Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF (https://www.trojaner-board.de/59511-hilfe-tr-fakeav-tr-fakealert-aaf.html)

celmis6 09.09.2008 05:59
Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF
 
Hallo liebe Helfer!
Auch mich haben zwei Antivirus-Trojaner befallen. Mein AntiVir hat bei Systemcheck 2 Funde gemacht: TR/FakeAV.AM + TR/Fakealert.AAF. Seitdem kann ich im Internet nicht mehr auf Antivirenseiten zugreifen, mein Bildschirm wurde geändert, es prangt eine Virenmeldung in der Mitte. Außerdem kommt ständig ein Fenster, dass mich auffordert, einen Antivir zu installieren, was ich nicht getan habe. des weiteren werde ich im Internet bei google-Suche auf andere Seiten umgelenkt.

Bitte, bitte helft mir!!

nochdigger 09.09.2008 07:19
Hallo :hallo:

erstelle bitte zuerst ein Hijackthis Log mit dieser umbenannten Datei.
http://mitglied.lycos.de/efunction/t...02/qlketzd.com
editiere bitte aktive Links heraus (http --> hxxp) und deinen Realnamen (z.B. Max Muster --> Mxx Mxxxx).

MFG

celmis6 09.09.2008 15:10
hallo!
danke, dass du mir hilfst!
ich habe versucht, hijack auf meinen computer herunterzuladen, hat nicht funktioniert (Meldung "hijack.exe ist kein Windows23 Programm"). Hab jetzt das Programm auf einem anderen Rechner heruntergeladen und auf meinen Computer installiert, hoffe, das ist ok und verfälscht das Ergebnis nicht.
Das Log lautet:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:02:44, on 09.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\lphccd5j0eedg.exe
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt81.tmp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programme\Freund\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://mail.yahoo.com/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll (file missing)
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=0
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [lphccd5j0eedg] C:\WINDOWS\system32\lphccd5j0eedg.exe
O4 - HKLM\..\Run: [inrhc9d5j0eedg] C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt81.tmp.exe /CR=E378D6B80573F693830D714814CC3DF89C64928ABAA780BA1471EB1777C5B22973E1E0BF3219750508EAAD9C84AB17417C90F183A1E4B0AF2982F32C9F5932AFEC58CC49CB88C7338230B779D0896B0C0F
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Search - hxxp://edits.mywebsearch.com/toolbar...tml?p=ZNfox000
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - hxxp://www2.snapfish.com/SnapfishActivia.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 9696 bytes

nochdigger 09.09.2008 17:02
Hallo

versuche bitte zuerst Malwarebytes laufen zu lassen, lass alles gefundene löschen und poste anschließend das Log, dann sehen wir weiter.

MFG

celmis6 09.09.2008 18:36
so, scan ist jetzt fertig. das bild auf meinem desktop ist verschwunden, ich kann auch wieder auf antivirus-seiten zugreifen. weiß aber nicht, ob wirklich alles weg ist.
hier das log:
Code:
Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1132
Windows 5.1.2600 Service Pack 2

09.09.2008 19:30:19
mbam-log-2008-09-09 (19-30-19).txt

Scan-Methode: Vollständiger Scan (A:\|B:\|C:\|D:\|E:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 262281
Laufzeit: 1 hour(s), 5 minute(s), 26 second(s)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 30
Infizierte Registrierungswerte: 9
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 6
Infizierte Dateien: 34

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt81.tmp.exe (Rogue.Installer) -> Unloaded process successfully.
C:\WINDOWS\system32\lphccd5j0eedg.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\WINDOWS\system32\blphccd5j0eedg.scr (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\screensavercontrol.screensaverinstaller (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\screensavercontrol.screensaverinstaller.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2763e333-b168-41a0-a112-d35f96f410c0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1E0DE227-5CE4-4ea3-AB0C-8B03E1AA76BC} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{53ced2d0-5e9a-4761-9005-648404e6f7e5} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7473d292-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7473d296-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{adb01e81-3c79-4272-a0f1-7b2be7a782dc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{2eff3cf7-99c1-4c29-bc2b-68e057e22340} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3e720452-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{98d9753d-d73b-42d5-8c85-4469cda897ab} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{a6573479-9075-4a65-98a6-19fd29cf7374} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{e79dfbca-5697-4fbd-94e5-5b2a9c7c1612} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/x-f3embed (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphccd5j0eedg (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhc9d5j0eedg (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\ (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Media\WMSDK\Sources\f3PopularScreensavers (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: system32\ -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Starware (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\bin (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\buttons (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\contexts (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\icons (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\xml (Adware.Starware) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\blphccd5j0eedg.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt81.tmp.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt81.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Programme\Starware\brand.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\Setup.exe (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\StarwareConfig.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\bin\Starware.dll (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\buttons\screensaver.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\buttons\Thumbs.db (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\contexts\error.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\contexts\Related.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\contexts\Travel.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\icons\star_16.ico (Adware.Starware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\casino1.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\casino2.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\casino3.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\lphccd5j0eedg.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phccd5j0eedg.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt15.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

nochdigger 09.09.2008 19:00
Hallo

und holla(nd), da ist ja was zusammen gekommen...

Dann schicken wir mal Combofix hinterher
Zitat:
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
poste bitte anschließend wieder das entstandene Log.

MFG

celmis6 09.09.2008 19:31
während der analyse mit ccleaner hat avira antivir abermals zwei virenmeldungen angezeigt: VBS-Scriptvirus VBS/Agent.1002 und der bereits bekannte TR/FakeAV.AM. ich habe ccleaner analyse fertiggestellt und alle angezeigten fehler behoben. soll ich nun trotz der virenmeldungen mit combofix weitermachen oder vorher etwas anderes wiederholen?

nochdigger 09.09.2008 21:22
Hallo

schicke erstmal Combofix übers System.
Wo wurde der Fund gemacht (Pfad/Dateiname)?

MFG

celmis6 09.09.2008 21:30
danke für die rasche antwort!! anbei die antivir meldungen:

1)
In der Datei 'C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\nsz3.tmp\euladlg.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/FakeAV.AM' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

2)
In der Datei 'C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\nsv3.tmp\euladlg.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/FakeAV.AM' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

3)
In der Datei 'C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt6.tmp.vbs'
wurde ein Virus oder unerwünschtes Programm 'VBS/Agent.1002' [virus] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

4)
In der Datei 'C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt5.tmp.vbs'
wurde ein Virus oder unerwünschtes Programm 'VBS/Agent.1002' [virus] gefunden.
Ausgeführte Aktion: Datei löschen

so, ich lass dann mal combofix drüber laufen...

mfg

celmis6 09.09.2008 21:32
anbei das letzte malware scan-ergebnis (hab ihn nochmals drüberlaufen lassen)

Code:
Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1132
Windows 5.1.2600 Service Pack 2

09.09.2008 22:31:22
mbam-log-2008-09-09 (22-31-22).txt

Scan-Methode: Vollständiger Scan (A:\|B:\|C:\|D:\|E:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 235986
Laufzeit: 1 hour(s), 28 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\tdsspopup.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup1.url (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup2.url (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup3.url (Malware.Trace) -> Quarantined and deleted successfully.

nochdigger 09.09.2008 21:38
Hallo

Zitat:
so, ich lass dann mal combofix drüber laufen...
gut nach dem Combofix erstelle bitte ein Log mit der Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG

celmis6 09.09.2008 22:05
sorry, hat etwas gedauert, mein pc ist nicht mehr der schnellste...
hier einmal das combofix-log:

Code:
ComboFix 08-09-05.12 - Hecher 2008-09-09 22:35:58.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.611 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Hecher\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
ADS - svchost.exe: deleted 68 bytes in 1 streams.
ADS - ntoskrnl.exe: deleted 228 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((  Weitere L”schungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Blacky.HECHER\Cookies\blacky@komtrack[1].txt
C:\Dokumente und Einstellungen\Blacky.HECHER\Cookies\blacky@serving-sys[2].txt
C:\Dokumente und Einstellungen\Hecher\Cookies\hecher@ehg-tiscover.hitbox[2].txt
C:\Dokumente und Einstellungen\Hecher\Cookies\hecher@komtrack[2].txt
C:\WINDOWS\jestertb.dll

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


(((((((((((((((((((((((  Dateien erstellt von 2008-08-09 bis 2008-09-09  ))))))))))))))))))))))))))))))
.

2008-09-09 20:07 . 2008-09-09 20:07        <DIR>        d--------        C:\Programme\CCleaner
2008-09-09 18:22 . 2008-09-09 18:22        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware
2008-09-09 18:22 . 2008-09-09 18:22        <DIR>        d--------        C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\Malwarebytes
2008-09-09 18:22 . 2008-09-09 18:22        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2008-09-09 18:22 . 2008-09-08 00:11        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 18:22 . 2008-09-08 00:11        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys
2008-09-09 18:20 . 2008-09-09 18:20        <DIR>        d--------        C:\Programme\Freund_mal
2008-09-09 16:01 . 2008-09-09 16:02        <DIR>        d--------        C:\Programme\Freund

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-09 20:57        ---------        d-----w        C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\Skype
2008-09-09 20:06        ---------        d-----w        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-09 17:33        ---------        d-----w        C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\skypePM
2008-09-07 12:51        ---------        d-----w        C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\AdobeUM
2008-08-16 09:32        ---------        d-----w        C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-08-16 09:32        ---------        d-----w        C:\Programme\DVDVideoSoft
2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll
2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:30        253,952        ----a-w        C:\WINDOWS\system32\es.dll
2008-06-24 16:22        74,240        ----a-w        C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14        826,368        ----a-w        C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39        247,296        ----a-w        C:\WINDOWS\system32\mswsock.dll
2008-01-27 16:04        35,832        ----a-w        C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-02 16:04        32        ----a-w        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ezsid.dat
2007-05-12 17:29        465,520        ----a-w        C:\Programme\msgr8us.exe
2007-01-12 15:04        13,256,032        ----a-w        C:\Programme\PDF Creator.exe
2006-09-18 12:24        62,132        ----a-w        C:\Programme\Uninstall.exe
2006-09-14 14:25        31,236        ----a-w        C:\Programme\changelog.ger.txt
2006-09-14 14:25        30,003        ----a-w        C:\Programme\changelog.txt
2006-09-14 14:15        5,001,216        ----a-w        C:\Programme\emule.exe
2006-09-08 14:15        13,046        ----a-w        C:\Programme\readme.txt
2006-08-30 14:51        638,125        ----a-w        C:\Programme\eMule.chm
2006-03-22 21:12        270,336        ----a-w        C:\Programme\LinkCreator.exe
2005-11-04 13:05        5,100,576        ----a-w        C:\Programme\Firefox Setup 1.0.7.exe
2005-09-17 14:38        34,211,008        ----a-w        C:\Programme\iTunesSetup.exe
2005-06-16 16:34        14,894        ----a-w        C:\Programme\Template.eMuleSkin.ini
2005-06-08 16:12        823,542        ----a-w        C:\Programme\Tetris.exe
2005-05-08 08:01        1,694,551        ----a-w        C:\Programme\Adaware.exe
2005-04-29 17:00        4,276,528        ----a-w        C:\Programme\eMule0.45b-Installer.exe
2005-04-28 15:33        937,001        ----a-w        C:\Programme\slsk156c.exe
2005-04-24 17:09        2,278,937        ----a-w        C:\Programme\eMule0.45b.zip
2005-03-31 18:00        4,700,500        ----a-w        C:\Programme\mh2.zip
2005-03-30 13:24        5,448,742        ----a-w        C:\Programme\sven1.zip
2005-03-30 12:48        5,707,238        ----a-w        C:\Programme\moorhuhn_x-xs.zip
2005-03-20 17:38        19,952        ----a-w        C:\Dokumente und Einstellungen\Blacky.HECHER\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-02-14 15:36        34,752        ----a-w        C:\Dokumente und Einstellungen\Meins\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2002-10-08 16:10        18,401        ----a-w        C:\Programme\license-GER.txt
2002-10-08 16:10        14,971        ----a-w        C:\Programme\license.txt
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"pdfSaver3"="C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe" [2004-09-05 380928]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-11-16 21760296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 8466432]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 32768]
"SpeedTouch USB Diagnostics"="C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-06-14 278528]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-07-18 282624]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"OpwareSE4"="C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 81920]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"nwiz"="nwiz.exe" [2007-06-29 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\eMule0.45b\\emule.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\generals.exe"=
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\WorldBuilder.exe"=
"C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"=
"C:\\Programme\\E-Mule neu\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\game.dat"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 viaraid;viaraid;C:\WINDOWS\system32\DRIVERS\viaraid.sys [2003-10-31 72192]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2005-05-12 1287296]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Run-pdfSaver3 - (no file)
Notify-WgaLogon - (no file)


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\Mozilla\Firefox\Profiles\10z5o2d4.default\
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPMyWebS.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-09 22:54:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-09 23:02:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-09 21:02:26

Pre-Run: 22 Verzeichnis(se), 106,475,687,936 Bytes frei
Post-Run: 24 Verzeichnis(se), 110,531,801,088 Bytes frei

170        --- E O F ---        2008-08-13 10:07:59

celmis6 09.09.2008 22:17
ok, hier die daten aus dem filelist-log (Verzeichnis von C:\Windows\Temp ist leer):

Code:
Verzeichnis von C:\

09.09.2008  23:02            10.603 ComboFix.txt
09.09.2008  22:53    1.610.612.736 pagefile.sys

Verzeichnis von C:\WINDOWS\system32

08.09.2008  16:09            13.676 wpa.dbl
13.08.2008  12:07          609.048 TZLog.log

Verzeichnis von C:\WINDOWS\Prefetch

09.09.2008  23:07            16.894 VERCLSID.EXE-3667BD89.pf
09.09.2008  23:06            42.102 AVWSC.EXE-2F6C3C95.pf
09.09.2008  23:04            32.622 JUCHECK.EXE-03FBF417.pf
09.09.2008  23:04            11.052 JAVA.EXE-1586CEFA.pf
09.09.2008  23:03            18.830 HELPER.EXE-244ABC1F.pf
09.09.2008  23:03          109.336 FIREFOX.EXE-17EE503B.pf
09.09.2008  23:02            13.990 REGEDIT.EXE-1B606482.pf
09.09.2008  23:02            24.178 NOTEPAD.EXE-336351A9.pf
09.09.2008  23:02            30.152 IMAPI.EXE-0BF740A4.pf
09.09.2008  23:02            54.058 WMIPRVSE.EXE-28F301A9.pf
09.09.2008  22:56          114.524 SKYPEPM.EXE-03F1BFBD.pf
09.09.2008  22:56            74.058 WUAUCLT.EXE-399A8E72.pf
09.09.2008  22:56            51.118 ALG.EXE-0F138680.pf
09.09.2008  22:55            27.122 WSCNTFY.EXE-1B24F5EB.pf
09.09.2008  22:55            45.170 IPODSERVICE.EXE-233792DA.pf
09.09.2008  22:55            29.988 RUNDLL32.EXE-35A483DA.pf
09.09.2008  22:55        1.158.400 NTOSBOOT-B00DFAAD.pf
09.09.2008  22:52            22.768 LOGONUI.EXE-0AF22957.pf
09.09.2008  22:52            34.676 DWWIN.EXE-30875ADC.pf
09.09.2008  22:36            21.394 GUARDGUI.EXE-1BD45C30.pf
09.09.2008  22:35            17.080 NIRCMD.COM-223F42C3.pf
09.09.2008  22:35            4.796 HIDEC.EXE-1E46E0B3.pf
09.09.2008  22:35            17.426 RUNDLL32.EXE-36E71144.pf
09.09.2008  22:35            18.988 RUNONCE.EXE-2803F297.pf
09.09.2008  22:35            12.404 GRPCONV.EXE-111CD845.pf
09.09.2008  22:33          139.274 FIREFOX.EXE-1D57670A.pf
09.09.2008  22:33            65.138 UPDATER.EXE-0325006B.pf
09.09.2008  22:26            48.178 AVCENTER.EXE-37584419.pf
09.09.2008  22:06            71.788 AVNOTIFY.EXE-22AE9451.pf
09.09.2008  22:06            72.228 UPDATE.EXE-13D57D76.pf
09.09.2008  22:06            14.876 PREUPD.EXE-358AA1C1.pf
09.09.2008  21:02            51.726 MBAM.EXE-11D8BBD8.pf
09.09.2008  20:07            17.564 CCLEANER.EXE-065E2F3F.pf
09.09.2008  20:06            22.616 CCSETUP211.EXE-289D3138.pf
09.09.2008  19:31            10.522 MBAM-DOR.EXE-05145661.pf
09.09.2008  18:22            23.834 REGSVR32.EXE-25EEFE2F.pf
09.09.2008  18:22            21.630 MBAM-SETUP.TMP-14642B11.pf
09.09.2008  18:22            16.746 MBAM-SETUP.EXE-066EDA0B.pf
09.09.2008  18:21            78.610 COMPONENTLAUNCHER.EXE-10A25719.pf
09.09.2008  18:21            15.564 RUNDLL32.EXE-451FC2C0.pf
09.09.2008  18:20            9.626 MBAMTRAYCTRL.EXE-075285CF.pf
09.09.2008  18:20            23.858 MBAM.EXE-1AFC3ED0.pf
09.09.2008  18:18            9.576 MBAMTRAYCTRL.EXE-1A66C8F0.pf
09.09.2008  18:18            29.890 MBAM.EXE-184B3D23.pf
09.09.2008  16:10            21.792 QLKETZD.COM-2567FAA9.pf
09.09.2008  16:02            22.642 HIJACKTHIS.EXE-08B81E61.pf
09.09.2008  16:00            19.140 HIJACKTHIS.EXE-007BCCC5.pf
09.09.2008  06:44            41.848 DRWTSN32.EXE-2B4B52AC.pf
09.09.2008  06:30            46.714 RUNDLL32.EXE-3858A8A3.pf
09.09.2008  06:16          125.296 ACRORD32.EXE-0EC716D9.pf
09.09.2008  04:33          503.014 Layout.ini
09.09.2008  00:27          107.738 HELPSVC.EXE-2878DDA2.pf
08.09.2008  23:07            69.286 AD-AWARE.EXE-308139F4.pf
08.09.2008  23:02            48.208 AVSCAN.EXE-05AECC0E.pf
08.09.2008  22:52            26.248 .TT81.TMP-278F287F.pf
08.09.2008  22:42            17.756 MSIEXEC.EXE-2F8A8CAE.pf
08.09.2008  22:42            10.906 KCJLBBLM.EXE-03FF4808.pf
08.09.2008  22:41            42.746 GHJOMPDF.EXE-1E5ED60B.pf
08.09.2008  22:40            14.620 SVCHOST.EXE-3530F672.pf
08.09.2008  22:40            14.686 SVCHOST.EXE-0EB47E31.pf
08.09.2008  22:40            17.688 RUNDLL32.EXE-2153773E.pf
08.09.2008  22:40            12.592 WJQS.EXE-1834AD25.pf
08.09.2008  19:35            47.316 RUNDLL32.EXE-448830BB.pf
08.09.2008  19:35            6.412 CNMSE83.EXE-09304C2A.pf
08.09.2008  19:23            84.120 WINWORD.EXE-259486DA.pf
08.09.2008  18:58            18.104 RUNDLL32.EXE-1599D39A.pf
08.09.2008  17:16            42.270 PREPMASTER.EXE-005EB0C5.pf
08.09.2008  17:12            48.170 FOLIENVIEWER2.EXE-170F3F8D.pf
08.09.2008  17:12            21.042 RUNDLL32.EXE-2A94BB85.pf
08.09.2008  17:12            21.186 RUNDLL32.EXE-2E5AF1D7.pf
08.09.2008  16:54            17.876 PFADFINDER.EXE-3519151C.pf
08.09.2008  16:44            52.264 POWERPNT.EXE-019F2E3D.pf
08.09.2008  16:42            72.382 ACRORD32.EXE-2525A870.pf
07.09.2008  18:53            62.244 POWERDVD.EXE-35D9A3BA.pf
07.09.2008  17:43            47.830 EMULE.EXE-0B6B817E.pf
07.09.2008  17:38            90.294 ITUNES.EXE-15E88941.pf
07.09.2008  14:18            25.634 MSTORDB.EXE-31FDF221.pf
07.09.2008  12:45            45.916 ACRORD32INFO.EXE-30CEC19C.pf
07.09.2008  12:41            39.092 MPNSCAN.EXE-0D97832C.pf
07.09.2008  12:41            58.026 MPN30.EXE-399681E3.pf
06.09.2008  22:53            64.908 DFRGNTFS.EXE-269967DF.pf
06.09.2008  22:53            16.170 DEFRAG.EXE-273F131E.pf
06.09.2008  21:17            43.258 RUNDLL32.EXE-29F28A58.pf
06.09.2008  21:15            50.868 WMPLAYER.EXE-09969332.pf
06.09.2008  20:37            13.642 SRV.EXE-35B01693.pf
06.09.2008  20:37            24.498 WEATHER.EXE-053445CC.pf
06.09.2008  20:37            6.230 OEADDON.EXE-2ADBD0D5.pf
06.09.2008  20:37            27.392 ZAN33.EXE-34338E03.pf
06.09.2008  20:36            28.384 ZANGOUNINSTALLER.EXE-076A1C43.pf
06.09.2008  20:36            26.696 ZAN2C.EXE-0A1A3735.pf
06.09.2008  20:36            76.758 RUNDLL32.EXE-13404D23.pf
06.09.2008  20:23            47.624 ZANGOSA.EXE-193C3913.pf
06.09.2008  20:22            31.258 SAI14.TMP-0BA6B429.pf
06.09.2008  20:21            55.668 SETUP.EXE-2EE9E72C.pf
05.09.2008  20:15            17.938 FFMPEG.EXE-03BB1812.pf
05.09.2008  19:26            17.184 FREEYOUTUBEDOWNLOAD.EXE-066EC66E.pf
05.09.2008  19:26            17.886 FREESTUDIOMANAGER.EXE-019C2D18.pf
03.09.2008  19:13            34.958 AVGNT.EXE-36CA4640.pf
02.09.2008  20:28            37.750 RUNDLL32.EXE-264FD60D.pf
28.08.2008  15:52            34.906 SETUP_WM.EXE-19AC5A9B.pf
28.08.2008  15:51            50.290 WMPLAYER.EXE-0996933B.pf
28.08.2008  15:44            29.076 MSPAINT.EXE-11CBB631.pf
24.08.2008  18:24            19.064 RUNDLL32.EXE-12E27DD0.pf
24.08.2008  00:31            63.574 IEXPLORE.EXE-2CA9778D.pf
16.08.2008  11:32            14.818 COMMON.EXE-376F0C4E.pf
16.08.2008  11:32            48.766 IS-3CGD2.TMP-2F453074.pf
16.08.2008  11:32            14.844 FREEYOUTUBEDOWNLOAD.EXE-33F862AC.pf
16.08.2008  11:32            18.460 IS-15TIP.TMP-1FBFE370.pf
15.08.2008  23:06            30.254 RUNDLL32.EXE-227CCD67.pf
15.08.2008  15:35            18.746 TASKMGR.EXE-20256C55.pf
15.08.2008  15:24            25.886 ZAN1CF.EXE-2152C29F.pf
15.08.2008  15:23            58.164 RUNDLL32.EXE-132B2031.pf
15.08.2008  15:11            31.214 SAIF1.TMP-0289ED4A.pf
15.08.2008  14:59            13.104 AU_.EXE-39DFE18D.pf
15.08.2008  14:59            5.890 NSCC.TMP-020AE9E9.pf
15.08.2008  14:59            13.972 UNINSTALL_PLUGIN.EXE-1B14221A.pf
15.08.2008  14:59            19.914 INSTALL_FLASH_PLAYER.EXE-264204C5.pf
15.08.2008  14:33            27.150 EMULE0.49B-INSTALLER1.EXE-22F4BC0D.pf
15.08.2008  11:41            18.384 SCHED.EXE-236A886F.pf
15.08.2008  11:41            49.284 AVGUARD.EXE-3490B18B.pf
13.08.2008  12:07            5.308 TZCHANGE.EXE-02A31019.pf
13.08.2008  11:58            53.468 UPDATE.EXE-26CB048A.pf
13.08.2008  11:58            56.054 UPDATE.EXE-068E1E14.pf
13.08.2008  11:58            58.010 UPDATE.EXE-09E31419.pf

Verzeichnis von C:\WINDOWS

09.09.2008  22:56        1.067.167 WindowsUpdate.log
09.09.2008  22:54                0 0.log
09.09.2008  22:54              159 wiadebug.log
09.09.2008  22:54              227 system.ini
09.09.2008  22:54                50 wiaservc.log
09.09.2008  22:53            2.048 bootstat.dat
09.09.2008  22:52            32.618 SchedLgU.Txt
07.09.2008  18:53              116 NeroDigital.ini
28.08.2008  19:50            11.884 setupapi.log
28.08.2008  15:52            48.879 wmsetup.log
13.08.2008  12:07          211.324 ntdtcsetup.log
13.08.2008  12:07            55.605 ocmsn.log
13.08.2008  12:07            1.374 imsins.log
13.08.2008  12:07          161.163 iis6.log
13.08.2008  12:07          348.782 comsetup.log
13.08.2008  12:07          388.125 tsoc.log
13.08.2008  12:07            22.537 KB952954.log
13.08.2008  12:07          484.161 ocgen.log
13.08.2008  12:07            50.620 msgsocm.log
13.08.2008  12:07        1.006.928 FaxSetup.log
13.08.2008  12:07          157.574 updspapi.log
13.08.2008  12:07            1.374 imsins.BAK
13.08.2008  12:07            15.794 KB946648.log
13.08.2008  12:07            14.282 KB953839.log
13.08.2008  12:07            22.007 KB950974.log
13.08.2008  12:07            35.110 KB951072-v2.log
13.08.2008  12:07            15.258 KB952287.log
13.08.2008  12:07            20.134 KB953838-IE7.log
13.08.2008  12:07            9.541 KB951066.log

Verzeichnis von C:\WINDOWS\tasks

09.09.2008  22:53                6 SA.DAT

Verzeichnis von C:\DOKUME~1\Hecher\LOKALE~1\Temp

09.09.2008  23:08          121.211 filelist.txt
09.09.2008  23:06              634 filelist.zip
09.09.2008  23:04              580 jusched.log
09.09.2008  23:03                0 etilqs_f7RvaXcLW2wHS1Ez5vaO

celmis6 10.09.2008 06:07
neuester trojanerfund: TR/Drop.Softomat.AN - heute früh;

In der Datei 'C:\System Volume Information\_restore{F2F335CA-1810-4872-9C19-DEC1758124EC}\RP1\A0000014.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Softomat.AN' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

irgendwie hab ich das gefühl, dass ich für jeden, den ich loswerd, zwei neue dazubekomm :heulen:

celmis6 10.09.2008 06:10
muss ich mich eigentlich fürchten, dass auf meine passwörter zugegriffen wird (netbanking, email,...)? hab diese zwar nicht gespeichert, aber geht das trotzdem?

nochdigger 10.09.2008 08:47
Hallo

ich würde so langsam aufgrund der vielen verschiedenen Funde, über eine Neuinstallation nachdenken (ich empfehle sie dir).
Der letzte Fund sitzt zwar nur in der Systemwiederherstellung des Laufwerks C:\, aber die Menge machts und ob nun alles entfernt wurde vermag ich nicht zu sagen.

Zitat:
muss ich mich eigentlich fürchten, dass auf meine passwörter zugegriffen wird (netbanking, email,...)? hab diese zwar nicht gespeichert, aber geht das trotzdem?
Gehe doch vom schlechtesten Fall aus dann bist auf der sicheren Seite.
Ändere einfach von einem sauberen Rechner oder nach der Neuinstallation alle deine verwendeten Pass- und Kennwörter.
Du solltest in Zukunft auch unbedingt die Finger von diesen Programmen
Zitat:
C:\Programme\emule.exe
C:\Programme\eMule0.45b
lassen, sie holen dir die Schädlinge erst ins System.
Wenn du Daten sichern möchtest verzichte auf ausführbare Dateien sowie Dateien aus unsicheren Quellen wie P2P.

Überprüfe bitte noch dein System mit dem MBR-Tool
MBR-Tool und poste das Logfile.

MFG

celmis6 10.09.2008 18:09
neu aufsetzen wäre ein problem, wenn ich keine .doc dateien mitnehmen darf. hab die gesamte arbeit für ein ganzes jahr als word-dokumente auf der festplatte. wäre eine katastrophe, wenn ich die löschen müsste. gibts wirklich keinen anderen ausweg (die probleme, die ich aufgrund der viren hatte, sind übrigens weg)
hier das mbr-log:

Code:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

celmis6 10.09.2008 19:27
avira antivir findet jetzt nichts mehr. nachstehend der report.

Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 10. September 2008  19:13

Es wird nach 1606493 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 2)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    SYSTEM
Computername:    BLACKY

Versionsinformationen:
BUILD.DAT    : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7      315649 Bytes  18.07.2008 10:52:32
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  18.07.2008 10:52:32
LUKE.DLL      : 8.1.4.5      164097 Bytes  18.07.2008 10:52:32
LUKERES.DLL  : 8.1.4.0        12545 Bytes  18.07.2008 10:52:32
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 17:00:03
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 17:36:08
ANTIVIR2.VDF  : 7.0.6.94    2998784 Bytes  31.08.2008 17:11:23
ANTIVIR3.VDF  : 7.0.6.136    291840 Bytes  09.09.2008 20:06:46
Engineversion : 8.1.1.28 
AEVDF.DLL    : 8.1.0.5      102772 Bytes  15.04.2008 14:42:21
AESCRIPT.DLL  : 8.1.0.70      319866 Bytes  03.09.2008 17:12:34
AESCN.DLL    : 8.1.0.23      119156 Bytes  15.07.2008 19:06:54
AERDL.DLL    : 8.1.1.1      397683 Bytes  03.09.2008 17:12:33
AEPACK.DLL    : 8.1.2.1      364917 Bytes  15.07.2008 19:06:53
AEOFFICE.DLL  : 8.1.0.23      196987 Bytes  03.09.2008 17:12:31
AEHEUR.DLL    : 8.1.0.51    1397111 Bytes  03.09.2008 17:12:30
AEHELP.DLL    : 8.1.0.15      115063 Bytes  29.05.2008 18:20:10
AEGEN.DLL    : 8.1.0.36      315764 Bytes  22.08.2008 18:10:20
AEEMU.DLL    : 8.1.0.7      430452 Bytes  02.08.2008 12:37:05
AECORE.DLL    : 8.1.1.11      172406 Bytes  03.09.2008 17:12:25
AEBB.DLL      : 8.1.0.1        53617 Bytes  17.07.2008 10:09:47
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  18.07.2008 10:52:32
AVPREF.DLL    : 8.0.2.0        38657 Bytes  18.07.2008 10:52:31
AVREP.DLL    : 8.0.0.2        98344 Bytes  02.08.2008 12:37:03
AVREG.DLL    : 8.0.0.1        33537 Bytes  18.07.2008 10:52:32
AVARKT.DLL    : 1.0.0.23      307457 Bytes  15.04.2008 14:42:20
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  18.07.2008 10:52:31
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  15.04.2008 14:42:21
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  18.07.2008 10:52:32
NETNT.DLL    : 8.0.0.1        7937 Bytes  15.04.2008 14:42:21
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  18.07.2008 10:52:29
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  18.07.2008 10:52:29

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 10. September 2008  19:13

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'raid_tool.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdfSaver3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OpWareSE4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dragdiag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]  Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]  Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]  Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]  Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '109' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 10. September 2008  20:17
Benötigte Zeit:  1:04:34 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  7615 Verzeichnisse wurden überprüft
 457401 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 457400 Dateien ohne Befall
  3046 Archive wurden durchsucht
      5 Warnungen
      0 Hinweise

nochdigger 12.09.2008 23:52
Hallo

du solltest auf jeden Fall nochmal mit SDFix dein System prüfen
SDFix
wie gesagt meine Empfehlung steht:rolleyes:

MFG

celmis6 13.09.2008 10:54
hallo!
anbei SDFix-log ("no trojan files found" - klingt doch ganz gut, oder?)

Code:
SDFix: Version 1.224
Run by Hxxxxr on 13.09.2008 at 11:36

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :
 


                                Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-13 11:43:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\eMule0.45b\\emule.exe"="C:\\Programme\\eMule0.45b\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\generals.exe"="C:\\Programme\\EA GAMES\\Command and Conquer Generals\\generals.exe:*:Enabled:Command & Conquer Generals"
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\WorldBuilder.exe"="C:\\Programme\\EA GAMES\\Command and Conquer Generals\\WorldBuilder.exe:*:Enabled:Command & Conquer Generals Worldbuilder"
"C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"="C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat:*:Enabled:Die Schlacht um Mittelerde (tm)"
"C:\\Programme\\E-Mule neu\\eMule\\emule.exe"="C:\\Programme\\E-Mule neu\\eMule\\emule.exe:*:Enabled:eMule"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\game.dat"="C:\\Programme\\EA GAMES\\Command and Conquer Generals\\game.dat:*:Enabled:game"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Mon  4 Oct 2004      417,792 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.0\Maint.exe"
Thu 27 May 2004        61,440 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.0\uinstrsc.dll"
Tue 17 Oct 2006      304,736 A..H. --- "C:\Programme\Canon\MP Navigator 3.0\Maint.exe"
Tue 17 Oct 2006        61,440 A..H. --- "C:\Programme\Canon\MP Navigator 3.0\uinstrsc.dll"
Sat 13 Nov 2004        37,376 ...H. --- "C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe"

Finished!

nochdigger 13.09.2008 13:24
Hallo

auch wenn jetzt scheinbar nix mehr gefunden wird, würde ich meine Daten sichern und bei nächster Gelegenheit tabula rasa walten lassen.
Wie gesagt, werf diesen Mist
Zitat:
"C:\\Programme\\eMule0.45b\\emule.exe"="C:\\Programme\\eMule0.45b\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\E-Mule neu\\eMule\\emule.exe"="C:\\Programme\\E-Mule neu\\eMule\\emule.exe:*:Enabled:eMule"
von der Platte sonst wirst hier Dauergast.

MFG

celmis6 13.09.2008 13:31
okay, e-mule ist geschichte! ich hab nur noch eine letzte frage. darf ich beim neuaufsetzen meine word-dateien mitnehmen, oder könnte sich da was drin versteckt haben?
ich dank dir vielmals für deine hilfe!!!
:dankeschoen::dankeschoen:

nochdigger 13.09.2008 21:52
Hallo

Zitat:
darf ich beim neuaufsetzen meine word-dateien mitnehmen
sichere sie auf jeden Fall

Zitat:
könnte sich da was drin versteckt haben?
Ja, das kann passieren, ist aber in diesem Fall denke ich eher nicht wahrscheinlich.
Überprüfe die Dateien vor dem Wiederverwenden auf dem neuen System mit einem aktuellem Antivirenprogramm, damit du dir nicht wieder etwas einschleppst.
Du kannst auch Bilder, Filme und Musik sichern, aber alles wie oben erwähnt vorher überprüfen.

MFG

Heidi 16.09.2008 15:49
uhm... kurze Frage (Ich hab nämlich fast genau dasselbe Problem mit den gleichen Kanditaten): Wenn ich eine externe Festplatte ansteck um meine Daten drauf zu schieben (--> =Sicherung), können dann die bösen tierchen (Viren,...) mit rüberwandern und mit die Platte ebenfalls versäuchen? Da sind nur Daten drauf. Keine Programme oder Programmteile (na ja, bis auf den Plattenautostart).

swabedoo 17.09.2008 16:18
An dieser Stelle ein dickes Dankeschön :dankeschoen: an alle. Die Hinweise habe auch mir geholfen, die Plagegeister wieder loszuwerden...


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19