ControlSet003\Services\ati4ekxx
HKLM\System\ControlSet003\Enum\Root\LEGACY_ati4ekxx
HKLM\System\CurrentControlSet\Services\ati4ekxx
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_ati4ekxx
HKLM\Software\xpre
HKLM\Software\xpre#execount
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\TDSSMTVD.DAT.VIR
C:\WINDOWS\SYSTEM32\DOTETATSGABKJAJ.EXE

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\XY\Cookies\XY@2o7[1].txt
C:\Dokumente und Einstellungen\XY\Cookies\XY@weborama[2].txt

Rogue.Component/Trace
HKLM\Software\Microsoft\006ABB86
HKLM\Software\Microsoft\006ABB86#006abb86
HKLM\Software\Microsoft\006ABB86#Version
HKU\S-1-5-21-3463404501-29070894-4144051427-1006\Software\Microsoft\CS41275
HKU\S-1-5-21-3463404501-29070894-4144051427-1006\Software\Microsoft\FIAS4018

Rootkit.TDSServ/Fake
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\DRIVERS\TDSSMQLT.SYS.VIR
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\TDSSHRXX.DLL.VIR
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\TDSSOIQT.DLL.VIR
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\TDSSVKQL.DLL.VIR
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EA1D0BE-D227-4DD6-BF4D-B8F8ECA58F50}\RP0\A0000001.SYS
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EA1D0BE-D227-4DD6-BF4D-B8F8ECA58F50}\RP0\A0000002.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EA1D0BE-D227-4DD6-BF4D-B8F8ECA58F50}\RP0\A0000003.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EA1D0BE-D227-4DD6-BF4D-B8F8ECA58F50}\RP0\A0000004.DLL

Trojan.Unclassified/BrowserDriver
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\DWWNW64R.EXE.VIR
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EA1D0BE-D227-4DD6-BF4D-B8F8ECA58F50}\RP0\A0000018.EXE
C:\WINDOWS\SYSTEM32\RSWNW64S.EXE






Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "c:\windows\system32\dotetatsgabkjaj.exe" not found!
Deletion of file "c:\windows\system32\dotetatsgabkjaj.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\rswnw64s.exe" not found!
Deletion of file "c:\windows\system32\rswnw64s.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\drivers\ati4ekxx.sys" not found!
Deletion of file "c:\windows\system32\drivers\ati4ekxx.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\winbc77.dll" not found!
Deletion of file "c:\windows\system32\winbc77.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\6990247" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

:) Jute. Die hatte SASW schon gekillt. Dann weiter im Text.
Ich gucke morgen drüber. Mache hier eigtnlich eh schon wieder völlig bekloppte Nachtstunden.. ;)
Gute n8.

Abend!

Also, habe einen Scan mit Malewarebytes durchgeführt:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1514
Windows 5.1.2600 Service Pack 3

18.12.2008 19:26:12
mbam-log-2008-12-18 (19-26-12).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 215194
Laufzeit: 1 hour(s), 27 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{497dddb6-6eee-4561-9621-b77dc82c1f84} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4e980492-027b-47f1-a7ab-ab086dacbb9e} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5ead8321-fcbb-4c3f-888c-ac373d366c3f} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{31f3cf6e-a71a-4daa-852b-39ac230940b4} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\agadoo (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\SysRestore.dll (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Ascentive (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\Ascentive\Performance Center (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\WordToPDF\PrInst.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSxfmm.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysRestore.dll (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
C:\Programme\Ascentive\Performance Center\GUID (Rogue.Multiple) -> Quarantined and deleted successfully.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

Und scanne den Rechner mit dem AVP-Tool und dem vba32-Tool.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Programme\WordToPDF" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Abend!
Also, hier das Log von Panda:
(Habe einige identische Cookies gelöscht, da der Beitrag zu lange war..

Ciao mit ao


;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2008-12-18 22:55:24
PROTECTIONS: 1
MALWARE: 29
SUSPECTS: 2
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Windows Defender 1.1.4205.0 No No
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.atdmt.com/]
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.atdmt.com/]
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.tribalfusion.com/]
00145732 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.as-eu.falkag.net/]

00147036 Cookie/Adverserve TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.adverserve.net/]
00149064 Cookie/Maxserving TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.maxserving.com/]
00149064 Cookie/Maxserving TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.maxserving.com/]
00167430 Cookie/myaffiliateprogram TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.www.myaffiliateprogram.com/]
00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.com.com/]
00167647 Cookie/Yadro TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.yadro.ru/]
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.xiti.com/]
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.xiti.com/]
00167749 Cookie/Toplist TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.toplist.cz/]
00168048 Cookie/Overture TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.perf.overture.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[ad.yieldmanager.com/]

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[ad.yieldmanager.com/]

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.serving-sys.com/]

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.serving-sys.com/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.weborama.fr/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X Y\Cookies\X_Y@weborama[2].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.adtech.de/]
00168110 Cookie/Server.iad.Liveperson TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[server.iad.liveperson.net/hc/43733127]
00168110 Cookie/Server.iad.Liveperson TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[server.iad.liveperson.net/]
00168113 Cookie/fe.lea.lycos TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[fe.lea.lycos.de/]
00168113 Cookie/fe.lea.lycos TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[fe.lea.lycos.de/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\system@advertising[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.advertising.com/]
00170495 Cookie/PointRoll TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.ads.pointroll.com/]
00170495 Cookie/PointRoll TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.ads.pointroll.com/]
00170495 Cookie/PointRoll TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.ads.pointroll.com/]
00170495 Cookie/PointRoll TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.ads.pointroll.com/]
00170549 Cookie/FortuneCity TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.fortunecity.com/]
00170549 Cookie/FortuneCity TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.fortunecity.com/]
00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.overture.com/]
00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.overture.com/]
00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.overture.com/]
00170556 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.realmedia.com/]
00170556 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.realmedia.com/]
00170556 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.realmedia.com/]
00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.questionmarket.com/]
00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.questionmarket.com/]
00248517 Cookie/Advnt TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[www.advnt01.com/]
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X Y\Cookies\X_Y@atwola[2].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X Y\Cookies\X_Y@atwola[1].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.atwola.com/]
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Cookies\X@atwola[1].txt
01073529 Generic Malware Virus/Trojan No 0 Yes No C:\WINDOWS\system32\catalogix.dll
03738688 Generic Malware Virus/Trojan No 0 Yes No C:\Programme\NO23\vorbis.dll
04401430 Generic Trojan Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\X Y\Desktop\ComFix.com
04401430 Generic Trojan Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\X Y\Eigene Dateien\Setup-Programme\ComboFix.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location 
;===================================================================================================================================================== ==============================
No C:\Programme\Sicherheit\XP-Cleaner\setup.exe 
No C:\qip8020.exe[qip.exe] 
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description 
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Guten Morgen!

Ich kann von DrWeb nicht wie angegeben den Bericht hier einfügen bzw. erstellen, da ich "Berichtliste löschen" und "Berichtliste speichern" nicht anklicken kann. Liegt das daran, dass das Programm keine Viren gefunden hat? Über "Einstellungen ändern", "Logdatei" habe ich ein Log gefunden, das aber eeeewig lange ist und auch anzeigt, dass es keine Schädlinge gefunden hat

Lg
weicki

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Hallo.
lg

Datei catalogix.dll empfangen 2008.12.19 17:46:03 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 20/38 (52.64%)
Laden der Serverinformationen...

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.19.3 2008.12.19 -
AntiVir 7.9.0.45 2008.12.19 ADSPY/Stud.C.4
Authentium 5.1.0.4 2008.12.19 -
Avast 4.8.1281.0 2008.12.18 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.12.19 Generic2.OLS
BitDefender 7.2 2008.12.19 Application.Catalogix.A
CAT-QuickHeal 10.00 2008.12.19 -
ClamAV 0.94.1 2008.12.19 -
Comodo 781 2008.12.19 -
DrWeb 4.44.0.09170 2008.12.19 -
eSafe 7.0.17.0 2008.12.18 Suspicious File
eTrust-Vet 31.6.6268 2008.12.18 -
Ewido 4.0 2008.12.19 Not-A-Virus.Adware.Stud
F-Prot 4.4.4.56 2008.12.19 -
F-Secure 8.0.14332.0 2008.12.19 AdWare.Win32.Stud.c
Fortinet 3.117.0.0 2008.12.19 Adware/Stud
GData 19 2008.12.19 Application.Catalogix.A
Ikarus T3.1.1.45.0 2008.12.19 not-a-virus:AdWare.Win32.Stud.c
K7AntiVirus 7.10.559 2008.12.19 -
Kaspersky 7.0.0.125 2008.12.19 not-a-virus:AdWare.Win32.Stud.c
McAfee 5468 2008.12.18 -
McAfee+Artemis 5468 2008.12.18 Generic!Artemis
Microsoft 1.4205 2008.12.19 -
NOD32 3706 2008.12.19 -
Norman 5.80.02 2008.12.19 W32/Stud.BD
Panda 9.0.0.4 2008.12.19 Generic Malware
PCTools 4.4.2.0 2008.12.19 -
Prevx1 V2 2008.12.19 Malicious Software
Rising 21.08.42.00 2008.12.19 -
SecureWeb-Gateway 6.7.6 2008.12.19 Ad-Spyware.Stud.C.4
Sophos 4.37.0 2008.12.19 Catalogix
Sunbelt 3.2.1801.2 2008.12.11 AdWare.Win32.Stud
Symantec 10 2008.12.19 -
TheHacker 6.3.1.4.193 2008.12.19 -
TrendMicro 8.700.0.1004 2008.12.19 PAK_Generic.001
VBA32 3.12.8.10 2008.12.18 AdWare.Win32.Stud.c
ViRobot 2008.12.19.1527 2008.12.19 -
VirusBuster 4.5.11.0 2008.12.19 -
weitere Informationen
File size: 48640 bytes
MD5...: 4a3f77e19f0faba57446986c66e07ae2
SHA1..: 3f02a8b182d2c81d6589498c7acfcd6b68d2fd8f
SHA256: fa594c6591364cb8c3f8d78ceadc46a9a9c70c7658ff566ebeccfdf987c0db52
SHA512: 70fa2e83f5a957490022d51f9a102d82063f7f3829c2567259266a005b5339d9
68049584bae15fa0523b0f0a24a867d4a6ebf7e1cae546cfe8b953bb011303da
ssdeep: 768:FMcUQrxhYaHOoc5Q7AO+th3yJj+abtmqSbPGYxYiaJIFuYiDV9P2595AAlu/
Zc1R:FThtuoBH+th3KhboqSRxYJOXim/fSc1R
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1001ef80
timedatestamp.....: 0x4460b590 (Tue May 09 15:30:24 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x14000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x15000 0xb000 0xa200 7.91 a825250d81253fdc898419924627fc06
.rsrc 0x20000 0x2000 0x1800 4.45 bb90b7165e105b0ab36aa2792496cee9

( 10 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress
> ADVAPI32.dll: RegCloseKey
> ATL.DLL: -
> COMCTL32.dll: ImageList_Create
> GDI32.dll: DeleteDC
> ole32.dll: CoCreateGuid
> OLEAUT32.dll: -
> urlmon.dll: ObtainUserAgentString
> USER32.dll: GetDC
> WININET.dll: InternetOpenA


( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=4a3f77e19f0faba57446986c66e07ae2' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=4a3f77e19f0faba57446986c66e07ae2</a>
packers (F-Prot): UPX
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=DF9C646E00A65F73BE1E00586A631A00FB164A37' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=DF9C646E00A65F73BE1E00586A631A00FB164A37</a>
packers (Kaspersky): UPX







Datei vorbis.dll empfangen 2008.12.19 17:52:30 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 4/38 (10.53%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.19.3 2008.12.19 -
AntiVir 7.9.0.45 2008.12.19 -
Authentium 5.1.0.4 2008.12.19 -
Avast 4.8.1281.0 2008.12.18 -
AVG 8.0.0.199 2008.12.19 -
BitDefender 7.2 2008.12.19 -
CAT-QuickHeal 10.00 2008.12.19 -
ClamAV 0.94.1 2008.12.19 -
Comodo 781 2008.12.19 -
DrWeb 4.44.0.09170 2008.12.19 -
eSafe 7.0.17.0 2008.12.18 Suspicious File
eTrust-Vet 31.6.6268 2008.12.18 -
Ewido 4.0 2008.12.19 -
F-Prot 4.4.4.56 2008.12.18 -
F-Secure 8.0.14332.0 2008.12.19 -
Fortinet 3.117.0.0 2008.12.19 -
GData 19 2008.12.19 -
Ikarus T3.1.1.45.0 2008.12.19 -
K7AntiVirus 7.10.557 2008.12.18 -
Kaspersky 7.0.0.125 2008.12.19 -
McAfee 5468 2008.12.18 -
McAfee+Artemis 5468 2008.12.18 -
Microsoft 1.4205 2008.12.19 -
NOD32 3705 2008.12.19 -
Norman 5.80.02 2008.12.19 -
Panda 9.0.0.4 2008.12.19 Generic Malware
PCTools 4.4.2.0 2008.12.19 -
Prevx1 V2 2008.12.19 Worm
Rising 21.08.42.00 2008.12.19 -
SecureWeb-Gateway 6.7.6 2008.12.19 -
Sophos 4.37.0 2008.12.19 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.19 -
TheHacker 6.3.1.4.193 2008.12.19 -
TrendMicro 8.700.0.1004 2008.12.19 PAK_Generic.001
VBA32 3.12.8.10 2008.12.18 -
ViRobot 2008.12.19.1527 2008.12.19 -
VirusBuster 4.5.11.0 2008.12.19 -
weitere Informationen
File size: 143872 bytes
MD5...: 37f3c5c50051c183c8891761f608a3b9
SHA1..: 6b5bf4882405ba30c82dd6f1be9f2d1be86d778e
SHA256: 3927bc2a5f4e017582774326a7b34c90f374474f8385b0b95f9f821088cfae03
SHA512: 72832eacc279c142943220b187c739a70c9703038024a84d3f3138fe804c3eba
728f01ab9d24e2ec9d91d36f4aedcc898b6318a34b9ac78c59571962d641de6c
ssdeep: 3072:fKqUGXaEuTpZ/at1zohyFjIZhnHrDnIQhXAlOTib:fHXajjatlztQxL8Qhw
/
PEiD..: ASPack v2.12
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
VXD Driver (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x63ae5001
timedatestamp.....: 0x453f7d86 (Wed Oct 25 15:06:46 2006)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1a000 0xcc00 7.99 a0d00a89849f217ee5d52bb6bc5ef77e
.data 0x1b000 0x101000 0x12c00 7.99 635f8b90413fae993e1ac51c0860c138
.rdata 0x11c000 0x1000 0x400 7.24 fceee5c9ab2b5c0cc62368c9f1eeded4
.bss 0x11d000 0x2820 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.edata 0x120000 0x1000 0x600 4.96 67b9c93490aa86588ba48135f86f54a6
.idata 0x121000 0x1000 0x400 5.14 32349a31637d609423e5a15b3059613a
.reloc 0x122000 0x3000 0x1600 7.83 9be83013b6203ef169a58080ff9620bb
.ivan 0x125000 0x2000 0x1200 5.67 a3971cf42bde7549d19cd0de07ba0762
.adata 0x127000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 3 imports )
> kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA
> msvcrt.dll: __dllonexit
> ogg.dll: oggpack_adv

( 45 exports )
_analysis_output_always, _floor_P, _mapping_P, _residue_P, vorbis_analysis, vorbis_analysis_blockout, vorbis_analysis_buffer, vorbis_analysis_headerout, vorbis_analysis_init, vorbis_analysis_wrote, vorbis_bitrate_addblock, vorbis_bitrate_flushpacket, vorbis_block_clear, vorbis_block_init, vorbis_comment_add, vorbis_comment_add_tag, vorbis_comment_clear, vorbis_comment_init, vorbis_comment_query, vorbis_comment_query_count, vorbis_commentheader_out, vorbis_dsp_clear, vorbis_encode_ctl, vorbis_encode_init, vorbis_encode_init_vbr, vorbis_encode_setup_init, vorbis_encode_setup_managed, vorbis_encode_setup_vbr, vorbis_granule_time, vorbis_info_blocksize, vorbis_info_clear, vorbis_info_init, vorbis_packet_blocksize, vorbis_synthesis, vorbis_synthesis_blockin, vorbis_synthesis_halfrate, vorbis_synthesis_halfrate_p, vorbis_synthesis_headerin, vorbis_synthesis_init, vorbis_synthesis_lapout, vorbis_synthesis_pcmout, vorbis_synthesis_read, vorbis_synthesis_restart, vorbis_synthesis_trackonly, vorbis_window
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=37f3c5c50051c183c8891761f608a3b9' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=37f3c5c50051c183c8891761f608a3b9</a>
packers (F-Prot): Aspack
packers (Kaspersky): ASPack
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=3F031A070016B23732DA023B8D17F7001346B3D8' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=3F031A070016B23732DA023B8D17F7001346B3D8</a>

sorry für den doppelpost, man kann aber nicht zwei mal editieren und bin jetzt erst dazu gekommen, die 3. datei zu "bearbeiten":

danke und tschö

Datei setup.exe empfangen 2008.12.19 18:11:00 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 5/38 (13.16%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.19.3 2008.12.19 -
AntiVir 7.9.0.45 2008.12.19 -
Authentium 5.1.0.4 2008.12.19 -
Avast 4.8.1281.0 2008.12.18 -
AVG 8.0.0.199 2008.12.19 -
BitDefender 7.2 2008.12.19 -
CAT-QuickHeal 10.00 2008.12.19 -
ClamAV 0.94.1 2008.12.19 -
Comodo 781 2008.12.19 -
DrWeb 4.44.0.09170 2008.12.19 -
eSafe 7.0.17.0 2008.12.18 -
eTrust-Vet 31.6.6268 2008.12.18 -
Ewido 4.0 2008.12.19 -
F-Prot 4.4.4.56 2008.12.19 -
F-Secure 8.0.14332.0 2008.12.19 -
Fortinet 3.117.0.0 2008.12.19 W32/Joiner.FB!tr
GData 19 2008.12.19 -
Ikarus T3.1.1.45.0 2008.12.19 -
K7AntiVirus 7.10.559 2008.12.19 Trojan-Dropper.Win32.Joiner.fb
Kaspersky 7.0.0.125 2008.12.19 -
McAfee 5468 2008.12.18 -
McAfee+Artemis 5468 2008.12.18 -
Microsoft 1.4205 2008.12.19 -
NOD32 3706 2008.12.19 -
Norman 5.80.02 2008.12.19 W32/Joiner.BRS
Panda 9.0.0.4 2008.12.19 -
PCTools 4.4.2.0 2008.12.19 -
Prevx1 V2 2008.12.19 Worm
Rising 21.08.42.00 2008.12.19 -
SecureWeb-Gateway 6.7.6 2008.12.19 -
Sophos 4.37.0 2008.12.19 -
Sunbelt 3.2.1801.2 2008.12.11 Trojan-Dropper.Win32.Joiner.fb
Symantec 10 2008.12.19 -
TheHacker 6.3.1.4.193 2008.12.19 -
TrendMicro 8.700.0.1004 2008.12.19 -
VBA32 3.12.8.10 2008.12.18 -
ViRobot 2008.12.19.1527 2008.12.19 -
VirusBuster 4.5.11.0 2008.12.19 -
weitere Informationen
File size: 454144 bytes
MD5...: 2090b3f26df41a94fa31941c58cc6bb0
SHA1..: 094992b5d73f4313fc823ea21948a3adee7daaea
SHA256: 115e44bddef9f2a76d4308dae4b23fa522e7690cdff148832c3eac000277b994
SHA512: 0f8623b5f3952d1c4121e0fd97366e313915dfcb54fefbef212568e47814ab38
208ac10ec4283a2966bb5f9e04150b25503ba76882d7d4a7327349b0adf5513d
ssdeep: 6144:pBcSdtUgfIk6GCBes2xMdLRmkw5HJZ5EAhsqFbIojDuUlD4iJ6r92D:pDGg
fIkXCBepCdLsZ5EjeDuUlDmq
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x42aca8
timedatestamp.....: 0x4333dcc9 (Fri Sep 23 10:45:29 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x46bcc 0x46c00 6.55 b598e6517c31e367218df17c9bd76cca
.data 0x48000 0x35dc 0x1a00 3.03 6918ebb591c1574c01223239f598080e
.rsrc 0x4c000 0x262c0 0x26400 5.65 7a6592740f0774eeee8d86f55397bc46

( 5 imports )
> KERNEL32.dll: EndUpdateResourceA, MultiByteToWideChar, IsValidCodePage, GetDiskFreeSpaceExA, Sleep, SetFilePointer, FindResourceA, LoadResource, LockResource, SizeofResource, CreateEventA, SetEvent, FormatMessageA, LocalFree, CreateProcessA, GetModuleFileNameA, ExpandEnvironmentStringsA, GlobalAlloc, GlobalFree, GetSystemDirectoryA, GetVersionExA, CompareStringA, GetSystemInfo, GetCurrentProcess, GetFileAttributesA, GetTempPathA, GetTempFileNameA, DeleteFileA, CreateDirectoryA, CopyFileA, WideCharToMultiByte, GetEnvironmentVariableA, ReadFile, GetWindowsDirectoryA, GetDateFormatA, GetTimeFormatA, InterlockedIncrement, InterlockedDecrement, InterlockedExchange, GetCommandLineA, HeapFree, HeapAlloc, GetProcessHeap, GetStartupInfoA, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCurrentProcessId, RaiseException, RtlUnwind, CloseHandle, ExitProcess, LCMapStringA, LCMapStringW, GetCPInfo, GetStdHandle, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetSystemTimeAsFileTime, GetACP, GetOEMCP, VirtualAlloc, HeapReAlloc, GetConsoleCP, GetConsoleMode, FlushFileBuffers, HeapSize, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, GetStringTypeA, GetStringTypeW, GetLocaleInfoW, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetStdHandle, CreateFileA, CreateFileW, SetEndOfFile, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, CreateThread, InitializeCriticalSection, MulDiv, lstrlenW, GetExitCodeProcess, WaitForSingleObject, GetTickCount, FindNextFileA, FindClose, FindFirstFileA, WriteFile, FreeLibrary, GetLastError, GetProcAddress, LoadLibraryA, GetModuleHandleA, GetThreadLocale, UpdateResourceA, BeginUpdateResourceA, LocalAlloc, lstrlenA, UpdateResourceW, GetTempPathW, GetTempFileNameW, GetSystemDirectoryW, GetModuleFileNameW, GetFileAttributesW, FormatMessageW, FindResourceW, DeleteFileW, CreateProcessW, CreateDirectoryW, CopyFileW, BeginUpdateResourceW, GetVersion
> GDI32.dll: CreateFontIndirectA, EnumFontFamiliesExA, DeleteObject, GetObjectA, GetStockObject, DeleteDC, GetObjectW, GetDeviceCaps, CreateCompatibleDC, GetTextExtentPoint32A, GetTextMetricsA, SelectObject
> USER32.dll: ScreenToClient, SetClassLongA, LoadCursorA, SetCursor, LoadIconA, LoadImageA, SetFocus, GetFocus, EnableWindow, MsgWaitForMultipleObjects, SetDlgItemTextA, SetWindowTextA, GetDlgItem, DispatchMessageA, TranslateMessage, IsDialogMessageA, PeekMessageA, DestroyWindow, ShowWindow, SetForegroundWindow, MoveWindow, CreateDialogParamA, CreateDialogIndirectParamA, SendMessageA, GetClientRect, ShowScrollBar, SendDlgItemMessageA, SystemParametersInfoA, GetWindowRect, CharNextA, ExitWindowsEx, MessageBoxA, GetSystemMetrics, DrawTextW, ReleaseDC, GetDialogBaseUnits, LoadStringA, GetDC, MessageBoxW
> ole32.dll: CoUninitialize, CoInitialize
> SHELL32.dll: ShellExecuteA, ShellExecuteW, SHGetMalloc, SHGetPathFromIDListW, SHGetSpecialFolderLocation, ShellExecuteExW, ShellExecuteExA

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=2090b3f26df41a94fa31941c58cc6bb0' target='_blank'>http://www.threatexpert.com/report.aspx?md5=2090b3f26df41a94fa31941c58cc6bb0</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=2090b3f26df41a94fa31941c58cc6bb0' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=2090b3f26df41a94fa31941c58cc6bb0</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=A497B95B001AE212EE450610FFC75400E6B4181E' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=A497B95B001AE212EE450610FFC75400E6B4181E</a>

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\catalogix.dll" deleted successfully.
Folder "C:\Programme\NO23" deleted successfully.
Folder "C:\Programme\Sicherheit\XP-Cleaner" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Also wirklich vertaruen würde ich dem Rechner nicht.

Beobachte ihn weiter und melde dich hier im Thread wenn es Auffäligkeiten gibt.

Poste bitte abschließend ein HJT log.

mh, ok :(

dann tausend dank für deine hilfe!!

grüße
weicki

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:29:55, on 20.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Wireless Network Utility\RtWLan.exe
C:\Programme\Secunia\PSI\psi.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Sicherheit\CWS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suchseite24.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\WINDOWS\TEMP\E_S11E.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Wireless Network Utility.lnk = C:\Programme\Wireless Network Utility\RtWLan.exe
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Web.de Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 9012 bytes

Also das log ist soweit sauber aber mein Bauch gibt noch kein endgültiges in Ordnung...

Ist halt immer so 'ne Sache so schwere Infektionen zu bereinigen...

Neuaufsetzen ist defintiv sicherer als die Bereinigung.

mmmhh, ok, wenn ich mal fragen darf, was ist denn der grund für dein "schlechtes gefühl"? :)

Wenn ich das wüsste hätte ich's dir geschrieben.

Ist nur so ein Gefühl. Wir haben da ganz gut was aus den letzten Enden des System gekrazt und deine Probleme und die Art der Infizierung gefallen mir nicht.

Oki alles klar, dann tausend Dankeit, die du investiert hast! :dankeschoen:

Ich wünsch dir schöne Weihnachten!

lg
weicki