Trojaner-Board - HTML/Rce.Gen und andere Viren

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - HTML/Rce.Gen und andere Viren (https://www.trojaner-board.de/59357-html-rce-gen-andere-viren.html)

HTML/Rce.Gen und andere Viren

hallo zusammen,

ich habe bei mir antivir instaliert und nun kommt ständig eine meldung, dass C:FRANZISKA.vbs und D:FRANZISKA.vbs das erkennungsmuster html-sciptvirus html/rce.gen enthalten.

ich kenne mich mit computern leider gar nicht aus und habe auch keinerlei erfahrung mit viren, sodass ich hoffe, dass mir hier jemand helfen kann.

ich hab jetzt erstmal antivir durchlaufen lassen. der report ist zu lang um ihn hier posten zu können und ich kann ihn auch nicht hochladen, da er knapp 107 kb groß ist. gibt es eine andere möglichkeit, den hier zu übermitteln?

eigentlich wollte ich hier ertsmal so vorgehen wie im thema "scriptvirus ?! html/rce.gen" beschrieben, aber ich weiß nicht ob das geht, da das programm ja schon einige dateien in quarantäne verschoben und umbenannt hat, und außerdem scheint dies nicht der einzige virus zu sein...

mein größtes problem ist im moment allderdings, dass sich der virus auf externe datenträger (usb-stick, sd-karte,...) automatisch kopiert und den file E:FRANZISKA.vbs erstellt. wie bekomm ich den virus da wieder runter? das ist im moment meine größte sorge, weil ich befürchte, dass sich so der virus auf andere computer übertragen könnte.

ich hoffe auf schnelle hilfe und danke euch schonmal
red balloon

hi Red Balloon und :hallo:

Alle externen Laufwerke (HDD, Sticks) anschließen. Entweder gleich formatieren oder alle autorun.inf und *.vbs dateien löschen.

beim einstecken des sticks bitte die shift-taste gedrückt halten, das deaktiviert den autostart für den stick.

====

Lasse Malwarebytes Antimalware dein system scannen, funde löschen lassen, log hier posten.

====

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

===

Start > Suchen: Suche nach folgenden dateien:

autorun.inf
*.vbs

poste die ergebnisse.

gruß

schrauber

hallo schrauber,

danke für die schnelle antwort und die freundliche begrüßung im forum.

ich hab jetzt meine wechseldatenträger "bereinigt" und malwarebytes antimalware scannen lassen, komischerweie hat der aber nichts gefunden. hier der report:

Code:

Malwarebytes' Anti-Malware 1.26

Datenbank Version: 1122

Windows 5.1.2600 Service Pack 2
 

07.09.2008 17:18:04

mbam-log-2008-09-07 (17-18-04).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 107679

Laufzeit: 1 hour(s), 10 minute(s), 38 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

dann hab ich mit rsit gescant. irgendwie öffnete sich nur ein logfile, ich glaube es ist das nicht minimierte:

Code:

Logfile of random's system information tool (written by random/random)

Run by Franzi at 2008-09-07 17:28:05

Microsoft Windows XP Professional Service Pack 2

System drive C: has 194 MB (0%) free of 40 GB

Total RAM: 255 MB (23% free)
 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:28:11, on 07.09.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Programme\Java\jre1.5.0_03\bin\jusched.exe

C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe

C:\programme\softwin\bitdefender8\bdnagent.exe

C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Programme\SlySoft\CloneCD\CloneCDTray.exe

C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Windows Live\Messenger\MsnMsgr.Exe

C:\Programme\Skype\Phone\Skype.exe

C:\Programme\ICQ6\ICQ.exe

C:\Programme\USRobotics\Wireless USB Manager\USR54G.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe

C:\Programme\Softwin\BitDefender8\vsserv.exe

C:\Programme\Skype\Plugin Manager\skypePM.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\wuauclt.exe

D:\RSIT.exe

C:\Programme\trend micro\Franzi.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by FRANZISKA

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe

O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe

O4 - HKLM\..\Run: [BDNewsAgent] "c:\programme\softwin\bitdefender8\bdnagent.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

O4 - HKLM\..\Run: [FRANZISKA] C:\WINDOWS\SYSTEM32\FRANZISKA.vbs

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup:  USRobotics Wireless USB Adapter.lnk = C:\Programme\USRobotics\Wireless USB Manager\USR54G.exe

O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: VPN Client.lnk = ?

O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs:  sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
 

--

End of file - 8899 bytes
 

Registry dump
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2007-09-20 328752]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]

AcroIEToolbarHelper Class - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll [2004-12-14 225280]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll [2004-12-14 225280]
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"Cmaudio"=RunDll32 cmicnfg.cpl []

"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_03\bin\jusched.exe [2005-04-13 36975]

"YeppStudioAgent"=C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe [2005-09-12 40960]

"BDNewsAgent"=c:\programme\softwin\bitdefender8\bdnagent.exe [2005-05-09 8192]

"Acrobat Assistant 7.0"=C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe [2004-12-14 483328]

""= []

"CloneCDTray"=C:\Programme\SlySoft\CloneCD\CloneCDTray.exe [2005-05-19 57344]

"VirtualCloneDrive"=C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe [2005-04-12 45056]

"FRANZISKA"=C:\WINDOWS\SYSTEM32\FRANZISKA.vbs []

"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

"MsnMsgr"=C:\Programme\Windows Live\Messenger\MsnMsgr.Exe [2007-10-18 5724184]

"Skype"=C:\Programme\Skype\Phone\Skype.exe [2008-02-06 21898024]

"ICQ"=C:\Programme\ICQ6\ICQ.exe [2008-08-24 173304]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDNewsAgent]

c:\programme\softwin\bitdefender8\bdnagent.exe [2005-05-09 8192]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

C:\Programme\Messenger\msmsgs.exe [2004-10-13 1694208]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG]

C:\WINDOWS\SiSUSBrg.exe [2002-07-12 106496]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe []
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE [2005-09-23 29696]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^DOKUME~1^ALLUSE~1^Startmenü^Programme^Autostart^Microsoft Office.lnk]

C:\PROGRA~1\MICROS~2\Office10\OSA.EXE [2001-02-13 83360]
 

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

 USRobotics Wireless USB Adapter.lnk - C:\Programme\USRobotics\Wireless USB Manager\USR54G.exe

Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe

Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

VPN Client.lnk - C:\WINDOWS\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLS"=" sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

C:\WINDOWS\system32\WgaLogon.dll [2007-04-10 236928]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Programme\ICQLite\ICQLite.exe"="C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"

"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"

"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0431c446-a31c-11db-b7f9-000b6a6e6484}]

shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe FRANZISKA.vbs
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cbac7a7a-6cee-11db-b77d-000b6a6e6484}]

shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe FRANZISKA.vbs
 
 

List of files/folders created in the last three months
 

2008-09-07 13:05:20 ----D---- C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Malwarebytes

2008-09-07 13:05:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-09-07 12:45:35 ----D---- C:\Programme\trend micro

2008-09-07 12:45:33 ----D---- C:\rsit

2008-09-07 02:17:02 ----D---- C:\Programme\Avira

2008-09-07 02:17:02 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

2008-08-28 23:43:21 ----D---- C:\WINDOWS\system32\CatRoot_bak

2008-08-14 23:43:53 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$

2008-08-14 23:43:44 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$

2008-08-14 23:43:33 ----HDC---- C:\WINDOWS\$NtUninstallKB953839$

2008-08-14 23:42:02 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$

2008-08-14 23:40:20 ----HDC---- C:\WINDOWS\$NtUninstallKB951072-v2$

2008-08-14 23:40:06 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$

2008-08-13 21:03:41 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$

2008-07-09 21:11:31 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$

2008-07-01 18:24:56 ----D---- C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\ICQ

2008-07-01 18:23:53 ----D---- C:\Programme\ICQ6

2008-06-25 00:34:10 ----SHD---- C:\found.000

2008-06-25 00:15:56 ----D---- C:\WINDOWS\system32\Adobe

2008-06-22 01:54:30 ----A---- C:\WINDOWS\ScreenHunter.INI

2008-06-22 01:49:26 ----D---- C:\Programme\Wisdom-soft ScreenHunter 5 Free

2008-06-21 23:26:14 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$

2008-06-21 17:45:28 ----D---- C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Condrey Corporation

2008-06-19 20:08:02 ----D---- C:\Programme\BrainVoyager Brain Tutor

2008-06-10 23:47:45 ----D---- C:\Programme\MSECache

2008-06-10 21:02:50 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$

2008-06-10 21:02:43 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$

2008-06-10 21:02:36 ----HDC---- C:\WINDOWS\$NtUninstallKB950760$
 

List of drivers
 

R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2004-08-04 41472]

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []

R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-06-27 75072]

R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]

R2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys []

R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2006-04-22 8064]

R2 FILESpy;FILESpy; \??\C:\Programme\Softwin\BitDefender8\filespy.sys []

R2 REGSpy;REGSpy; \??\C:\Programme\Softwin\BitDefender8\regspy.sys []

R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []

R3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys [2005-12-15 1368000]

R3 DNE;Deterministic Network Enhancer Miniport; C:\WINDOWS\system32\DRIVERS\dne2000.sys [2006-10-02 126864]

R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2005-05-03 27392]

R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2005-04-12 4608]

R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service; C:\WINDOWS\system32\DRIVERS\fetnd5b.sys [2003-11-11 41984]

R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2004-08-03 1897408]

R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]

R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]

R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]

R3 USRWGU(USR);USRobotics Wireless USB Adapter(USR); C:\WINDOWS\system32\DRIVERS\USRWGU.sys [2005-12-29 408064]

R3 ZDPSp50;ZDPSp50 NDIS Protocol Driver; C:\WINDOWS\System32\Drivers\ZDPSp50.sys [2004-10-25 17664]

S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2005-05-17 5315]

S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\System32\DRIVERS\fetnd5.sys [2001-08-17 27165]

S3 NTSIM;NTSIM; \??\C:\WINDOWS\system32\ntsim.sys []

S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2004-08-03 25856]

S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

S3 vsdatant;vsdatant; \??\C:\WINDOWS\system32\vsdatant.sys []

S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
 

List of services
 

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-06-12 68865]

R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-08-07 149761]

R2 bdss;BitDefender Scan Server; C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe [2005-01-24 69632]

R2 CVPND;Cisco Systems, Inc. VPN Service; C:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2006-11-10 1504304]

R2 LexBceS;LexBce Server; C:\WINDOWS\system32\LEXBCES.EXE [2002-12-19 286720]

R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]

R2 VSSERV;BitDefender Virus Shield; C:\Programme\Softwin\BitDefender8\vsserv.exe [2005-05-31 90112]

R2 XCOMM;BitDefender Communicator; C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe [2005-06-02 69632]

S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2006-11-26 69632]

S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]

S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]

S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]

S3 WLSetupSvc;Windows Live Setup Service; C:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]
 

-----------------EOF-----------------

und zu guter letzt das ergebnis des suchens für autorun.inf mit dateipfad:
AUTORUN.INF in C:/Dokumente und Einstellungen/Franzi/Desktop/Software/Office_XP_CD
und
autoraun.inf/ in C:/

und für *.vbs:
neun dateien im ordner C:/WINDOWS/sytsem32 und eine im ordner C:/WINDOWS/ServicePackFiles/i386

mir sagt das alles nicht so viel, aber ich hoffe ich hab das einigermaßen richtig gemacht und du kannst damit was anfangen.

gruß
red balloon

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com - GeeksTogo.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme,
die Firewall und evtl. vorhandenes Skript-Blocking deaktivieren.
Liste der zu deaktivierenden Programme. Bei Unklarheiten bitte vorher fragen.
Bitte die Wiederherstellungskonsole nach dieser ausführlichen Anleitung installieren.
.
http://i266.photobucket.com/albums/ii277/sUBs_/RC1.gif
.
Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder erneuern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Anwendung

Schließe alle Anwendungen, wenn Du Combofix laufen lässt.
Mache einen Doppelklick auf die ComboFix.exe und folge den Anweisungen.
Wird eine Infektion gefunden, startet Combofix den Rechner automatisch neu, um die Entfernung zu vervollständigen.
Schließe das Fenster von Combofix nicht, sonst wirst Du einen leeren Desktop zurück behalten.
Wenn der Scan beendet ist, wird ein Logfile erstellt, zu finden unter C:\ComboFix.txt
Nicht vergessen, die deaktivierten Programme wieder zu aktivieren!
Poste den Inhalt des Combofix-Logfiles hier in den Thread.

Hinweis für Mitleser

Bitte Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

gruß

schrauber

ich hab jetzt combofix durchlaufen lassen und es hat auch alles geklappt - hier das ergebnis:

Code:

ComboFix 08-10-04.07 - Franzi 2008-10-05 13:44:57.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.75 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Franzi\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Franzi\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\autorun.inf

D:\Autorun.inf
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_MCHINJDRV
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-09-05 bis 2008-10-05  ))))))))))))))))))))))))))))))

.
 

2008-09-28 22:44 . 2008-09-28 22:44        <DIR>        d--------        C:\Programme\7-Zip

2008-09-07 13:05 . 2008-09-07 13:05        <DIR>        d--------        C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Malwarebytes

2008-09-07 13:05 . 2008-09-07 13:05        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-09-07 13:05 . 2008-09-02 00:16        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-09-07 13:05 . 2008-09-02 00:16        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-09-07 12:45 . 2008-09-07 12:46        <DIR>        d--------        C:\rsit

2008-09-07 12:45 . 2008-09-07 17:28        <DIR>        d--------        C:\Programme\trend micro

2008-09-07 02:17 . 2008-09-07 02:17        <DIR>        d--------        C:\Programme\Avira

2008-09-07 02:17 . 2008-09-07 02:17        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-05 11:54        ---------        d-----w        C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\skypePM

2008-10-05 11:25        ---------        d-----w        C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype

2008-09-28 20:40        ---------        d-----w        C:\Programme\EA GAMES

2008-09-22 17:33        ---------        d-----w        C:\Programme\ICQ6

2008-09-07 02:44        ---------        d-----w        C:\Programme\Basement Softworks

2008-09-07 02:37        ---------        d-----w        C:\Programme\Spybot - Search & Destroy

2008-09-07 02:37        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-09-07 02:36        ---------        d-----w        C:\Programme\Spyware Doctor

2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll

2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll

2008-07-18 20:07        270,880        ----a-w        C:\WINDOWS\system32\mucltui.dll

2008-07-18 20:07        210,976        ----a-w        C:\WINDOWS\system32\muweb.dll

2008-07-13 19:53        22,200        ----a-w        C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2008-07-07 20:30        253,952        ----a-w        C:\WINDOWS\system32\es.dll

2008-03-18 23:42        32        ----a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-06 21898024]

"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-09-01 173304]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 36975]

"YeppStudioAgent"="C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe" [2005-09-12 40960]

"BDNewsAgent"="C:\Programme\Softwin\BitDefender8\bdnagent.exe" [2005-05-09 8192]

"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]

"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 57344]

"VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2005-04-12 45056]

"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

 USRobotics Wireless USB Adapter.lnk - C:\Programme\USRobotics\Wireless USB Manager\USR54G.exe [2006-04-14 663552]

Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2006-11-26 25214]

Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-11-26 113664]

Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

VPN Client.lnk - C:\WINDOWS\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico [2008-04-10 6144]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.X264"= x264vfw.dll

"VIDC.FFDS"= ffdshow.ax

"msacm.l3fhg"= mp3fhg.acm

"msacm.divxa32"= divxa32.acm
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^DOKUME~1^ALLUSE~1^Startmenü^Programme^Autostart^Microsoft Office.lnk]

path=C:\DOKUME~1\ALLUSE~1\Startmenü\Programme\Autostart\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDNewsAgent]

--a------ 2005-05-09 12:19 8192 c:\Programme\Softwin\BitDefender8\bdnagent.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG]

--a------ 2002-07-12 18:15 106496 C:\WINDOWS\SiSUSBrg.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programme\\Messenger\\msmsgs.exe"=

"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

"C:\\Programme\\ICQ6\\ICQ.exe"=

"C:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R2 FILESpy;FILESpy;C:\Programme\Softwin\BitDefender8\filespy.sys [2005-07-13 13985]

S3 USRWGU(USR);USRobotics Wireless USB Adapter(USR);C:\WINDOWS\system32\DRIVERS\USRWGU.sys [2005-12-29 408064]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0431c446-a31c-11db-b7f9-000b6a6e6484}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe FRANZISKA.vbs
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cbac7a7a-6cee-11db-b77d-000b6a6e6484}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe FRANZISKA.vbs

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKLM-Run-FRANZISKA - C:\WINDOWS\SYSTEM32\FRANZISKA.vbs

HKLM-Run-Cmaudio - cmicnfg.cpl

MSConfigStartUp-SpybotSD TeaTimer - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
 
 

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\

FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava11.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava12.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava13.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava14.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava32.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJPI150_03.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPOJI610.dll

FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPAdbESD.dll

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-05 13:52:15

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Weitere laufende Prozesse ------------------------

.

C:\WINDOWS\system32\lexbces.exE

C:\WINDOWS\system32\LEXPPS.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe

C:\Programme\Softwin\BitDefender8\vsserv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Skype\Plugin Manager\skypePM.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-10-05 13:58:34 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2008-10-05 11:58:23
 

Vor Suchlauf: 4.262.060.032 Bytes frei

Nach Suchlauf: 4,722,823,168 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
 

172        --- E O F ---        2008-09-19 07:57:29

Gruß
Red Ballon

knapp nen monat für das tool laufen zu lassen ist schon ein guter wert :D

malwarebytes updaten, komplettscan, log posten

===

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

====

Ich möchte prüfen, ob bestimmte Dateien noch auf Deinem System sind, dazu bitte den Text aus der Codebox:

Code:

@echo off

set log="%userprofile%\Desktop\files.txt"

if exist %log% del %log%
 

for %%d in (c d e f g h i j k l m n o p q r s t u v w x y z) do (

    if exist %%d:\ (

        %%d:

        cd \

        dir *.vbs;autorun.inf /s

        dir *.vbs;autorun.inf /ah /s

        attrib

    )

) >> %log%

start notepad %log%

in den Editor (Start => ausführen => notepad (reinschreiben) => OK) kopieren und als findfile.bat mit 'Speichern unter' auf dem Desktop speichern (bei Dateityp auf "All types" umstellen), Du solltest jetzt auf dem Desktop diese Datei finden => findfile.bat => die findfile.bat per Doppelklick starten. Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei files.txt präsentieren. Bitte kopiere den Inhalt hier in den Thread.

Sollte es während der Ausführung des Skriptes zu einer Fehlermeldung "Windows kein Datenträger" kommen, kannst Du beruhigt auf "Weiter" klicken. Das liegt daran, dass ein Datenträger (z. B. ein Kartenlesegerät) leer ist.

tja mein pc ist eben sehr langsam ;)
(wegen umzug und urlaub hat sich das ganze etwas verzögert...)

log malwarebytes

Code:

Malwarebytes' Anti-Malware 1.28

Datenbank Version: 1229

Windows 5.1.2600 Service Pack 2
 

05.10.2008 17:17:01

mbam-log-2008-10-05 (17-17-01).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 101319

Laufzeit: 1 hour(s), 18 minute(s), 17 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

===

log kaspersky - onlinescanner

Code:

-------------------------------------------------------------------------------

 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER

 Sonntag, 5. Oktober 2008 20:55:27

 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

 Version von Kaspersky Online Scanner: 5.0.98.1

 Letztes Update der Antiviren-Datenbanken:  5/10/2008

 Anzahl der Einträge in den Antiviren-Datenbanken: 1155228

-------------------------------------------------------------------------------
 

Scan-Einstellungen:

        Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard

        Archive untersuchen: ja

        Mail-Datenbanken untersuchen: ja
 

Untersuchungsobjekt - Arbeitsplatz:

        A:\

        C:\

        D:\

        E:\

        F:\
 

Untersuchungsergebnisse:

        Untersuchte Objekte insgesamt: 62776

        Viren gefunden: 1

        Infizierte Objekte gefunden: 10

        Verdächtige Objekte gefunden: 0

        Untersuchungszeit: 03:02:43
 

Name des infizierten Objekts / Virusname / Letzte Aktion

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\ICQ\205312653\Messages.mdb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\ICQ\205312653\Owner.mdb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\ICQ\Application.mdb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\cert8.db        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\content-prefs.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\cookies.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\downloads.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\formhistory.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\key3.db        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\parent.lock        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\permissions.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\places.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\places.sqlite-journal        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Mozilla\Firefox\Profiles\mk8pl88e.default\search.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\call256.dbb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\callmember256.dbb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\chat512.dbb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\chatmember256.dbb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\chatmsg1024.dbb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\chatmsg2048.dbb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\chatmsg256.dbb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\chatmsg512.dbb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\contactgroup256.dbb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\dyncontent\bundle.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\index2.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\profile256.dbb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Anwendungsdaten\Skype\franzisal\user1024.dbb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Lokale Einstellungen\temp\Cddb\288768\cddb.db        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Lokale Einstellungen\temp\JETDFE1.tmp        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008100520081006\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Franzi\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen

C:\System Volume Information\_restore{D09521F7-56F6-4C17-B838-E0F8E7B4883C}\RP267\change.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Internet Logs\tvDebug.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\SchedLgU.Txt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\default        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\Internet.evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SAM        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\software        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\system        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\h323log.txt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Temp\tmp00006fdd\tmp00000000        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\WindowsUpdate.log        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen

D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED/[From "Curt Magee" <tkowalczyk@waw.boehringer-ingelheim.com>][Date Thu, 25 May 2006 14:15:45 -0180]/text/[From "POSTBANK" <custsupport_215792831502537@postbank.de>][Date Thu, 25 May 2006 16:20:55 +0200 (MEST)]/html        Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok        übersprungen

D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED/[From "Curt Magee" <tkowalczyk@waw.boehringer-ingelheim.com>][Date Thu, 25 May 2006 14:15:45 -0180]/text/[From "Citibank Deutschland" <operator_800755439056973@citibank.de>][Date Thu, 25 May 2006 19:54:27 -0300]/UNNAMED/[From Harold <DIANE.A@BLUEYONDER.CO.UK>][Date Fri, 26  ... /[From "POSTBANK 2006" <online-support_id_9891720410@postbank.de>][Date Sat, 27 May 2006 01:11:13 +0200 (MEST)]/html        Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok        übersprungen

D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED/[From "Curt Magee" <tkowalczyk@waw.boehringer-ingelheim.com>][Date Thu, 25 May 2006 14:15:45 -0180]/text/[From "Citibank Deutschland" <operator_800755439056973@citibank.de>][Date Thu, 25 May 2006 19:54:27 -0300]/UNNAMED/[From Harold <DIANE.A@BLUEYONDER.CO.UK>][Date Fri, 26 May 20 ... /[From Der Tag - SPIEGEL ONLINE <der-tag@newsletter.spiegel.de>][Date Fri, 26 May 2006 18:05:09 +0200]/UNNAMED        Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok        übersprungen

D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED/[From "Curt Magee" <tkowalczyk@waw.boehringer-ingelheim.com>][Date Thu, 25 May 2006 14:15:45 -0180]/text/[From "Citibank Deutschland" <operator_800755439056973@citibank.de>][Date Thu, 25 May 2006 19:54:27 -0300]/UNNAMED/[From Harold <DIANE.A@BLUEYONDER.CO.UK>][Date Fri, 26 May 2006  ... /[From =?utf-8?Q?J=C3=B6rdis_Schmidt?= <j.schmidt@cpc-ag.de>][Date Fri, 26 May 2006 16:07:52 +0200]/UNNAMED        Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok        übersprungen

D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED/[From "Curt Magee" <tkowalczyk@waw.boehringer-ingelheim.com>][Date Thu, 25 May 2006 14:15:45 -0180]/text/[From "Citibank Deutschland" <operator_800755439056973@citibank.de>][Date Thu, 25 May 2006 19:54:27 -0300]/UNNAMED/[From Harold <DIANE.A@BLUEYONDER.CO.UK>][Date Fri, 26 May 2006 12:0 ... /[From "Michael Teubenbacher" <m.teubenbacher@cpc-ag.de>][Date Fri, 26 May 2006 10:51:22 +0200]/UNNAMED        Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok        übersprungen

D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED/[From "Curt Magee" <tkowalczyk@waw.boehringer-ingelheim.com>][Date Thu, 25 May 2006 14:15:45 -0180]/text/[From "Citibank Deutschland" <operator_800755439056973@citibank.de>][Date Thu, 25 May 2006 19:54:27 -0300]/UNNAMED/[From Harold <DIANE.A@BLUEYONDER.CO.UK>][Date Fri, 26 May 2006 12:01:03 +0700]/UNNAMED        Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok        übersprungen

D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED/[From "Curt Magee" <tkowalczyk@waw.boehringer-ingelheim.com>][Date Thu, 25 May 2006 14:15:45 -0180]/text/[From "Citibank Deutschland" <operator_800755439056973@citibank.de>][Date Thu, 25 May 2006 19:54:27 -0300]/UNNAMED        Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok        übersprungen

D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED/[From "Curt Magee" <tkowalczyk@waw.boehringer-ingelheim.com>][Date Thu, 25 May 2006 14:15:45 -0180]/text        Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok        übersprungen

D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox/[From "Haynes Terrence" <evqomyirk@pechiney.com>][Date   Thu, 25 May 2006 12:44:23 -0000]/UNNAMED        Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.ok        übersprungen

D:\Thunderbird\Profiles\gudll1it.default\Mail\Local Folders\Inbox        MailBerkeleymboxx: infiziert - 9        übersprungen
 

Die Untersuchung wurde abgeschlossen.

===

files.txt

Code:

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: C49B-C9BD
 

 Verzeichnis von C:\Dokumente und Einstellungen\Franzi\Desktop\Software\Office_XP_CD
 

27.02.2001  18:09               193 AUTORUN.INF

               1 Datei(en)            193 Bytes
 

 Verzeichnis von C:\WINDOWS\ServicePackFiles\i386
 

17.07.2004  11:35            85.813 adsutil.vbs

               1 Datei(en)         85.813 Bytes
 

 Verzeichnis von C:\WINDOWS\system32
 

02.04.2003  14:00            98.604 eventquery.vbs

02.04.2003  14:00           168.720 pagefileconfig.vbs

02.04.2003  14:00            36.045 prncnfg.vbs

02.04.2003  14:00            25.679 prndrvr.vbs

02.04.2003  14:00            21.806 prnjobs.vbs

02.04.2003  14:00            32.871 prnmngr.vbs

02.04.2003  14:00            29.878 prnport.vbs

02.04.2003  14:00            16.046 prnqctl.vbs

02.04.2003  14:00             3.758 pubprn.vbs

               9 Datei(en)        433.407 Bytes
 

 Verzeichnis von C:\WINDOWS\system32\dllcache
 

02.04.2003  14:00            98.604 evtquery.vbs

02.04.2003  14:00           168.720 pagefile.vbs

02.04.2003  14:00            36.045 prncnfg.vbs

02.04.2003  14:00            25.679 prndrvr.vbs

02.04.2003  14:00            21.806 prnjobs.vbs

02.04.2003  14:00            32.871 prnmngr.vbs

02.04.2003  14:00            29.878 prnport.vbs

02.04.2003  14:00            16.046 prnqctl.vbs

02.04.2003  14:00             3.758 pubprn.vbs

               9 Datei(en)        433.407 Bytes
 

     Anzahl der angezeigten Dateien:

              20 Datei(en)        952.820 Bytes

               0 Verzeichnis(se),  4.427.620.352 Bytes frei

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: C49B-C9BD

A          C:\AUTOEXEC.BAT

A          C:\Boot.bak

A  SHR     C:\boot.ini

A  SHR     C:\bootfont.bin

A          C:\cmldr

A          C:\ComboFix.txt

A          C:\CONFIG.SYS

A  SH      C:\hiberfil.sys

A          C:\INSTALL.DAT

A  SHR     C:\IO.SYS

A  SHR     C:\MSDOS.SYS

A  SHR     C:\NTDETECT.COM

A  SHR     C:\ntldr

A  SH      C:\pagefile.sys

A   H      C:\sqmdata00.sqm

A   H      C:\sqmdata01.sqm

A   H      C:\sqmdata02.sqm

A   H      C:\sqmdata03.sqm

A   H      C:\sqmdata04.sqm

A   H      C:\sqmdata05.sqm

A   H      C:\sqmdata06.sqm

A   H      C:\sqmdata07.sqm

A   H      C:\sqmdata08.sqm

A   H      C:\sqmdata09.sqm

A   H      C:\sqmdata10.sqm

A   H      C:\sqmdata11.sqm

A   H      C:\sqmdata12.sqm

A   H      C:\sqmdata13.sqm

A   H      C:\sqmdata14.sqm

A   H      C:\sqmdata15.sqm

A   H      C:\sqmdata16.sqm

A   H      C:\sqmdata17.sqm

A   H      C:\sqmdata18.sqm

A   H      C:\sqmdata19.sqm

A   H      C:\sqmnoopt00.sqm

A   H      C:\sqmnoopt01.sqm

A   H      C:\sqmnoopt02.sqm

A   H      C:\sqmnoopt03.sqm

A   H      C:\sqmnoopt04.sqm

A   H      C:\sqmnoopt05.sqm

A   H      C:\sqmnoopt06.sqm

A   H      C:\sqmnoopt07.sqm

A   H      C:\sqmnoopt08.sqm

A   H      C:\sqmnoopt09.sqm

A   H      C:\sqmnoopt10.sqm

A   H      C:\sqmnoopt11.sqm

A   H      C:\sqmnoopt12.sqm

A   H      C:\sqmnoopt13.sqm

A   H      C:\sqmnoopt14.sqm

A   H      C:\sqmnoopt15.sqm

A   H      C:\sqmnoopt16.sqm

A   H      C:\sqmnoopt17.sqm

A   H      C:\sqmnoopt18.sqm

A   H      C:\sqmnoopt19.sqm

A          C:\transcoding.log

 Datenträger in Laufwerk D: ist Daten

 Volumeseriennummer: D0BA-D47C

 Datenträger in Laufwerk D: ist Daten

 Volumeseriennummer: D0BA-D47C

A          D:\0,1020,578192,00.jpg

A          D:\115288673762041597250zvs.pdf

A          D:\Adobe Photoshop 7.0, with serial.exe

A          D:\anekdoteI.doc

A          D:\Anlagen lisa

A          D:\antivir_workstation_winu_de_h.exe

A          D:\Beschlossene Studiengebhren1.doc

A          D:\cpuz-readme.txt

A          D:\denis.zip

A          D:\Happy_Birthday_Kino_streched_vers.1.mpg

A          D:\mbam-setup.exe

A          D:\mp3-Verzeichnis.b4s

A          D:\Neu Microsoft Word-Dokument.doc

A          D:\Nokia_PC_Suite_67_UG_ger.pdf

A          D:\Onepager_Dokumentenerstellung.doc

A          D:\OT16144653167-bahnticket.pdf

A          D:\RSIT.exe

A          D:\sparkasse.doc

A  SH      D:\Thumbs.db

A          D:\zulassungsbogen-mannheim.pdf

Gruß
Red Balloon

Zitat:

D:\Adobe Photoshop 7.0, with serial.exe

irgendwie ist mir die lust vergangen....:koch: