Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan.Small.fs (https://www.trojaner-board.de/22057-trojan-small-fs.html)

PeZwo 22.09.2005 07:02

Trojan.Small.fs
 
Hilfe.

Seit einigen Tagen scheint mein PC von einem Trojaner befallen zu sein, den ich nicht losbekomme.
Die herkömmlichen Programme AntiVir, Ad-Aware SE Personal, Spybot, Adware Away finden nichts. Das Programm Ewido meldet hingegen den Trojaner "Trojan.Small.fs". Wenn ich ihn durch Ewido lösche, scheint dieser bei einem neuen Checklauf von Ewido weg zu sein. Später (vermutlich nach einem Systemstart) findet Ewido ihn wieder.

Stutzig macht mich jedoch folgende Tatsache:
wenn ich auf die Windows-Update-Seite von Microsoft gehen will, werde ich auf die Seite updatecenter.com umgeleitet. Auf dieser Seite wird mir mitgeteilt, dass sich ein anderer Computer (sogar dessen IP-Adresse wird genannt) zu meinem PC Zugriff verschafft hat und den Ordner MyDocuments ausspioniert. Weiters werden mir verschiedene Programme zum Entfernen von Spy-Programmen angeboten. Wenn ich mit Ewido den Trojaner entferne, komme ich wieder auf die Windows-Update-Seite.

Kann mir jemand weiterhelfen?

Meine aktuelles Hijack-Log sieht wie folgt aus:
Logfile of HijackThis v1.99.1
Scan saved at 07:58:03, on 22.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\spoolsv.exe
J:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
J:\Programme\ewido\security suite\ewidoctrl.exe
J:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
J:\Programme\CardReader2.0\OTiReader.exe
J:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
J:\sapdb\programs\pgm\serv.exe
J:\WINDOWS\Explorer.EXE
J:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.exe
J:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
J:\WINDOWS\system32\nvctrl.exe
J:\WINDOWS\system32\pctspk.exe
J:\WINDOWS\system32\RunDll32.exe
J:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
J:\WINDOWS\system32\rundll32.exe
J:\Programme\QuickTime\qttask.exe
J:\Programme\CardReader2.0\CRBroadCasting.exe
J:\Programme\Winamp\winampa.exe
J:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
J:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
J:\Programme\Logitech\MouseWare\system\em_exec.exe
J:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
J:\Programme\TVgenial\TVgenial.exe
J:\Programme\Skype\Phone\Skype.exe
J:\Programme\Spybot - Search & Destroy\TeaTimer.exe
J:\Programme\Messenger\msmsgs.exe
J:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
J:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
J:\WINDOWS\System32\svchost.exe
J:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
J:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
J:\Programme\Belkin\Bluetooth Software\BTTray.exe
J:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
J:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
J:\Programme\Avant Browser\avant.exe
J:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
J:\WINDOWS\System32\svchost.exe
J:\Programme\ewido\security suite\SecuritySuite.exe
J:\Programme\AVPersonal\AVWUPSRV.EXE
J:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
J:\Programme\AVPersonal\AVGNT.EXE
J:\Programme\AVPersonal\AVSched32.EXE
J:\Programme\Internet Explorer\iexplore.exe
J:\WINDOWS\system32\wuauclt.exe
C:\Internet-Download\AdAware\Hijack This (Trojaner-Software)\HijackThis 1.99.1.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080
F2 - REG:system.ini: UserInit=J:\WINDOWS\system32\userinit.exe
O2 - BHO: HomepageBHO - {893fad3a-931e-4e53-b515-b1426d63799b} - J:\WINDOWS\system32\hpFF4F.tmp (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - J:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] J:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVSCHED32] J:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] J:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVGCtrl] "J:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] J:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "J:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CRBroadCasting] J:\Programme\CardReader2.0\CRBroadCasting.exe
O4 - HKLM\..\Run: [WinampAgent] J:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "J:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [DataLayer] J:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] J:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DAEMON Tools-1033] "J:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [TVgenial] J:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [Skype] "J:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] J:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "J:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] J:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Startup: Avant Browser.lnk = ?
O4 - Startup: Launch Microsoft Office Outlook.lnk = J:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
O4 - Startup: Registration-PCTV.lnk = J:\Programme\Pinnacle\Pinnacle PCTV\ERegister\RegTool.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = J:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = J:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = J:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - J:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://J:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Hervorheben - J:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - J:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Senden an &Bluetooth - J:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Suchen - J:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - J:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - J:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - J:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - J:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - J:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {F2570A0D-001D-477D-93D1-D05EF5EB95CD} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: www.enigmasoftwaregroup.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120587183756
O20 - Winlogon Notify: ckpNotify - J:\WINDOWS\SYSTEM32\ckpNotify.dll
O23 - Service: Adobe LM Service - Adobe Systems - J:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - J:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - J:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - J:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - J:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - J:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - J:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: OTi Card Reader Service - Unknown owner - J:\Programme\CardReader2.0\OTiReader.exe
O23 - Service: SAPDB: WA1 (SAP DBTech-WA1) - SAP AG - J:\SAPDB\WA1\DB\pgm\kernel.exe
O23 - Service: SAPDB: _JSAPDBW (SAP DBTech-_JSAPDBW) - SAP AG - J:\SAPDB\WA1\DB\pgm\kernel.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - J:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - J:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: XServer - SAP AG - J:\sapdb\programs\pgm\serv.exe

chaosman 22.09.2005 08:59

@PeZwo
lasse diese datei
J:\WINDOWS\system32\nvctrl.exe
hier online überprüfen und poste das ergebnis
http://virusscan.jotti.org/de/


wechsle in den abgesicherten modus und fixe mit HJT
2 - BHO: HomepageBHO - {893fad3a-931e-4e53-b515-b1426d63799b} - J:\WINDOWS\system32\hpFF4F.tmp (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - J:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_ 5_7_1.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (file missing)
O9 - Extra button: (no name) - {F2570A0D-001D-477D-93D1-D05EF5EB95CD} - (no file)

neu booten, neues HJT logfile posten

chaosman

PeZwo 22.09.2005 17:52

Hi chaosman.

Danke für deine Hinweise.

Ich konnte den File J:\WINDOWS\system32\nvctrl.exe nicht überprüfen lassen, weil die Webseite heute länger offline war. In der Zwischenzeit hat
ewido nach einem Update den File als "infiziert" erkannt und eliminiert.

Ich habe alle Einträge mittels HJT entfernt und das Ergebnis sieht nun so aus:

Logfile of HijackThis v1.99.1
Scan saved at 18:45:07, on 22.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\spoolsv.exe
J:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
J:\Programme\AVPersonal\AVWUPSRV.EXE
J:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
J:\Programme\ewido\security suite\ewidoctrl.exe
J:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
J:\Programme\CardReader2.0\OTiReader.exe
J:\WINDOWS\Explorer.EXE
J:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
J:\sapdb\programs\pgm\serv.exe
J:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.exe
J:\WINDOWS\system32\pctspk.exe
J:\WINDOWS\system32\RunDll32.exe
J:\Programme\AVPersonal\AVSched32.EXE
J:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
J:\WINDOWS\system32\rundll32.exe
J:\Programme\AVPersonal\AVGNT.EXE
J:\Programme\Logitech\MouseWare\system\em_exec.exe
J:\Programme\QuickTime\qttask.exe
J:\Programme\CardReader2.0\CRBroadCasting.exe
J:\Programme\Winamp\winampa.exe
J:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
J:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
J:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
J:\Programme\D-Tools\daemon.exe
J:\Programme\TVgenial\TVgenial.exe
J:\Programme\Skype\Phone\Skype.exe
J:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
J:\Programme\Spybot - Search & Destroy\TeaTimer.exe
J:\Programme\Messenger\msmsgs.exe
J:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
J:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
J:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
J:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
J:\Programme\Belkin\Bluetooth Software\BTTray.exe
J:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
J:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
J:\Programme\Avant Browser\avant.exe
J:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
J:\WINDOWS\System32\svchost.exe
C:\Internet-Download\AdAware\Hijack This (Trojaner-Software)\HijackThis 1.99.1.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080
F2 - REG:system.ini: UserInit=J:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {893fad3a-931e-4e53-b515-b1426d63799b} - (no file)
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] J:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVSCHED32] J:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] J:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVGCtrl] "J:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] J:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "J:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CRBroadCasting] J:\Programme\CardReader2.0\CRBroadCasting.exe
O4 - HKLM\..\Run: [WinampAgent] J:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "J:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [DataLayer] J:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] J:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DAEMON Tools-1033] "J:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [TVgenial] J:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [Skype] "J:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] J:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "J:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] J:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Startup: Avant Browser.lnk = ?
O4 - Startup: Launch Microsoft Office Outlook.lnk = J:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
O4 - Startup: Registration-PCTV.lnk = J:\Programme\Pinnacle\Pinnacle PCTV\ERegister\RegTool.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = J:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = J:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = J:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - J:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://J:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://J:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Hervorheben - J:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - J:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Senden an &Bluetooth - J:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Suchen - J:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - J:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - J:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - J:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - J:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - J:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: www.enigmasoftwaregroup.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120587183756
O20 - Winlogon Notify: ckpNotify - J:\WINDOWS\SYSTEM32\ckpNotify.dll
O23 - Service: Adobe LM Service - Adobe Systems - J:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - J:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - J:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - J:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - J:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - J:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - J:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: OTi Card Reader Service - Unknown owner - J:\Programme\CardReader2.0\OTiReader.exe
O23 - Service: SAPDB: WA1 (SAP DBTech-WA1) - SAP AG - J:\SAPDB\WA1\DB\pgm\kernel.exe
O23 - Service: SAPDB: _JSAPDBW (SAP DBTech-_JSAPDBW) - SAP AG - J:\SAPDB\WA1\DB\pgm\kernel.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - J:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - J:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: XServer - SAP AG - J:\sapdb\programs\pgm\serv.exe

Der Eintrag O2 - BHO: (no name) - {893fad3a-931e-4e53-b515-b1426d63799b} - (no file)
kommt immer wieder, auch wenn ich ihn lösche. Aber er ist mit keinem File mehr verknüpft. In der Zwischenzeit funktioniert auch wieder das Windows-Update und die Popup-Fenster mit Werbung kommen auch nicht mehr.

Einzig eigenartig ist immer noch das Verhalten von Adobe 7.0
Beim PCHochfahren startet er den Installer, möchte etwas tun und dann kommt ein Fenster mit einer Fehlermeldung. Wenn ich dann auf Cancel drücke, läuft alles normal weiter. Auch der Acrobat. Aber das muß nichts mit dem Trojaner zu tun haben, das werde ich schon in den Griff bekommen.

Vielen Dank jedenfalls erst einmal. Es sieht so aus, als ob der Trojaner weg wäre.


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131