Trojaner-Board - Trojaner manuell entfernen?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner manuell entfernen? (https://www.trojaner-board.de/58609-trojaner-manuell-entfernen.html)

Trojaner manuell entfernen?

Hallo Fachleute!
Und schon wieder ein unbedarfter User der sich Plagegeister eingefangen hat und dumme Fragen Stelllt.:balla:

Vorab ich habe schon gegoogelt und auch sonstige Ratschläge abgecheckt, wie:
Software Updates aller installierten Programme auf die neueste Version bringen. Update der Viren-Signaturen des AV.
Vernünftige Ordneransicht Einstellungen.
Abschalten unnötiger Dienste:Firewall aktivieren.

Habe Pc Tool Firewall und den Avast Virenscanner.
Letzterer findet: Win32Tiny-UR Win32Zbot-AJX Win32Frauload-P.Super!!! Die sollen wohl weitere Schadprogramme runter laden sowie Passwörter und Tastatureingaben ausspionieren und an irgendwelche Adressen mit .ru Endung senden.

Ich weiß auch wie ich mir den Tiny eingefangen habe mit einem gefälschten UPS Lieferschein im Anhang einer Mail. Obwohl ich den nicht aufgemacht habe findet ihn Avast unter Dokumente und Einstellungen/.../.../ verstehe ich nicht. Genauen Pfand kann ich im Moment nicht nennen da ich nicht an meine PC bin. Nachdem Avast Sie in den AV Container gesperrt hat, sind sie beim Neustart wieder da. Oder bringt das was wenn ich die im Container tot mache?

Ich denke das hat ja wohl eher was mit der Registry zu tun stimmts?
Aber wie erkenne ich die Schlüssel die da zu löschen sind? Vielleicht im Abgesicheten Modus oder so? Grundsätzlich läuft mein PC alles OK.
Gmer habe ich mal rüber laufen lassen. Allerdings kann ich mit dem Ergebniss nicht viel anfangen. Search an Destroy findet auch nix. Viel Raten immer gleich zu format C. Das würde danach aber für mich locker 5 Tage Arbeit bedeuten (Aufspielen Updaten):pukeface:
Ich bin bereit zu töten :sword2:wer hilft mir!!!

Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein Hijackthis Logfile.

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

In dem Fall ist der Trojaner auf der System Platte.
Du/Er fragt zwar nach "manuell entfernen". Aber in diesem Fall
kann man ihm doch auch den Ratschlag geben seine Systemplatte
neu zu formatieren und WinXp (whatever) neu zu installieren.

Evtl. weniger aufwendig als die manuelle entfernung mit zig Programme, haufen Neustarts. Und am Ende kann man sich nie sicher sein ob man den Trojaner nicht doch gekillt hat.

Diver, das weiß ich alles, Du erzählst mir da nix Neues. ;)
Mir gehts aber erstmal um Systemanalyse und ob sich eben mit etwas Aufwand doch noch was retten läßt.

Formatieren und Neuaufsetzen - gut und schön, aber dann könnten wir das Board im Grunde dichtmachen und jedem neuangemeldeten User gleih den Hinweis geben, hier kann man nicht posten, setz Dein System gleich neu auf!

Das stimmt.

Wobei ich gerade so einen Fall habe. Siehe hier:
http://www.trojaner-board.de/58631-dropper-system-volume-info-verzeichnis-nicht-system-platte.html

Wo System neu draufmachen auch nix bringt. Befall einer "Daten-Platte".
Bin für "einfache" Lösungen wie "Daten auf andere Platten kopieren"... Festplatte formatieren... = Problem behoben... sehr dankbar.
Wüsste nur gerne ob ich es mir damit nicht zu einfach mache.

@diver3000:

In Deinem Fall machst Du es Dir damit sogar zu schwierig. Du müsstest, wie root24 Dir in Deinem Thread schon geantwortet hatte (edit: ups, hat er ja erst danach, sorry), nur die Systemwiederherstellung deaktivieren, neu starten und sie wieder aktivieren.
Aber besprecht das doch der Übersicht halber in Deinem Thread.

@eisentreiber:

Keine voreiligen Schlüsse, selbst wenn es in einigen Fällen mit Neuaufsetzen schneller geht, heißt es nicht, dass das bei Dir der Fall sein muss. Mal sehen, was root24 Dir auf Deine Logfiles hin entgegnen kann. :)

Moin

bei dem Fund
Win32Zbot
sollte man übers "Plattmachen" nachdenken, aber warten wir wie gesagt die Logs ab.

BTW. die neuen Smileys sind ja lustig:uglyhammer:

MFG

Zitat:

Zitat von root24 (Beitrag 366314)

Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein Hijackthis Logfile.

Danke erst mal für die Tipps werde es nach und nach abarbeiten

Code:

Logfile of HijackThis v1.99.1

Scan saved at 19:19:16, on 27.08.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)
 

Running processes:

I:\WINDOWS\System32\smss.exe

I:\WINDOWS\system32\winlogon.exe

I:\WINDOWS\system32\services.exe

I:\WINDOWS\system32\lsass.exe

I:\WINDOWS\system32\Ati2evxx.exe

I:\WINDOWS\system32\svchost.exe

I:\Programme\PC Tools Firewall Plus\FWService.exe

I:\Programme\Windows Defender\MsMpEng.exe

I:\WINDOWS\System32\svchost.exe

I:\Programme\Alwil Software\Avast4\aswUpdSv.exe

I:\Programme\Alwil Software\Avast4\ashServ.exe

I:\WINDOWS\system32\spoolsv.exe

I:\WINDOWS\system32\Ati2evxx.exe

I:\WINDOWS\Explorer.EXE

I:\WINDOWS\eHome\ehRecvr.exe

I:\WINDOWS\eHome\ehSched.exe

I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

I:\WINDOWS\System32\svchost.exe

I:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

I:\WINDOWS\ehome\ehtray.exe

I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

I:\Programme\Windows Defender\MSASCui.exe

I:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe

I:\WINDOWS\system32\ctfmon.exe

I:\WINDOWS\system32\svchost.exe

I:\Programme\FRITZ!DSL\FwebProt.exe

I:\WINDOWS\eHome\ehmsas.exe

I:\WINDOWS\system32\dllhost.exe

I:\Programme\Mozilla Firefox\firefox.exe

I:\WINDOWS\system32\taskmgr.exe

I:\Programme\Alwil Software\Avast4\ashMaiSv.exe

I:\Programme\Alwil Software\Avast4\ashWebSv.exe

I:\Programme\PC Tools Firewall Plus\FirewallGUI.exe

I:\Programme\hijackthis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - I:\Programme\WS_FTP Pro\wsbho2K0.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programme\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar1.dll

O4 - HKLM\..\Run: [HD Tune] I:\PROGRA~1\HDTUNE~1\HDTune.exe

O4 - HKLM\..\Run: [00PCTFW] "I:\Programme\PC Tools Firewall Plus\FirewallGUI.exe" -s

O4 - HKLM\..\Run: [ehTray] I:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [avast!] I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Windows Defender] "I:\Programme\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [AVMFBoxMonitor] "I:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"

O4 - HKCU\..\Run: [XPClean-RegWarner] I:\Programme\XPcleanv5\RegWarner.exe /s

O4 - HKCU\..\Run: [SpybotSD TeaTimer] I:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe

O4 - Startup: FRITZ!webProtect.lnk = I:\Programme\FRITZ!DSL\FwebProt.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: In 1&&1 SoftPhone wählen - I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: i:\programme\fritz!dsl\sarah.dll

O10 - Unknown file in Winsock LSP: i:\programme\fritz!dsl\sarah.dll

O10 - Unknown file in Winsock LSP: i:\programme\fritz!dsl\sarah.dll

O10 - Unknown file in Winsock LSP: i:\programme\fritz!dsl\sarah.dll

O10 - Unknown file in Winsock LSP: i:\programme\fritz!dsl\sarah.dll

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6D8A3B3D-8308-48DA-B1A6-8DE7B1D8B4C9}: NameServer = 192.168.120.252,192.168.120.253

O17 - HKLM\System\CCS\Services\Tcpip\..\{FEA02936-9549-4A2F-AECB-5C395035C978}: NameServer = 192.168.122.252,192.168.122.253

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: WgaLogon - I:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - I:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - I:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - I:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - I:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - I:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - I:\Programme\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - I:\Programme\PC Tools Firewall Plus\FWService.exe

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - i:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe

O23 - Service: Port Reporter (PortReporter) - Unknown owner - I:\Programme\PortReporter\portreporter.exe

O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - I:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe

O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - I:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe

So hier das nächste Log:

Code:

Malwarebytes' Anti-Malware 1.25

Datenbank Version: 1089

Windows 5.1.2600 Service Pack 3
 

22:08:48 27.08.2008

mbam-log-08-27-2008 (22-08-39).txt
 

Scan-Methode: Vollständiger Scan (I:\|Y:\|)

Durchsuchte Objekte: 244950

Laufzeit: 48 minute(s), 49 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> No action taken.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

I:\Programme\Mozilla1.7.13\regxpcom.exe (Trojan.FBrowsingAdvisor) -> No action taken.

I:\Programme\WordToPDF\PrInst.exe (Backdoor.Bot) -> No action taken.

Und das nächste:

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Und Blacklight hat auch nicht gefunden!

Und hier noch ein Bericht von Gmer:

Code:

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2008-08-24 19:12:37

Windows 5.1.2600 Service Pack 2
 
 

---- System - GMER 1.0.14 ----
 

SSDT            \SystemRoot\system32\drivers\pctmp.sys (Memory Monitor Driver/PCTools Research Pty Ltd.)                            ZwAllocateVirtualMemory [0xF7558EEC]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwClose [0xB13AE618]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwCreateKey [0xB13AE4D4]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwDeleteValueKey [0xB13AE9B2]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwDuplicateObject [0xB13AE0AC]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwOpenKey [0xB13AE5AE]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwOpenProcess [0xB13ADFEC]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwOpenThread [0xB13AE050]

SSDT            \SystemRoot\system32\drivers\pctmp.sys (Memory Monitor Driver/PCTools Research Pty Ltd.)                            ZwProtectVirtualMemory [0xF755927E]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwQueryValueKey [0xB13AE6CE]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwRestoreKey [0xB13AE68E]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwSetValueKey [0xB13AE80E]
 

---- User code sections - GMER 1.0.14 ----
 

.text           I:\Programme\Internet Explorer\iexplore.exe[480] USER32.dll!DialogBoxParamW                                         7E37555F 5 Bytes  JMP 444DF301 I:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           I:\Programme\Internet Explorer\iexplore.exe[480] USER32.dll!DialogBoxIndirectParamW                                 7E382032 5 Bytes  JMP 44671667 I:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           I:\Programme\Internet Explorer\iexplore.exe[480] USER32.dll!MessageBoxIndirectA                                     7E38A04A 5 Bytes  JMP 446715E8 I:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           I:\Programme\Internet Explorer\iexplore.exe[480] USER32.dll!DialogBoxParamA                                         7E38B10C 5 Bytes  JMP 4467162C I:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           I:\Programme\Internet Explorer\iexplore.exe[480] USER32.dll!MessageBoxExW                                           7E3A05D8 5 Bytes  JMP 44671574 I:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           I:\Programme\Internet Explorer\iexplore.exe[480] USER32.dll!MessageBoxExA                                           7E3A05FC 5 Bytes  JMP 446715AE I:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           I:\Programme\Internet Explorer\iexplore.exe[480] USER32.dll!DialogBoxIndirectParamA                                 7E3A6B50 5 Bytes  JMP 446716A2 I:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           I:\Programme\Internet Explorer\iexplore.exe[480] USER32.dll!MessageBoxIndirectW                                     7E3B62AB 5 Bytes  JMP 445016B6 I:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
 

---- User IAT/EAT - GMER 1.0.14 ----
 

IAT             I:\WINDOWS\system32\services.exe[864] @ I:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]        00370002

IAT             I:\WINDOWS\system32\services.exe[864] @ I:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]              00370000
 

---- Devices - GMER 1.0.14 ----
 

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                              aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                            aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                            pctfw2.sys (PC Tools TDI Driver/PC Tools)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                           aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                           pctfw2.sys (PC Tools TDI Driver/PC Tools)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                           aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                           pctfw2.sys (PC Tools TDI Driver/PC Tools)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                         pctfw2.sys (PC Tools TDI Driver/PC Tools)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                         aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
 

---- Services - GMER 1.0.14 ----
 

Service         I:\Programme\Microsoft (*** hidden *** )                                                                            [DISABLED] MSSQL$PINNACLESYS                                                                               <-- ROOTKIT !!!

Service         I:\Programme\Microsoft (*** hidden *** )                                                                            [MANUAL] SQLAgent$PINNACLESYS                                                                              <-- ROOTKIT !!!
 

---- Registry - GMER 1.0.14 ----
 

Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32                                   

Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel                    Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@                                  I:\WINDOWS\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b  0xC8 0x28 0x51 0xAF ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32                                   

Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel                    Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@                                  I:\WINDOWS\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b  0x6A 0x9C 0xD6 0x61 ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32                                   

Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel                    Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@                                  I:\WINDOWS\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016  0xFF 0x7C 0x85 0xE0 ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32                                   

Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel                    Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@                                  I:\WINDOWS\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48  0x3E 0x1E 0x9E 0xE0 ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32                                   

Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel                    Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@                                  I:\WINDOWS\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472  0xF5 0x1D 0x4D 0x73 ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32                                   

Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel                    Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@                                  I:\WINDOWS\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d  0x50 0x93 0xE5 0xAB ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32                                   

Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel                    Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@                                  I:\WINDOWS\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b  0xFB 0xA7 0x78 0xE6 ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32                                   

Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel                    Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@                                  I:\WINDOWS\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d  0xAA 0x52 0xC6 0x00 ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32                                   

Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel                    Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@                                  I:\WINDOWS\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3  0xF6 0x0F 0x4E 0x58 ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32                                   

Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel                    Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@                                  I:\WINDOWS\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b  0xB1 0xCD 0x45 0x5A ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32                                   

Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel                    Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@                                  I:\WINDOWS\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6  0x2A 0xB7 0xCC 0xB5 ...

Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32                                   

Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel                    Apartment

Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@                                  I:\WINDOWS\system32\OLE32.DLL

Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2  0xFA 0xEA 0x66 0x7F ...
 

---- EOF - GMER 1.0.14 ----

Und hier das von Combofix:

Code:

ComboFix 08-08-25.01 - Admin 2008-08-27 22:37:50.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1447 [GMT 2:00]

ausgeführt von:: I:\A-Download\sicherheit\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

(((((((((((((((((((((((   Dateien erstellt von 2008-07-27 bis 2008-08-27  ))))))))))))))))))))))))))))))

.
 

2008-08-27 19:53 . 2008-08-27 19:53        <DIR>        d--------        I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes

2008-08-27 19:53 . 2008-08-17 15:01        17,144        --a------        I:\WINDOWS\system32\drivers\mbam.sys

2008-08-27 19:52 . 2008-08-27 22:08        <DIR>        d--------        I:\Programme\Malwarebytes' Anti-Malware

2008-08-27 19:52 . 2008-08-27 19:52        <DIR>        d--------        I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-08-27 19:52 . 2008-08-17 15:01        38,472        --a------        I:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-08-25 17:21 . 2008-08-25 17:21        <DIR>        d--------        I:\Dokumente und Einstellungen\Armin\Anwendungsdaten\PCToolsFirewallPlus

2008-08-24 21:22 . 2008-06-14 19:32        273,024        -----c---        I:\WINDOWS\system32\dllcache\bthport.sys

2008-08-24 21:04 . 2008-08-24 21:04        <DIR>        d--------        I:\WINDOWS\system32\de

2008-08-24 21:04 . 2008-08-24 21:04        <DIR>        d--------        I:\WINDOWS\system32\bits

2008-08-24 21:04 . 2008-08-24 21:04        <DIR>        d--------        I:\WINDOWS\l2schemas

2008-08-24 21:02 . 2008-08-24 21:04        <DIR>        d--------        I:\WINDOWS\ServicePackFiles

2008-08-24 20:49 . 2008-04-14 04:22        4,274,816        ---------        I:\WINDOWS\system32\nv4_disp.dll

2008-08-24 13:43 . 2008-08-24 19:03        250        --a------        I:\WINDOWS\gmer.ini

2008-08-24 09:52 . 2008-08-24 09:52        369        --a------        I:\VA-bilder.lnk

2008-08-24 00:40 . 2008-08-24 00:40        <DIR>        d--------        I:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\DivX

2008-08-21 19:15 . 2008-08-21 19:15        <DIR>        d--------        I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1

2008-08-21 18:57 . 2008-08-27 19:39        <DIR>        d--------        I:\Programme\FRITZ!Box Monitor

2008-08-21 18:55 . 2008-08-21 18:55        <DIR>        d--h-----        I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{411234A5-A7C5-4628-A4D3-64C942F8C38C}

2008-08-21 18:53 . 2008-08-21 18:53        <DIR>        d--------        I:\Programme\Gemeinsame Dateien\Wise Installation Wizard

2008-08-15 18:57 . 2008-04-11 21:04        691,712        -----c---        I:\WINDOWS\system32\dllcache\inetcomm.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-27 20:35        ---------        d---a-w        I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

2008-08-27 17:53        ---------        d-----w        I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FRITZ!

2008-08-27 17:02        ---------        d-----w        I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater

2008-08-27 16:55        ---------        d-----w        I:\Programme\XPcleanv5

2008-08-25 15:24        ---------        d-----w        I:\Dokumente und Einstellungen\Armin\Anwendungsdaten\FRITZ!

2008-08-24 19:43        ---------        d-----w        I:\Programme\Microsoft Baseline Security Analyzer 2

2008-08-24 19:39        ---------        d-----w        I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\OfficeUpdate12

2008-08-24 19:31        ---------        d-----w        I:\Programme\APV

2008-08-24 16:29        ---------        d-----w        I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-08-24 15:54        ---------        d-----w        I:\Programme\Spybot - Search & Destroy

2008-08-21 15:56        ---------        d-----w        I:\Programme\PC Tools Firewall Plus

2008-08-17 21:19        ---------        d-----w        I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\1&1

2008-08-11 19:43        ---------        d-----w        I:\Programme\CIB software GmbH

2008-08-11 19:41        ---------        d--h--w        I:\Programme\InstallShield Installation Information

2008-08-10 07:26        ---------        d-----w        I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Canon

2008-08-05 15:18        7,168        --sha-w        I:\Programme\Thumbs.db

2008-07-23 16:31        ---------        d-----w        I:\Programme\NOS

2008-07-23 16:31        ---------        d-----w        I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS

2008-07-21 07:46        ---------        d-----w        I:\Programme\gs

2008-07-21 05:26        ---------        d-----w        I:\Programme\SomePDF

2008-07-18 19:13        ---------        d-----w        I:\Programme\FRITZ!

2008-07-08 15:47        ---------        d-----w        I:\Programme\Windows Defender

2008-07-07 20:26        253,952        ----a-w        I:\WINDOWS\system32\es.dll

2008-06-28 07:48        ---------        d-----w        I:\Programme\NavExcel Search Toolbar

2008-06-24 16:42        74,240        ----a-w        I:\WINDOWS\system32\mscms.dll

2008-06-23 16:14        826,368        ----a-w        I:\WINDOWS\system32\wininet.dll

2008-06-20 17:46        247,296        ----a-w        I:\WINDOWS\system32\mswsock.dll

2007-03-27 10:13        4        ----a-w        I:\Programme\mwst.dat

2007-01-03 12:36        307,200        ----a-w        I:\Programme\MWST2007.exe

2007-01-03 12:22        5,105        ----a-w        I:\Programme\bestellung.txt

2007-01-03 12:21        560        ----a-w        I:\Programme\bittelesen1.txt

2005-07-14 22:09        8,174        ----a-w        I:\Programme\order.pdf

2003-05-22 07:36        17,549        ----a-w        I:\Programme\stop.gif

2003-05-22 07:33        3,360        ----a-w        I:\Programme\update.gif

2003-05-22 07:30        54,635        ----a-w        I:\Programme\zahnrad.gif

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"XPClean-RegWarner"="I:\Programme\XPcleanv5\RegWarner.exe" [2005-03-08 11:59 1445888]

"SpybotSD TeaTimer"="I:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 18:41 1832272]

"ctfmon.exe"="I:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HD Tune"="I:\PROGRA~1\HDTUNE~1\HDTune.exe" [2006-01-22 10:35 401408]

"00PCTFW"="I:\Programme\PC Tools Firewall Plus\FirewallGUI.exe" [2008-04-11 23:23 2598808]

"ehTray"="I:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34 64512]

"avast!"="I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008]

"AVMFBoxMonitor"="I:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe" [2008-06-03 02:00 1508656]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="I:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 04:22 15360]
 

I:\Dokumente und Einstellungen\Armin\Startmen\Programme\Autostart\

ERUNT AutoBackup.lnk - I:\Programme\ERUNT\AUTOBACK.EXE [2005-10-20 12:04:08 38912]

FRITZ!webProtect.lnk - I:\Programme\FRITZ!DSL\FwebProt.exe [2006-05-16 20:16:18 319538]

Outlook.lnk.disabled [2006-06-28 10:25:11 824]
 

I:\Dokumente und Einstellungen\Admin\Startmen\Programme\Autostart\

FRITZ!webProtect.lnk - I:\Programme\FRITZ!DSL\FwebProt.exe [2006-05-16 20:16:18 319538]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"InstallVisualStyle"= I:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

"InstallTheme"= I:\WINDOWS\Resources\Themes\Royale.theme

"disablecad"= 1 (0x1)
 

[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^ERUNT AutoBackup.lnk]

path=I:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk

backup=I:\WINDOWS\pss\ERUNT AutoBackup.lnkStartup
 

[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]

path=I:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk

backup=I:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
 

[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=I:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=I:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^FirePanel XP.lnk]

path=I:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FirePanel XP.lnk

backup=I:\WINDOWS\pss\FirePanel XP.lnkCommon Startup
 

[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Gigaset WLAN Adapter Monitor.lnk]

path=I:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Gigaset WLAN Adapter Monitor.lnk

backup=I:\WINDOWS\pss\Gigaset WLAN Adapter Monitor.lnkCommon Startup
 

[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]

path=I:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk

backup=I:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup
 

[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ISDNWatch.lnk]

path=I:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ISDNWatch.lnk

backup=I:\WINDOWS\pss\ISDNWatch.lnkCommon Startup
 

[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Service Manager.lnk]

path=I:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Service Manager.lnk

backup=I:\WINDOWS\pss\Service Manager.lnkCommon Startup

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I:

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I:\Programme

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I:\Programme\1&1

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I:\Programme\1&1\1&1 EasyLogin
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe]

1&1 EasyLogin HIDE [X]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1&1_1&1 Upload-Manager]

--a------ 2007-01-22 12:44 839680 I:\Programme\1&1\1&1 Upload-Manager\DAVSRV.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APV]

--a------ 2007-10-25 12:40 192512 I:\Programme\APV\autostart_and_process_viewer.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]

--a------ 2006-05-10 12:12 90112 I:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]

--a------ 2004-09-29 07:15 344064 I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\B'sCLiP]

--a------ 2003-06-06 05:31 1318912 I:\PROGRA~1\B'SCLI~1\Win2K\BsCLiP.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser]

--a------ 2006-04-09 11:19 634880 I:\Programme\Eraser\eraser.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]

--a------ 2006-05-16 20:06 122368 I:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2005-02-16 23:11 49152 I:\Programme\HP\HP Software Update\hpwuSchd2.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2008-04-14 04:22 1695232 I:\Programme\Messenger\msmsgs.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 10:50 155648 I:\WINDOWS\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarAgent]

--a------ 2007-06-18 16:49 98304 I:\Programme\phonostar\ps_agent.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]

--a------ 2007-06-18 16:59 126976 I:\Programme\phonostar\ps_timer.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PMCRemote]

--------- 2004-12-06 09:30 57344 I:\Programme\Pinnacle\Shared Files\Programs\Remote\remoterm.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PMCS]

--------- 2004-11-08 14:01 57344 I:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PRISMSVR.EXE]

--------- 2004-07-02 16:27 295001 I:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE]

--------- 2002-02-04 22:32 53248 I:\Programme\REGSHAVE\REGSHAVE.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]

--------- 2008-08-18 18:41 1832272 I:\Programme\Spybot - Search & Destroy\TeaTimer.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2007-09-25 02:11 132496 I:\Programme\Java\jre1.6.0_03\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2006-09-23 23:01 185784 I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]

--a------ 2006-09-07 19:19 15872 I:\Programme\Unlocker\UnlockerAssistant.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]

-ra------ 2006-03-30 16:45 313472 I:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

--a------ 2006-06-21 19:14 35328 I:\Programme\Winamp\winampa.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Verknüpfung mit der High Definition Audio-Eigenschaftenseite]

--------- 2004-03-17 16:10 61952 I:\WINDOWS\system32\Hdaudpropshortcut.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"PinnacleDriverCheck"=I:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"I:\\Programme\\Adobe\\GoLive CS_DEU\\GoLive.exe"=

"I:\\Programme\\Windows Media Player\\wmplayer.exe"=

"I:\\xampp\\mysql\\bin\\mysqld.exe"=

"I:\\xampp\\apache\\bin\\apache.exe"=

"I:\\Programme\\WS_FTP Pro\\wsftppro.exe"=

"I:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"=

"I:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"=

"I:\\Programme\\Messenger\\msmsgs.exe"=

"I:\\Programme\\FRITZ!Box Monitor\\FRITZBoxMonitor.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015

"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016

"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)
 

R0 BsStor;B.H.A Storage Helper Driver;I:\WINDOWS\system32\drivers\BsStor.sys [2002-06-06 01:07]

R1 aswSP;avast! Self Protection;I:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]

R1 NETDSL;AVM PPP over Ethernet;I:\WINDOWS\system32\DRIVERS\netdsl.sys [2004-04-28 09:03]

R1 pctfw2;pctfw2;I:\WINDOWS\system32\drivers\pctfw2.sys [2008-04-11 23:23]

R1 pctmp;PC Tools Firewall Memory Protection Driver;I:\WINDOWS\system32\drivers\pctmp.sys [2008-02-21 09:56]

R1 pctssipc;PC Tools Security Suite IPC Driver;I:\WINDOWS\system32\drivers\pctssipc.sys [2008-02-21 09:56]

R1 ui11rdr;ui11rdr;I:\WINDOWS\system32\DRIVERS\ui11rdr.sys [2007-01-22 12:43]

R2 aadev;AVM ADSL Adapter Device;I:\WINDOWS\system32\DRIVERS\aadev.sys [2004-04-28 08:58]

R2 aswFsBlk;aswFsBlk;I:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]

R2 AVMPORT;AVMPORT;I:\WINDOWS\system32\drivers\avmport.sys [2001-10-23 01:00]

R3 3xHybrid;Pinnacle PCTV 300i Stereo DVB-T;I:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-12-03 14:55]

R3 AVMWAN;AVM NDIS WAN CAPI Treiber;I:\WINDOWS\system32\DRIVERS\avmwan.sys [2002-09-11 02:00]

R3 cmudax;C-Media High Definition Audio Interface;I:\WINDOWS\system32\drivers\cmudax.sys [2005-05-12 15:39]

S2 PortReporter;Port Reporter;I:\Programme\PortReporter\portreporter.exe [2004-03-30 16:15]

S3 AVMUNET;AVM FRITZ!Box;I:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-04-18 16:15]

S3 FUS2BASE;FRITZ!Card USB;I:\WINDOWS\system32\DRIVERS\fus2base.sys [2002-09-11 02:00]

S3 getPlus(R) Helper;getPlus(R) Helper;I:\Programme\NOS\bin\getPlus_HelperSvc.exe [2008-06-26 10:24]

S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;I:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [2002-01-11 09:19]

S3 NETFWDSL;AVM FRITZ!web DSL PPP;I:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2004-04-28 09:03]

S3 SE4501D;Gigaset USB Adapter 54 Driver;I:\WINDOWS\system32\DRIVERS\SE4501D.sys [2005-01-25 11:34]

S3 WinSecDrv;WinSecDrv;I:\WINDOWS\system32\WinSecDrv.sys []

S4 BsUDF;B.H.A UDF Filesystem;I:\WINDOWS\system32\drivers\BsUDF.sys [2003-06-06 11:23]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{795689f4-4805-11db-95d5-00110983a6e2}]

\Shell\AutoRun\command - D:\preinst.exe
 

*Newly Created Service* - CATCHME

*Newly Created Service* - MBAMSWISSARMY

*Newly Created Service* - MBR

*Newly Created Service* - PROCEXP90

.

Inhalt des "geplante Tasks" Ordners
 

2008-07-18 I:\WINDOWS\Tasks\AppleSoftwareUpdate.job

- I:\Programme\Apple Software Update\SoftwareUpdate.exe [2006-08-29 14:21]
 

2008-08-27 I:\WINDOWS\Tasks\MP Scheduled Scan.job

- I:\Programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
 

2008-01-13 I:\WINDOWS\Tasks\TASK20080113114208.job

- I:\Programme\WS_FTP Pro\wsftppro.exe [2003-12-16 17:00]
 

2008-07-21 I:\WINDOWS\Tasks\TASK20080721095829.job

- I:\Programme\WS_FTP Pro\wsftppro.exe [2003-12-16 17:00]
 

2008-07-21 I:\WINDOWS\Tasks\TASK20080721100240.job

- I:\Programme\WS_FTP Pro\wsftppro.exe [2003-12-16 17:00]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

MSConfigStartUp-AVG7_CC - I:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

MSConfigStartUp-COMODO Firewall Pro - I:\Programme\Comodo\Firewall\CPF.exe

MSConfigStartUp-QuickTime Task - I:\Programme\QuickTime\qttask.exe

MSConfigStartUp-swg - I:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

MSConfigStartUp-Cmaudio - cmicnfg.cpl
 
 

.

------- Zusätzlicher Scan -------

.

FireFox -: Profile - I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\cj7q80kh.default\

FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-27 22:42:04

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

Prozess: I:\WINDOWS\system32\lsass.exe

-> I:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork1.dll

.

Zeit der Fertigstellung: 2008-08-27 22:42:59

ComboFix-quarantined-files.txt  2008-08-27 20:42:53
 

Pre-Run: 26 Verzeichnis(se), 218,445,955,072 Bytes frei

Post-Run: 29 Verzeichnis(se), 218,459,021,312 Bytes frei
 

265        --- E O F ---        2008-08-27 16:58:05

Hier der Link für das file

Das Hijackthis Logfile hast Du mit einer veralteten Version erstellt, nimm bitte die aktuelle Version.

Zitat:

I:\Programme\Mozilla1.7.13\regxpcom.exe

Jetzt sag nicht, Du nutzt noch die uralte Mozilla-Suite?? :pfui:

Einige Dateien sollten noch analysiert werden, stell dazu sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

I:\WINDOWS\system32\WinSecDrv.sys

I:\Programme\WordToPDF\PrInst.exe

D:\preinst.exe

Das listing schau ich mir gleich mal an.

Hier das Ergebniss von Virustotal für I:\Programme\WordToPDF\PrInst.exe.
I:\WINDOWS\system32\WinSecDrv.sys finde ich trotz versteckte Dateien anzeigen nicht

Code:

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2008.8.29.0 2008.08.28 - 

AntiVir 7.8.1.23 2008.08.28 - 

Authentium 5.1.0.4 2008.08.28 - 

Avast 4.8.1195.0 2008.08.28 - 

AVG 8.0.0.161 2008.08.28 - 

BitDefender 7.2 2008.08.28 - 

CAT-QuickHeal 9.50 2008.08.26 - 

ClamAV 0.93.1 2008.08.28 - 

DrWeb 4.44.0.09170 2008.08.28 - 

eSafe 7.0.17.0 2008.08.27 - 

eTrust-Vet 31.6.6054 2008.08.28 - 

Ewido 4.0 2008.08.28 - 

F-Prot 4.4.4.56 2008.08.28 - 

F-Secure 7.60.13501.0 2008.08.28 - 

Fortinet 3.14.0.0 2008.08.28 - 

GData 19 2008.08.28 - 

Ikarus T3.1.1.34.0 2008.08.28 VirTool.Win32.DelfInject.AF 

K7AntiVirus 7.10.428 2008.08.25 - 

Kaspersky 7.0.0.125 2008.08.28 - 

McAfee 5372 2008.08.28 - 

Microsoft 1.3807 2008.08.25 - 

NOD32v2 3396 2008.08.28 - 

Norman 5.80.02 2008.08.28 - 

Panda 9.0.0.4 2008.08.27 - 

PCTools 4.4.2.0 2008.08.28 - 

Prevx1 V2 2008.08.28 - 

Rising 20.59.31.00 2008.08.28 - 

Sophos 4.33.0 2008.08.28 - 

Sunbelt 3.1.1582.1 2008.08.26 - 

Symantec 10 2008.08.28 - 

TheHacker 6.3.0.6.064 2008.08.27 - 

TrendMicro 8.700.0.1004 2008.08.28 - 

ViRobot 2008.8.28.1353 2008.08.28 - 

VirusBuster 4.5.11.0 2008.08.28 - 

Webwasher-Gateway 6.6.2 2008.08.28 - 

weitere Informationen 

File size: 17408 bytes 

MD5...: 1b490c2e6ff41a09cc2491f2e00aa86d 

SHA1..: 6869c6e1172f05dcb218ef3caf5349e39518cc15 

SHA256: 68b8b8639118c2568c8432f4173eb262e6bed85ba303e656109553c3bf75f288 

SHA512: d1c156094b50891c32f99a522c4394917610b182bd0a684484de0f8fd4ca19da

051416806601ef7baeffda99db441be0fa32ed7a992a7b5857eb597250c45982 

PEiD..: - 

TrID..: File type identification

Win32 Executable Borland Delphi 6 (92.2%)

Win32 Executable Generic (2.9%)

Win32 Dynamic Link Library (generic) (2.6%)

Win16/32 Executable Delphi generic (0.7%)

Generic Win/DOS Executable (0.7%) 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x403e98

timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)

machinetype.......: 0x14c (I386)
 

( 8 sections )

name viradd virsiz rawdsiz ntrpy md5

CODE 0x1000 0x2fd8 0x3000 6.42 9e59e1b293f03068b5f6082ef251d90d

DATA 0x4000 0xa0 0x200 1.85 5fe8a1f414117b604dbd34229067b228

BSS 0x5000 0x689 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.idata 0x6000 0x482 0x600 3.53 07196110e79d43e417082f8c1403c8da

.tls 0x7000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rdata 0x8000 0x18 0x200 0.20 753527920e84ff25027979eeb2bca12a

.reloc 0x9000 0x390 0x400 6.21 6997c226329d565a00322ae9fd82a87c

.rsrc 0xa000 0x200 0x200 3.29 188b092b94e03568fb004a8d271f3304
 

( 7 imports ) 

> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, GetThreadLocale, GetStartupInfoA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle

> user32.dll: GetKeyboardType, MessageBoxA

> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey

> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA

> kernel32.dll: lstrlenA, WaitForSingleObject, GetLastError, GetExitCodeProcess, CreateProcessA, CloseHandle

> winspool.drv: OpenPrinterA, ClosePrinter

> shell32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA
 

( 0 exports )

D:\preinst.exe Komisch laufwerk D gibt es bei mir nicht nur I wo XP drauf und Y als Storage.

Ach ja und noch was, vielen Dank für das durchackern der Logs, dass ist ja nicht selbstverständlich:aplaus:

Findest Du eine preinst.exe per Windows-Suchfunktion?
Die von MBAM angemeckerte Datei I:\Programme\WordToPDF\PrInst.exe, das scheint mir ein Fehlalarm zu sein, da ist nur ein Virenscanner angesprungen.

Wegen der anderen Datei, kopiere den kompletten Pfad zu Datei, also

I:\WINDOWS\system32\WinSecDrv.sys

mit STRG+C in die Zwischenablage, klick dann ins Adressfeld bei Virustotal einmal rein und betätige dann die Tastenkombi STRG+V zum Einfügen...lad es dann hoch, welche Meldung kommt dann?

Ich glaub ich bin sie los. Avast hat mir die genau Pfadangabe gezeigt.

Code:

I:\Dokmente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook pst\...\UPS_Lierschein.exe                        Infektion Win32:Tiny-UR [Trj]

I:\Dokmente und Einstellungen\Admin\...\Rechnung____________________________NRDKJH8833423444229.exe                                Infektion Win32: Zbot-AJX [Trj]

I:\Dokmente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst\Persönliche Ordner\...\REC719271.exe        Infektion Win32:Zbot-ALI [Trl]

I:\Dokmente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst\Persönliche Ordner\...\In776162.exe                Infektion Win32:Rootkit-gen [Rtk]

Sie waren wohl nie aktiv sondern klebten wohl ungeöffnet an den Spam Mails die ich ungeöffnete gelöscht hatte. Lösung: .pst Datei in Outlook komprimieren und alles wieder fit.:aplaus::huepp:

Was ist mit meinem vorherigen Posting? Du solltest da noch die eine Datei auswerten! :killpc:

Da werde ich nochmal sicherheitshalber checken. Komme dummerweise erst immer nach dem dunkelwerden "at Home" Dann habe ich aber meist relativ dicke klüsen und bin froh nicht mehr auf den Schirm zu kucken.:(