Trojaner-Board - Etliche Trojaner etc. Das ist das Ende...

Oke. ich habe alles gemacht soweit wie ich kam.....

Vorne hinweg noch die Infos:
welche dateinamen mir auf den Keks gehen sind:

reader_s.exe
vrt1.tmp (oder andere zahlen)
12.tmp (oder andere zahlen bzw nur 1-2 Buchstaben)
ld12.exe

(die tmp machen sich im prozess meistens dann sichtbar, sobald ich mich ins internet eingewählt habe und verschwinden wieder nach paar sekunden)

und im
C:\Dokumente und Einstellungen\benutzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\
werden mir auch immer infizierte html dateien angezeigt.

AVG zeigt mir unterhalb der gefunden/markierten sachen auch pfad zum svchost.exe und explorer.exe oder auch services.exe

UND: ich kann keine Webseite mit einem Online Virenscanner besuchen. (hätte nie gedacht, dass sowas geht)
Mir wurden auch schon verknüpfungen auf das Desktop gesetzt die nach einem Neustart plötzlich da waren (handelte von nackten Tatsachen).

Ja, es ist meine Schuld. Ich habe eine exe datei geöffnet bei der ich mir nicht sicher war ob die sauber ist.
Aus Fehlern lernt man.

hier ein screenshot was mir Spyware Doctor sagt aber ich habe keine Registrierung dafür um diese zu entfernen:
(die kommen ja eh nach Neustarten wieder -.- )

http://img505.imageshack.us/img505/7...gspydoktor.jpg

Ich hoffe ihr seht da klarer durch.

[hinzufügen nach einigen scannen und neustarten]
jetzt fallen auch noch savedump.exe und noch eine dumpxxx.exe auf.
habe die erstemal so gelöscht und im autostart weggemacht. und jetzt geht auch internet wieder.
Und seitdem zeigte windows einen blauen screen an wenn ich neustarten wollte oder mich aus dem internet trennen wollte weil das internet nicht funktionierte (zeigte verbindung an aber übermittelte mir keine daten in den browser)

http://img197.imageshack.us/img197/4...bluescreen.jpg

[weitere informationen nach gewisser zeit]
einmal getrennt und wieder danach mit internet verbunden, gibt erneut keine empfangenen dateien im broweser/outlook an.
es werden aber trotzdem daten empfangen und gesendet. (und wie). aber nicht zu meinem vorteil/benutzung :(

[später zur abendstunde]
wieder der blaue screen.
Ich habe jetzt auch mal in a-squared hijackfree ein bissl gestöbert.
hier sind stellen wo ich fragezeichen habe:

http://img142.imageshack.us/img142/8341/asquare2.jpg

http://img391.imageshack.us/img391/1075/asquare.jpg

http://img32.imageshack.us/i/asquare3.jpg

http://img248.imageshack.us/i/asquare4.jpg

[nach etlichen neustarten nach immerkehrenden bluescreen bei neustarten wollen oder je nach programmende]
Die dump-exen sind wohl weg. tauchten zumindest nicht nochmal im autostart auf.

Tja... und nach weiterer halben stunde, habe ich gar kein internet mehr und sitze jetzt im inetcafe um euch die infos mitzuteilen.

Ich bitte um hilfe per email an:

(komme ja nicht mehr online aber damit auf handy zuerreichen)

Langsam habe ich Angst....

[stunde später]
Ich back uppe jetzt meine wichtigen dateien...
und dann heisst es wohl xp neuinstallieren... sehe keinen anderen weg mehr.
immerhin läuft der pc noch... NOCH!

:heulen:

(systemwiederherstellung ist auch nichts...)

HIJACKTHIS:

Code:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:35:47, on 16.07.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20583)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

C:\Programme\Spyware Doctor\pctsTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\AVG\AVG8\avgtray.exe

C:\Programme\Malwarebytes' Anti-Malware\mbam.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Spyware Doctor\pctsAuxs.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Programme\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843

R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll

O1 - Hosts: 92.241.176.188 advanced-virus-remover2009.com

O1 - Hosts: 92.241.176.188 www.advanced-virus-remover2009.com

O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll

O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [A00F55E83.exe] C:\WINDOWS\TEMP\_A00F55E83.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [A00F55E83.exe] C:\WINDOWS\TEMP\_A00F55E83.exe (User 'Default user')

O4 - Global Startup: AVG Free Tray Icon.lnk = C:\Programme\AVG\AVG8\avgtray.exe

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1242987628382

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1242987609996

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O20 - Winlogon Notify: __c005C398 - C:\WINDOWS\

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Intelligenter Hintergrundübertragungsdienst BITSdmadmin (BITSdmadmin) - Unknown owner - C:\WINDOWS\system32\3.tmp.exe (file missing)

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
 

--

End of file - 5769 bytes

Bilder funzen oben nur teils? naja. hat eh ein ende..

FILELIST

Code:


 

----- Root ----------------------------- 

 Datentr„ger in Laufwerk C: ist c Platte

 Volumeseriennummer: E893-2716
 

 Verzeichnis von C:\
 

16.07.2009  18:55                43 filelist.txt

16.07.2009  18:50     1.073.270.784 hiberfil.sys

16.07.2009  18:50       402.653.184 pagefile.sys

16.07.2009  18:50             6.755 aaw7boot.log

16.07.2009  17:13               225 boot.ini

13.07.2009  16:31               268 sqmdata00.sqm

13.07.2009  16:31               244 sqmnoopt00.sqm

18.05.2009  00:23                61 dscript.log

13.05.2009  22:28                 0 IO.SYS

13.05.2009  22:28                 0 MSDOS.SYS

13.05.2009  22:28                 0 AUTOEXEC.BAT

13.05.2009  22:28                 0 CONFIG.SYS
 

              15 Datei(en)  1.476.235.264 Bytes

               0 Verzeichnis(se), 12.111.802.368 Bytes frei

 

----- Windows -------------------------- 

 Datentr„ger in Laufwerk C: ist c Platte

 Volumeseriennummer: E893-2716
 

 Verzeichnis von C:\WINDOWS
 

16.07.2009  18:53                 0 0.log

16.07.2009  18:53         1.809.683 WindowsUpdate.log

16.07.2009  18:50             2.048 bootstat.dat

16.07.2009  18:50            90.112 DUMP83e8.tmp

16.07.2009  18:13            68.172 ntbtlog.txt

16.07.2009  18:01            90.112 DUMP266a.tmp

16.07.2009  17:13               507 win.ini

16.07.2009  17:13               227 system.ini

16.07.2009  16:59            32.524 SchedLgU.Txt

14.07.2009  15:08           382.976 sc.exe

14.07.2009  15:06           257.024 SC.INS

04.07.2009  02:03             7.119 mgxoschk.ini

20.06.2009  13:23                34 cdplayer.ini

10.06.2009  19:33               426 ULead32.ini

22.05.2009  13:58             3.401 messer.ini

21.05.2009  21:51                38 avisplitter.INI

15.05.2009  17:40             7.680 Thumbs.db

13.05.2009  23:43                 0 nsreg.dat

13.05.2009  23:43               111 telephon.ini

13.05.2009  23:30             8.192 REGLOCS.OLD

13.05.2009  23:21                 0 control.ini

13.05.2009  23:20           316.640 WMSysPr9.prx

13.05.2009  23:20             4.161 ODBCINST.INI

13.05.2009  23:18               749 WindowsShell.Manifest

13.05.2009  23:14                36 vb.ini

13.05.2009  23:14                37 vbaddin.ini

23.03.2009  15:07           808.254 PhotoFiltre-Wallpaper.bmp
 

              72 Datei(en)     13.238.088 Bytes

               0 Verzeichnis(se), 12.111.798.272 Bytes frei

 

----- System  --- 

 Datentr„ger in Laufwerk C: ist c Platte

 Volumeseriennummer: E893-2716
 

 Verzeichnis von C:\WINDOWS\system
 

alles altes Datum
 
 

              26 Datei(en)        930.627 Bytes

               0 Verzeichnis(se), 12.111.798.272 Bytes frei

 

----- System 32 (Achtung: Zeitfenster beachten!) --- 

 Datentr„ger in Laufwerk C: ist c Platte

 Volumeseriennummer: E893-2716
 

 Verzeichnis von C:\WINDOWS\system32
 

16.07.2009  18:04             2.206 wpa.dbl

16.07.2009  17:55                 0 64.tmp

16.07.2009  17:55                 0 5B.tmp

16.07.2009  17:55               164 58.tmp

16.07.2009  17:15                 0 32.tmp

16.07.2009  17:14                 0 31.tmp

16.07.2009  17:14                 0 29.tmp

16.07.2009  16:45                 0 24.tmp

16.07.2009  16:22                32 992134419.dat

15.07.2009  18:47             1.636 d3d9caps.dat

15.07.2009  17:00                 0 17.tmp

15.07.2009  17:00            33.792 12.tmp

14.07.2009  15:05            64.512 30.tmp

14.07.2009  15:05                 1 2D.tmp

14.07.2009  15:05                84 2B.tmp

14.07.2009  07:34                 0 2A.tmp

14.07.2009  07:34                 0 28.tmp

14.07.2009  07:34               120 27.tmp

13.07.2009  21:33                 0 194.tmp

13.07.2009  21:33                 0 192.tmp

13.07.2009  21:33               120 191.tmp

13.07.2009  15:48                 0 26.tmp

13.07.2009  15:48                 0 25.tmp

13.07.2009  15:48                 0 21.tmp

13.07.2009  15:48               160 20.tmp

09.07.2009  17:14            57.856 23.tmp

09.07.2009  17:14                 1 22.tmp

09.07.2009  17:14                84 1F.tmp

09.07.2009  15:07            57.856 1E.tmp

09.07.2009  15:07                 1 1D.tmp

09.07.2009  15:07                84 1A.tmp

08.07.2009  01:33                 0 1C0.tmp

07.07.2009  22:45            48.640 1C.tmp

07.07.2009  22:45                 0 1B.tmp

07.07.2009  22:45               120 15.tmp

07.07.2009  16:47            48.640 14.tmp

07.07.2009  16:47                 0 13.tmp

07.07.2009  16:47            18.432 11.tmp

07.07.2009  16:47               160 10.tmp

06.07.2009  22:39                 0 19.tmp

06.07.2009  22:39            48.640 18.tmp

06.07.2009  22:39               120 16.tmp

06.07.2009  21:43                 0 2F.tmp

06.07.2009  21:43               120 2C.tmp

04.07.2009  09:39           177.856 FNTCACHE.DAT

04.07.2009  02:17                 0 27C.tmp

04.07.2009  02:13                 0 27A.tmp

04.07.2009  02:13               120 277.tmp

04.07.2009  02:13                 0 275.tmp

04.07.2009  02:13               120 272.tmp

28.06.2009  10:28            11.952 avgrsstx.dll

24.06.2009  17:13               245 spupdwxp.log

23.06.2009  00:09                34 Converter_sysquict.dat

19.06.2009  19:58           319.488 TubeFinder.exe

19.06.2009  19:51           208.500 ReyXpBasics.tlb

29.05.2009  16:00           872.448 mgxoschk.dll

16.05.2009  22:16                56 ezsidmv.dat

16.05.2009  17:53         2.324.224 TUKernel.exe

16.05.2009  17:24           603.904 TUProgSt.exe

16.05.2009  17:24           362.240 TuneUpDefragService.exe

14.05.2009  03:18           148.888 javaws.exe

14.05.2009  03:18           144.792 javaw.exe

14.05.2009  03:18            73.728 javacpl.cpl

14.05.2009  03:18           144.792 java.exe

14.05.2009  03:18           410.984 deploytk.dll

14.05.2009  00:28           352.256 WDBtnMgr.exe

14.05.2009  00:08                 0 h323log.txt

13.05.2009  23:39           392.432 perfh009.dat

13.05.2009  23:39            58.732 perfc009.dat

13.05.2009  23:39            70.778 perfc007.dat

13.05.2009  23:39           405.448 perfh007.dat

13.05.2009  23:39           938.224 PerfStringBackup.INI

13.05.2009  23:27               509 $winnt$.inf

13.05.2009  23:26           122.142 TZLog.log

13.05.2009  23:21             2.951 CONFIG.NT

13.05.2009  23:21            16.832 amcompat.tlb

13.05.2009  23:21            23.392 nscompat.tlb

13.05.2009  23:18               488 WindowsLogon.manifest

13.05.2009  23:18               488 logonui.exe.manifest

13.05.2009  23:18               749 cdplayer.exe.manifest

13.05.2009  23:18               749 wuaucpl.cpl.manifest

13.05.2009  23:18               749 ncpa.cpl.manifest

13.05.2009  23:18               749 nwc.cpl.manifest

13.05.2009  23:18               749 sapi.cpl.manifest

13.05.2009  23:14            21.740 emptyregdb.dat

07.04.2009  02:29           118.520 pxinsi64.exe

07.04.2009  02:29           120.056 pxcpyi64.exe

09.03.2009  21:06            15.688 lsdelete.exe

05.01.2009  16:18            57.344 QuickTime.qts

05.01.2009  16:18            90.112 QuickTimeVR.qtx
 

            2236 Datei(en)    445.288.418 Bytes

               0 Verzeichnis(se), 12.111.609.856 Bytes frei

 

----- Prefetch ------------------------- 

 Datentr„ger in Laufwerk C: ist c Platte

 Volumeseriennummer: E893-2716
 

 Verzeichnis von C:\WINDOWS\Prefetch
 

16.07.2009  18:55            16.698 CMD.EXE-087B4001.pf

16.07.2009  18:55            18.026 AAWTRAY.EXE-31E33C30.pf

16.07.2009  18:54            25.340 WUAUCLT.EXE-399A8E72.pf

16.07.2009  18:53            31.024 WMIPRVSE.EXE-28F301A9.pf

16.07.2009  18:53             9.854 WSCNTFY.EXE-1B24F5EB.pf

16.07.2009  18:53            21.704 UNSECAPP.EXE-1A95A33B.pf

16.07.2009  18:53            21.532 NOTEPAD.EXE-336351A9.pf

16.07.2009  18:53            23.032 IMAPI.EXE-0BF740A4.pf

16.07.2009  18:53            40.290 MSCONFIG.EXE-35E4DAE9.pf

16.07.2009  18:52            19.610 AVGNSX.EXE-3B2A5A79.pf

16.07.2009  18:52            14.316 PCTSSVC.EXE-0922220E.pf

16.07.2009  18:52            16.678 PCTSAUXS.EXE-248177B2.pf

16.07.2009  18:52            17.280 AVGRSX.EXE-3282C2D5.pf

16.07.2009  18:52            16.966 WDSVC.EXE-2A5A4074.pf

16.07.2009  18:52            22.696 AVGWDSVC.EXE-1AC4BEE6.pf

16.07.2009  18:52           753.674 NTOSBOOT-B00DFAAD.pf

16.07.2009  17:59            43.282 ALICECNN.EXE-03E02840.pf

16.07.2009  17:56            77.666 FIREFOX.EXE-354957AA.pf

16.07.2009  17:56            52.260 AVGCSRVX.EXE-06E50003.pf

16.07.2009  17:55            34.954 SVCHOST.EXE-3530F672.pf

16.07.2009  17:55            21.438 TASKMGR.EXE-20256C55.pf

16.07.2009  17:55            72.626 MSIMN.EXE-0B61806C.pf

16.07.2009  17:39            55.212 MBAM.EXE-11D8BBD8.pf

16.07.2009  17:32            19.514 VERCLSID.EXE-3667BD89.pf

16.07.2009  17:19            67.612 PHOTOFILTRE.EXE-07843663.pf

16.07.2009  17:18            15.892 RUNDLL32.EXE-451FC2C0.pf

16.07.2009  17:14            41.204 VRT1.TMP-02C78FAD.pf

16.07.2009  17:14            39.648 AVGUI.EXE-17FEF51D.pf

16.07.2009  17:11            24.086 REGEDIT.EXE-1B606482.pf

16.07.2009  17:07            28.360 FIXCFG.EXE-14769470.pf

16.07.2009  17:07            46.224 PCTSTRAY.EXE-19D5DE12.pf

16.07.2009  17:06            40.932 AVGUPD.EXE-3670E4F0.pf

16.07.2009  17:05            85.110 EXPLORER.EXE-082F38A9.pf

16.07.2009  17:05            31.730 CCLEANER.EXE-065E2F3F.pf

16.07.2009  16:59            19.934 LOGONUI.EXE-0AF22957.pf

16.07.2009  16:43            51.192 I_VIEW32.EXE-0B6C3BA4.pf

16.07.2009  16:40            51.950 PCTSGUI.EXE-1D6925CB.pf

16.07.2009  16:37            35.676 RUNDLL32.EXE-2BF3472E.pf

16.07.2009  16:35            41.420 HIJACKTHIS.EXE-39024128.pf

16.07.2009  16:07            27.486 NOTEPAD.EXE-189578DA.pf

16.07.2009  15:58            71.928 WINRAR.EXE-3588DFE8.pf

16.07.2009  15:40            24.166 XCOPY.EXE-21FC761A.pf

16.07.2009  15:34            27.938 KILLBOX.EXE-09EE305A.pf

16.07.2009  15:32            64.790 CLEARPROG.EXE-1934C98F.pf

16.07.2009  15:26            27.674 VRT2.TMP-3703FE93.pf

15.07.2009  23:28            15.898 MBAM-DOR.EXE-05145661.pf

15.07.2009  23:21           105.666 IEXPLORE.EXE-2CA9778D.pf

15.07.2009  22:04            66.744 LASTFM.EXE-2B09628D.pf

15.07.2009  22:04            73.510 WINAMP.EXE-08C38ED9.pf

15.07.2009  21:42            82.226 ICQ.EXE-15A4C655.pf

15.07.2009  20:32            50.360 FOXITR~1.EXE-2C735C97.pf

15.07.2009  19:42            40.578 USNSVC.EXE-1D8C2356.pf

15.07.2009  19:41            70.048 MSNMSGR.EXE-091111D0.pf

15.07.2009  19:33            48.644 RUNDLL32.EXE-12E27DD0.pf

15.07.2009  18:15            55.244 MSPAINT.EXE-11CBB631.pf

15.07.2009  17:03            37.124 BITTORRENT.EXE-07AA1F0F.pf

15.07.2009  17:00             7.482 VRT8.TMP-0895EFC3.pf

15.07.2009  07:30             6.330 EVID4226PATCH.EXE-0C9F91E6.pf

15.07.2009  07:30            26.010 REGSVR32.EXE-25EEFE2F.pf

14.07.2009  23:04            46.352 CALC.EXE-02CD573A.pf

14.07.2009  22:04            45.064 EMULE.EXE-184A63F1.pf

14.07.2009  20:58            17.126 AAWSERVICE.EXE-1E1DE6D1.pf

14.07.2009  19:51            15.660 7.TMP-138C6DFA.pf

14.07.2009  19:46            19.724 THREATWORK.EXE-2CC668FF.pf

14.07.2009  19:46            16.004 AD-AWAREADMIN.EXE-1618EEEB.pf

14.07.2009  15:46            34.146 AVGSCANX.EXE-1699F935.pf

14.07.2009  15:44            68.686 AD-AWARE.EXE-2B8B58D1.pf

14.07.2009  15:27            21.372 CCSETUP221_SLIM.EXE-0C5B5405.pf

14.07.2009  15:07            55.916 RUNDLL32.EXE-13404D23.pf

14.07.2009  15:05            13.904 30.TMP-33727BD2.pf

14.07.2009  07:34            11.740 VRT5.TMP-2D2E2E91.pf

13.07.2009  21:33             7.268 VRT190.TMP-170570E3.pf

13.07.2009  19:45            16.470 SNDVOL32.EXE-383480B7.pf

13.07.2009  18:42            54.670 DRWTSN32.EXE-2B4B52AC.pf

13.07.2009  18:42            56.304 DWWIN.EXE-30875ADC.pf

13.07.2009  18:42           122.462 DUMPREP.EXE-1B46F901.pf

13.07.2009  18:19            31.972 RUNDLL32.EXE-2AE6C217.pf

13.07.2009  18:19            85.208 PHOTOSHOP.EXE-2E1C999E.pf

13.07.2009  17:51            26.390 LEECHFTP.EXE-17B9177F.pf

13.07.2009  17:18            33.114 HTMLEDIT.EXE-38EFDB07.pf

13.07.2009  16:26            18.230 UNINSTALL.EXE-00CFA94E.pf

13.07.2009  16:26            22.948 RUNDLL32.EXE-25341A6F.pf

13.07.2009  16:26            30.580 BEJEWELED2.EXE-367BC48D.pf

13.07.2009  16:25            17.370 LAUNCH.EXE-102A26A6.pf

13.07.2009  16:00            29.128 AU_.EXE-2551E442.pf

13.07.2009  16:00            17.960 UNINST.EXE-24740522.pf

13.07.2009  15:33            19.910 SDLOADER.EXE-211412BD.pf

13.07.2009  15:33            14.326 DRVCTL.EXE-2FB66A0B.pf

13.07.2009  15:32            18.794 _IU14D2N.TMP-004DA677.pf

13.07.2009  15:32            17.580 UNINS000.EXE-364DE2A4.pf

13.07.2009  15:31            22.014 DLLHOST.EXE-205D880D.pf

13.07.2009  15:31            83.078 MSIEXEC.EXE-2F8A8CAE.pf

13.07.2009  15:31            27.784 SOFTWAREUPDATE.EXE-1E90DF1F.pf

12.07.2009  22:04            55.392 BEJEWELED2-SETUP.EXE-3199FBCC.pf

12.07.2009  22:01            31.960 RUNDLL32.EXE-2CABD934.pf

12.07.2009  21:59            28.386 BEJEWELED2-SETUP SETUP.EXE-28371826.pf

12.07.2009  19:36            45.458 AVGTRAY.EXE-17920267.pf

10.07.2009  18:52            22.386 DEEPBURNER19.EXE-033C35D4.pf

10.07.2009  17:12            29.170 EMULE0.49C-INSTALLER.EXE-206144B3.pf

10.07.2009  15:04            19.348 SETUP.EXE-084322B2.pf

09.07.2009  21:25            40.154 FOTOSIZER.EXE-1B88297B.pf

09.07.2009  19:40            31.726 RUNDLL32.EXE-147710F4.pf

09.07.2009  19:39            26.472 SHUTDOWN.EXE-12DAD820.pf

09.07.2009  19:18            51.816 A2HIJACKFREE.EXE-02E18E10.pf

09.07.2009  19:00            38.736 ONECLICKSTARTER.EXE-25A6E9E3.pf

09.07.2009  18:50            29.396 RUNDLL32.EXE-1FFC673C.pf

09.07.2009  18:43            26.324 SPYBOTSD162.TMP-05B22AE0.pf

09.07.2009  18:43            20.806 SPYBOTSD162.EXE-2B6B1463.pf

09.07.2009  18:42            21.962 SETUP.EXE-24E3BA0E.pf

09.07.2009  18:41            53.958 KIS9.0.0.459DE.EXE-21616990.pf

09.07.2009  18:00            28.270 STP37_TMP.EXE-39E1D9F6.pf

09.07.2009  17:36            21.252 A2HIJACKFREESETUP.TMP-1C849739.pf

09.07.2009  17:35            14.560 A2HIJACKFREESETUP.EXE-12443DD4.pf

09.07.2009  17:20            66.250 MMC.EXE-04EF131A.pf

09.07.2009  15:13            28.672 RUNDLL32.EXE-178864D8.pf

09.07.2009  15:12            25.730 RUNDLL32.EXE-3D92F6EC.pf

09.07.2009  15:02            34.160 WGATRAY.EXE-0ED38BED.pf

08.07.2009  01:10            20.070 FFMPEG.EXE-03BB1812.pf

08.07.2009  01:09            16.380 FREEYOUTUBETOMP3CONVERTER.EXE-2777458B.pf

07.07.2009  22:45            27.082 NETSH.EXE-085CFFDE.pf

07.07.2009  18:38            17.936 SHELLEXECUTE.EXE-14F545E3.pf

07.07.2009  18:28            80.892 VLC.EXE-29851A71.pf

07.07.2009  18:27            28.016 RUNDLL32.EXE-1CCA38CE.pf

07.07.2009  18:26            58.218 EXPORTCONTROLLER.EXE-2AE60AF2.pf

07.07.2009  18:26            71.592 QUICKTIMEPLAYER.EXE-1683395B.pf

07.07.2009  16:45            29.570 RUNDLL32.EXE-44A0B4BC.pf

07.07.2009  16:45            25.282 RUNDLL32.EXE-14BE42EE.pf

07.07.2009  07:24             3.112 E.TMP-1C719BE1.pf

06.07.2009  23:46           286.480 Layout.ini

06.07.2009  22:03            17.620 ALG.EXE-0F138680.pf

             130 Datei(en)      5.610.336 Bytes

               0 Verzeichnis(se), 12.111.675.392 Bytes frei

 

----- Tasks ---------------------------- 

 Datentr„ger in Laufwerk C: ist c Platte

 Volumeseriennummer: E893-2716
 

 Verzeichnis von C:\WINDOWS\tasks
 

16.07.2009  18:50                 6 SA.DAT

06.07.2009  21:57               458 Ad-Aware Update (Weekly).job
 

               3 Datei(en)            529 Bytes

               0 Verzeichnis(se), 12.111.679.488 Bytes frei

 

----- Windows/Temp ----------------------- 

 Datentr„ger in Laufwerk C: ist c Platte

 Volumeseriennummer: E893-2716
 

 Verzeichnis von C:\WINDOWS\Temp
 

16.07.2009  18:54            16.384 Perflib_Perfdata_8ac.dat

16.07.2009  18:50               255 WGAErrLog.txt

               2 Datei(en)         16.639 Bytes

               0 Verzeichnis(se), 12.111.679.488 Bytes frei

 

----- Temp ----------------------------- 

 Datentr„ger in Laufwerk C: ist c Platte

 Volumeseriennummer: E893-2716
 

 Verzeichnis von C:\DOKUME~1\LYNMAR~1\LOKALE~1\Temp
 

16.07.2009  17:39           311.296 ~DF2ABF.tmp

16.07.2009  16:29           311.296 ~DFAC0F.tmp

16.07.2009  16:25           311.296 ~DF987A.tmp

16.07.2009  16:23           311.296 ~DFDE5D.tmp

               4 Datei(en)      1.245.184 Bytes

               0 Verzeichnis(se), 12.111.679.488 Bytes frei

MALWARE (kein vollständiger scan)

Code:

Malwarebytes' Anti-Malware 1.38

Datenbank Version: 2379

Windows 5.1.2600 Service Pack 2
 

16.07.2009 18:25:47

mbam-log-2009-07-16 (18-25-44).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 93942

Laufzeit: 7 minute(s), 46 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 17
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c005c398 (Trojan.Vundo) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\WINDOWS\system32\2E.tmp (Trojan.Downloader) -> No action taken.

c:\WINDOWS\system32\6.tmp (Trojan.Downloader) -> No action taken.

c:\WINDOWS\system32\62.tmp (Trojan.Downloader) -> No action taken.

c:\WINDOWS\system32\9.tmp (Trojan.Downloader) -> No action taken.

c:\WINDOWS\system32\E.tmp (Trojan.Downloader) -> No action taken.

c:\WINDOWS\system32\2.tmp (Trojan.Agent) -> No action taken.

c:\WINDOWS\system32\3.tmp (Trojan.Agent) -> No action taken.

c:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.

c:\WINDOWS\system32\5.tmp (Trojan.Agent) -> No action taken.

c:\WINDOWS\system32\7.tmp (Trojan.Agent) -> No action taken.

c:\WINDOWS\system32\8.tmp (Trojan.Agent) -> No action taken.

c:\WINDOWS\system32\A.tmp (Trojan.Agent) -> No action taken.

c:\WINDOWS\system32\B.tmp (Trojan.Agent) -> No action taken.

c:\WINDOWS\system32\C.tmp (Trojan.Agent) -> No action taken.

c:\WINDOWS\system32\D.tmp (Trojan.Agent) -> No action taken.

c:\WINDOWS\system32\F.tmp (Trojan.Agent) -> No action taken.

c:\WINDOWS\system32\__c005C398.dat (Trojan.Agent) -> No action taken.

_______________________________________________________________________________________________________________
logs ohne internet:

hijackthis

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:13:39, on 16.07.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20583)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Spyware Doctor\pctsTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe

C:\Programme\Spyware Doctor\pctsAuxs.exe

C:\Programme\Spyware Doctor\pctsSvc.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe

C:\Programme\Alice\Signup\AliceCnn.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843

R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll

O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll

O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1242987628382

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1242987609996

O17 - HKLM\System\CCS\Services\Tcpip\..\{469E6E5A-3DDA-46C6-8889-A88CB64E6604}: NameServer = 213.191.74.11 213.191.92.82

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
 

--

End of file - 5151 bytes