Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   7 Viren bzw. Backdoorprogramme gefunden (https://www.trojaner-board.de/61005-7-viren-bzw-backdoorprogramme-gefunden.html)

marleo 30.09.2008 16:52
7 Viren bzw. Backdoorprogramme gefunden
 
Hallo zusammen!
Ich versuche seit Tagen mehrere von Antivir angezeigte Viren zu entfernen! Mein Antivir Programm hat folgendes gefunden:
Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 30. September 2008  16:19

Es wird nach 1651806 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 2)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    SYSTEM
Computername:    XXX

Versionsinformationen:
BUILD.DAT    : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7      315649 Bytes  22.07.2008 11:48:26
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  22.07.2008 11:48:26
LUKE.DLL      : 8.1.4.5      164097 Bytes  22.07.2008 11:48:26
LUKERES.DLL  : 8.1.4.0        12545 Bytes  22.07.2008 11:48:26
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 14:09:38
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 22:50:50
ANTIVIR2.VDF  : 7.0.6.217    3773440 Bytes  26.09.2008 18:33:47
ANTIVIR3.VDF  : 7.0.6.230      91648 Bytes  30.09.2008 14:16:30
Engineversion : 8.1.1.35 
AEVDF.DLL    : 8.1.0.5      102772 Bytes  18.04.2008 22:24:08
AESCRIPT.DLL  : 8.1.0.76      319867 Bytes  20.09.2008 10:57:10
AESCN.DLL    : 8.1.0.23      119156 Bytes  22.07.2008 11:48:27
AERDL.DLL    : 8.1.1.2      438644 Bytes  20.09.2008 10:57:09
AEPACK.DLL    : 8.1.2.3      364918 Bytes  27.09.2008 18:33:52
AEOFFICE.DLL  : 8.1.0.25      196986 Bytes  20.09.2008 10:57:07
AEHEUR.DLL    : 8.1.0.59    1438071 Bytes  20.09.2008 10:57:06
AEHELP.DLL    : 8.1.0.15      115063 Bytes  21.06.2008 09:44:52
AEGEN.DLL    : 8.1.0.36      315764 Bytes  20.08.2008 10:49:55
AEEMU.DLL    : 8.1.0.7      430452 Bytes  03.08.2008 14:02:04
AECORE.DLL    : 8.1.1.11      172406 Bytes  04.09.2008 20:26:40
AEBB.DLL      : 8.1.0.1        53617 Bytes  22.07.2008 11:48:27
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  22.07.2008 11:48:26
AVPREF.DLL    : 8.0.2.0        38657 Bytes  22.07.2008 11:48:26
AVREP.DLL    : 8.0.0.2        98344 Bytes  03.08.2008 14:02:01
AVREG.DLL    : 8.0.0.1        33537 Bytes  22.07.2008 11:48:26
AVARKT.DLL    : 1.0.0.23      307457 Bytes  18.04.2008 22:24:07
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  22.07.2008 11:48:26
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  18.04.2008 22:24:07
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  22.07.2008 11:48:26
NETNT.DLL    : 8.0.0.1        7937 Bytes  18.04.2008 22:24:07
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  22.07.2008 11:48:23
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  22.07.2008 11:48:23

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 30. September 2008  16:19

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFncKy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFXFER.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemOptimizer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TOSCDSPD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSBattM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2guard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PadExe.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TvsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TCtrlIOHook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZoomingHook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FnKeyHook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CeEKey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmmsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWAGENT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWASER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Smc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '53' Prozesse mit '53' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '61' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\XXX\Desktop\Essays\Dokumente\Profile of Norman England and the Tudor Monarchy.doc
    [WARNUNG]  Eine Exception wurde abgefangen!
    [WARNUNG]  Im Modul aecore.dll ist eine Exception aufgetreten.
Aufruf der Funktion AVEPROC_TestFile in file: \\?\C:\Dokumente und Einstellungen\XXX\Desktop\Essays\Dokumente\Profile of Norman England and the Tudor Monarchy.doc
Fehlerbeschreibung:ACCESS_VIOLATION
  EAX = 0135D002  EBX = 01B5E890
  ECX = 000274B8  EDX = FFFFFFFD
  ESI = 00000000  EDI = 013730f0
  EIP = 015E94E3  EBP = 01361A70
  ESP = 01B5E574  Flg = 00010217
  CS = 00000023  SS = 0000001B
C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP56\A0038098.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4912401f.qua' verschoben!
C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP56\A0038101.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49124022.qua' verschoben!
C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP56\A0038102.sys
    [FUND]      Ist das Trojanische Pferd TR/Agent.wzl
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49124024.qua' verschoben!
C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP56\A0038124.dll
    [FUND]      Ist das Trojanische Pferd TR/TDss.G
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49124049.qua' verschoben!
C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP56\A0038125.dll
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/UltimateDefender.17920
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4912404e.qua' verschoben!
C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP56\A0038126.dll
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.rfv
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49124053.qua' verschoben!
C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP56\A0038127.dll
    [FUND]      Ist das Trojanische Pferd TR/Agent.8704.76
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49124057.qua' verschoben!


Ende des Suchlaufs: Dienstag, 30. September 2008  17:13
Benötigte Zeit: 54:21 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  6815 Verzeichnisse wurden überprüft
 212622 Dateien wurden geprüft
      7 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      7 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 212613 Dateien ohne Befall
  6789 Archive wurden durchsucht
      3 Warnungen
      7 Hinweise

marleo 30.09.2008 16:56
hier folgt jetzt noch das Hijackthis log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:43:22, on 30/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\TOSHIBA\ConfigFree\CFXFER.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Toshiba\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Asz.Citavi.IEAddon.IEPickerButton - {609D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [SVPWUTIL] "C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe" SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SmcService] "C:\PROGRA~1\Sygate\SPF\smc.exe" -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HWSetup] "C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" hwSetUP
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Citavi Picker... - file://C:\Programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute Lite Edition\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute Lite Edition\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Citavi Picker - {619D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: eBay - {670C5F66-0866-4DD7-8A3F-1EDE62C2E8BB} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE11FA69-D128-4C74-A773-C90986404273}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 9351 bytes
Malwarebyte's Anti-Malware meldet keine Fehler o.ä., obwohl vor zwei Tagen waren noch fehler da, die dann entfernt wurden.

Bitte helft mir, das hört sich ja alles echt nicht so gut an :(

marleo 30.09.2008 18:19
und ich habe jetzt auch das malwarebytes' Ant-Malware log rausgesucht:
Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1219
Windows 5.1.2600 Service Pack 2

28/09/2008 17:41:13
mbam-log-2008-09-28 (17-41-13).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 56229
Laufzeit: 8 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\TDSSd104.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1209
Windows 5.1.2600 Service Pack 2

27/09/2008 14:57:09
mbam-log-2008-09-27 (14-57-09).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 14822
Laufzeit: 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dll schannel.dll digest.dll msnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1212
Windows 5.1.2600 Service Pack 2

27/09/2008 15:35:37
mbam-log-2008-09-27 (15-35-37).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 54045
Laufzeit: 5 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhclc9j0e963 (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
und noch eins:

Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1219
Windows 5.1.2600 Service Pack 2

28/09/2008 16:30:06
mbam-log-2008-09-28 (16-30-06).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 57390
Laufzeit: 4 minute(s), 16 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\ (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Quarantined and deleted successfully.
Vielen vielen Dank!! Ich weiss echt nicht mehr weiter..

marleo 30.09.2008 20:04
Kann mir niemand helfen??

Backdoorprogramm BDS/Agent.rfv

Backdoorprogrammes BDS/UltimateDefender.17920

was sind denn das für Programme??

und warum findet denn keins der antispyware programme was?

..Brauche Hilfe!!!!!:confused::(

marleo 30.09.2008 20:13
ich habe jetzt auch nochmal rsit laufen lassen..
hier die logs:

Code:
Logfile of random's system information tool 1.04 (written by random/random)
Run by XXX at 2008-09-30 21:08:58
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 44 GB (76%) free of 57 GB
Total RAM: 510 MB (25% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:09:14, on 30/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\Programme\TOSHIBA\ConfigFree\CFXFER.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Toshiba\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Dokumente und Einstellungen\XXX\Desktop\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\XXX\Desktop\XXX.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Asz.Citavi.IEAddon.IEPickerButton - {609D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [SVPWUTIL] "C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe" SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SmcService] "C:\PROGRA~1\Sygate\SPF\smc.exe" -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HWSetup] "C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" hwSetUP
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Citavi Picker... - file://C:\Programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute Lite Edition\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute Lite Edition\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Citavi Picker - {619D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: eBay - {670C5F66-0866-4DD7-8A3F-1EDE62C2E8BB} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE11FA69-D128-4C74-A773-C90986404273}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 9339 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Click Maintenance.job
C:\WINDOWS\tasks\1-Klick-Wartung.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
Yahoo! Toolbar Helper - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 440384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2008-07-07 1562448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{609D670F-B735-4da7-AC6D-F3BD358E325E}]
Asz.Citavi.IEAddon.IEPickerButton - C:\WINDOWS\system32\mscoree.dll [2007-10-24 282112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - Yahoo! Toolbar mit Pop-Up-Blocker - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 440384]
{D0943516-5076-4020-A3B5-AEFAF26AB263} - Veoh Browser Plug-in - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll [2008-04-01 352256]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Apoint"=C:\Programme\Apoint2K\Apoint.exe [2003-10-30 192512]
"AGRSMMSG"=C:\WINDOWS\AGRSMMSG.exe [2004-10-28 88363]
"CeEKEY"=C:\Programme\TOSHIBA\E-KEY\CeEKey.exe [2005-01-21 675840]
"TPNF"=C:\Programme\TOSHIBA\TouchPad\TPTray.exe [2004-11-29 53248]
"TOSHIBA Accessibility"=C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe [2004-12-07 24576]
"SVPWUTIL"=C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe [2005-02-25 65536]
"Zooming"=C:\WINDOWS\system32\ZoomingHook.exe [2004-07-14 24576]
"TCtryIOHook"=C:\WINDOWS\system32\TCtrlIOHook.exe [2005-02-16 28672]
"TPSMain"=C:\WINDOWS\system32\TPSMain.exe [2005-01-21 266240]
"Tvs"=C:\Programme\TOSHIBA\Tvs\TvsTray.exe [2004-11-12 73728]
"ATIPTA"=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe [2005-02-22 339968]
"SmcService"=C:\PROGRA~1\Sygate\SPF\smc.exe [2004-02-24 2372760]
"avgnt"=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-22 266497]
"HWSetup"=C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe [2004-12-23 28672]
"PadTouch"=C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe [2004-11-17 1077327]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-03-28 413696]
"CFSServ.exe"=CFSServ.exe -NoClient []
"a-squared"=C:\Programme\a-squared Anti-Malware\a2guard.exe [2008-07-31 2131600]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"TOSCDSPD"=C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe [2005-03-02 65536]
"TuneUp MemOptimizer"=C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe [2007-04-27 312328]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe -minimize []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Programme\MSN Messenger\MsnMsgr.Exe /background []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\system32\NeroCheck.exe [2003-07-13 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe [2006-10-13 20058152]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
C:\PROGRA~1\Adobe\ACROBA~2.0\Reader\READER~1.EXE [2005-09-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Cisco Systems VPN Client.lnk]
C:\PROGRA~1\CISCOS~1\VPNCLI~1\vpngui.exe [2004-09-17 1470480]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
C:\PROGRA~1\WinZip\WZQKPICK.EXE [2004-08-16 118784]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^wmplayer.exe]
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\wmplayer.exe []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2005-02-23 61440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-03-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSserv.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispScrSavPage"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"SynchronousMachineGroupPolicy"=0
"SynchronousUserGroupPolicy"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=0
"MaxRecentDocs"=6

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE"="C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"="C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"="C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"="C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\Programme\TOSHIBA\ConfigFree\CFXFER.exe"="C:\Programme\TOSHIBA\ConfigFree\CFXFER.exe:*:Enabled:ConfigFree SUMMIT Engine"
"C:\Programme\PPMate\ppmate.exe"="C:\Programme\PPMate\ppmate.exe:*:Enabled:PPMate"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Veoh Networks\Veoh\VeohClient.exe"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE"="C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent"
"C:\PROGRA~1\GEMEIN~1\MICROW~1\eScanRAD\ESCANRAD.EXE"="C:\PROGRA~1\GEMEIN~1\MICROW~1\eScanRAD\ESCANRAD.EXE:*:Enabled:eScan Remote Administration Tool"
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"="C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"="C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"="C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{96f9d5d8-e742-11db-a1bb-00059a3c7800}]
shell\AutoRun\command - E:\setupSNK.exe

marleo 30.09.2008 20:14
der zweite Teil:

Code:

======File associations======

.reg - open - regedit.exe "%1" %*

======List of files/folders created in the last 1 months======

2008-09-30 21:08:58 ----D---- C:\rsit
2008-09-30 20:27:00 ----A---- C:\WINDOWS\ntbtlog.txt
2008-09-30 20:06:15 ----A---- C:\WINDOWS\gmer.ini
2008-09-30 20:06:11 ----A---- C:\WINDOWS\gmer_uninstall.cmd
2008-09-30 20:06:11 ----A---- C:\WINDOWS\gmer.exe
2008-09-30 20:06:11 ----A---- C:\WINDOWS\gmer.dll
2008-09-27 18:37:51 ----D---- C:\Dokumente und Einstellungen\XXX Steinke\Anwendungsdaten\vlc
2008-09-27 17:43:16 ----D---- C:\Programme\JAP
2008-09-27 01:20:50 ----D---- C:\WatchNow
2008-09-26 15:01:43 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-09-13 11:45:24 ----A---- C:\WINDOWS\system32\TASKMGR.COM
2008-09-13 11:45:24 ----A---- C:\WINDOWS\REGEDIT.COM
2008-09-10 16:16:58 ----HDC---- C:\WINDOWS\$NtUninstallKB938464$
2008-09-10 16:15:37 ----HDC---- C:\WINDOWS\$NtUninstallKB954154_WM11$
2008-09-09 20:15:39 ----D---- C:\Programme\VisualRoute Lite Edition
2008-09-06 17:52:44 ----N---- C:\WINDOWS\system32\msxml3a.dll
2008-09-06 17:36:57 ----D---- C:\Programme\Audible

======List of files/folders modified in the last 1 months======

2008-09-30 20:59:57 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-30 20:46:30 ----D---- C:\WINDOWS\system32\drivers
2008-09-30 20:45:27 ----D---- C:\Programme\Mozilla Firefox
2008-09-30 20:37:54 ----D---- C:\WINDOWS\TEMP
2008-09-30 20:27:00 ----D---- C:\WINDOWS
2008-09-30 20:25:27 ----A---- C:\WINDOWS\SchedLgU.Txt
2008-09-30 19:56:56 ----D---- C:\WINDOWS\Prefetch
2008-09-30 19:26:07 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-30 17:27:06 ----D---- C:\WINDOWS\system32\Restore
2008-09-30 16:15:56 ----D---- C:\Programme\AntiVir PersonalEdition Classic
2008-09-30 16:15:54 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-29 14:08:17 ----D---- C:\Programme\Spybot - Search & Destroy
2008-09-28 22:51:05 ----D---- C:\Dokumente und Einstellungen
2008-09-28 22:24:16 ----SHD---- C:\WINDOWS\Installer
2008-09-28 19:15:09 ----D---- C:\Programme\a-squared Anti-Malware
2008-09-28 18:33:37 ----AD---- C:\Programme
2008-09-28 17:41:12 ----D---- C:\WINDOWS\system32
2008-09-28 17:31:56 ----D---- C:\WINDOWS\system32\CatRoot2
2008-09-28 17:31:49 ----D---- C:\fixwareout
2008-09-27 18:37:15 ----D---- C:\Programme\VideoLAN
2008-09-27 14:58:25 ----D---- C:\WINDOWS\Internet Logs
2008-09-26 15:01:12 ----HD---- C:\WINDOWS\inf
2008-09-23 22:36:39 ----D---- C:\WINDOWS\Minidump
2008-09-23 17:53:03 ----D---- C:\Program Files
2008-09-22 20:29:06 ----D---- C:\Programme\TuneUp Utilities 2007
2008-09-22 16:50:05 ----D---- C:\Programme\ICQ6
2008-09-21 12:55:36 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2008-09-10 16:34:25 ----D---- C:\WINDOWS\Debug
2008-09-10 16:16:59 ----D---- C:\WINDOWS\WinSxS
2008-09-10 16:16:10 ----HD---- C:\WINDOWS\$hf_mig$
2008-09-09 23:33:26 ----D---- C:\WINDOWS\Downloaded Installations
2008-09-09 22:44:31 ----D---- C:\Dokumente und Einstellungen\XXX Steinke\Anwendungsdaten\Adobe
2008-09-09 22:44:30 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-09-09 19:55:14 ----D---- C:\WINDOWS\system32\config
2008-08-31 23:38:56 ----SHD---- C:\RECYCLER
2008-08-31 21:11:52 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ICQ

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgntdd;avgntdd; C:\WINDOWS\SYSTEM32\DRIVERS\avgntdd.sys [2008-07-22 45376]
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-07-22 75072]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 NETDSL;AVM PPP over Ethernet; C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 11264]
R1 sdcplh;sdcplh; C:\WINDOWS\System32\drivers\sdcplh.sys [2006-01-06 55168]
R1 SerTVOutCtlr;TOSHIBA Controls Driver -EPIOMngr; C:\WINDOWS\system32\drivers\EPIOMngr.sys [2004-07-30 6400]
R1 SrvcEKIOMngr;SrvcEKIOMngr; C:\WINDOWS\System32\Drivers\EKIoMngr.sys [2004-07-29 6400]
R1 SrvcSSIOMngr;SrvcSSIOMngr; C:\WINDOWS\System32\Drivers\SSIoMngr.sys [2004-07-29 6400]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-19 21248]
R1 TPwSav;Common Driver; C:\WINDOWS\System32\Drivers\TPwSav.sys [2005-02-25 8704]
R1 wpsdrvnt;wpsdrvnt; \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys []
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-04 12032]
R2 CVPNDRVA;Cisco Systems IPsec Driver; \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys []
R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2004-08-04 87424]
R2 Netdevio;TOSHIBA Network Device Usermode I/O Protocol; C:\WINDOWS\system32\DRIVERS\netdevio.sys [2003-01-29 12032]
R2 wg3n;SyGate for NT, wg3n; C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys [2004-02-02 11914]
R3 AgereSoftModem;TOSHIBA V92 Software Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2004-10-28 1270572]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2004-10-27 2284864]
R3 ApfiltrService;Alps Pointing-device Filter Driver; C:\WINDOWS\system32\DRIVERS\Apfiltr.sys [2004-05-08 101833]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2005-02-23 986624]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-04 14080]
R3 DNE;Deterministic Network Enhancer Miniport; C:\WINDOWS\system32\DRIVERS\dne2000.sys [2003-07-24 139604]
R3 NETFWDSL;AVM FRITZ!web DSL PPP; C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 367104]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 RTL8023xp;Realtek RTL8139/810x/8169/8110 all in one NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys [2004-06-28 69760]
R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2004-08-04 67584]
R3 Tvs;Toshiba Virtual Sound with SRS technologies; C:\WINDOWS\system32\DRIVERS\Tvs.sys [2005-01-08 29184]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-04 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480]
R3 w29n51;Intel(R) PRO/Wireless 2200BG Netzwerkverbindungstreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w29n51.sys [2004-10-29 3222784]
S3 AR5211;Atheros Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\ar5211.sys [2004-12-22 393600]
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2003-05-01 5220]
S3 gmer;gmer; C:\WINDOWS\System32\DRIVERS\gmer.sys [2008-09-30 85969]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 mbr;mbr; \??\C:\DOKUME~1\XXX~1\LOKALE~1\Temp\mbr.sys []
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
S3 sffdisk;SFF-Speicherklassentreiber; C:\WINDOWS\system32\DRIVERS\sffdisk.sys [2004-08-04 11136]
S3 sffp_sd;SFF-Speicherprotokolltreiber für SDBus; C:\WINDOWS\system32\DRIVERS\sffp_sd.sys [2004-08-04 10240]
S3 SMCIRDA;SMSC IrCC Miniport Device Driver; C:\WINDOWS\system32\DRIVERS\smcirda.sys [2004-06-16 46080]
S3 usb_rndisx;USB RNDIS Adapter; C:\WINDOWS\system32\DRIVERS\usb8023x.sys [2005-10-21 12800]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-08-04 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 a2AntiMalware;a-squared Anti-Malware Service; C:\Programme\a-squared Anti-Malware\a2service.exe [2008-07-31 380536]
R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-07-22 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-08-15 149761]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2005-02-23 352256]
R2 AVM IGD CTRL Service;AVM IGD CTRL Service; C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2005-11-21 81920]
R2 CFSvcs;ConfigFree Service; C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe [2004-11-10 36864]
R2 CVPND;Cisco Systems, Inc. VPN Service; C:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2004-09-17 1437712]
R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
R2 MWAgent;MWAgent; C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE [2006-03-31 414208]
R2 SmcService;Sygate Personal Firewall; C:\Programme\Sygate\SPF\smc.exe [2004-02-24 2372760]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 de_serv;AVM FRITZ!web Routing Service; C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe [2005-11-21 315392]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]

-----------------EOF-----------------

marleo 01.10.2008 08:08
hallo nochmal!! was mache ich denn falsch dass mir niemand antwortet?? Ich würde mich wirklich freuen wenn ihr Tipps für mich hättet, oder muss ich neu aufsetzen? Bin verzweifelt und finde auch keine Lösung im Netz!
Hab mittlerweile smitfraud eingesetzt und antivir auf die empfohlenen aggressiven einstellungen gestellt. Luke Filewalker bleibt jetzt immer bei tdssserve.sys hängen..:(
Bitte helft mir!!!!!!!

marleo 01.10.2008 10:47
Zitat:
Zitat von marleo (Beitrag 378534)
antivir auf die empfohlenen aggressiven einstellungen gestellt. Luke Filewalker bleibt jetzt immer bei tdssserve.sys hängen..:(
Bitte helft mir!!!!!!!
also ganz genau hängt er jetzt bei:



Status: Es wird nach versteckten Dateien gesucht!
Letztes Objekt: HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv\


Ich hoffe ihr könnt mir irgendwie weiterhelfen!!! Vielen lieben Dank!!

Sunny 02.10.2008 14:57
Hallo marleo und

http://www.mysmilie.de/generator/ablage/156/257.png


Bitte tue dir und mir den Gefallen und sichere deine Diplomarbeit auf einem USB-Stick oder CD bevor wir anfangen!

Danach bitte das hier abarbeiten:


ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

marleo 02.10.2008 17:03
Hallo!! Vielen Dank für deine Hilfe!! Ich freu mich wirklich, dass ihr hier so supi arbeit macht:)
Und hab auch soweit die wichtigsten daten gesichert!

also hier das log:
Code:
ComboFix 08-10-01.05 - XXX 2008-10-02 17:04:57.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.248 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MCHINJDRV
-------\Legacy_TDSSSERV
-------\Service_TDSSserv


(((((((((((((((((((((((  Dateien erstellt von 2008-09-02 bis 2008-10-02  ))))))))))))))))))))))))))))))
.

2008-10-02 17:10 . 2008-10-02 17:10        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\Startmenü
2008-10-01 11:18 . 2008-10-01 11:18        30,615        --a------        C:\Dokumente und Einstellungen\XXX\x.exe
2008-10-01 11:03 . 2008-10-01 11:03        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\xing shared
2008-10-01 10:30 . 2008-10-01 10:31        <DIR>        d--------        C:\Programme\QuickTime
2008-10-01 10:30 . 2008-10-01 10:30        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Apple
2008-10-01 10:29 . 2008-10-01 10:29        <DIR>        d--------        C:\Programme\Apple Software Update
2008-10-01 10:29 . 2008-10-01 10:29        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-09-30 22:51 . 2008-09-30 22:51        <DIR>        d--------        C:\WINDOWS\Content.IE5
2008-09-30 21:44 . 2008-10-02 15:35        3,376        --a------        C:\WINDOWS\system32\tmp.reg
2008-09-30 21:43 . 2008-09-08 23:38        88,576        --a------        C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-09-30 21:43 . 2008-09-19 12:26        82,944        --a------        C:\WINDOWS\system32\o4Patch.exe
2008-09-30 21:08 . 2008-09-30 21:09        <DIR>        d--------        C:\rsit
2008-09-30 20:33 . 2008-09-30 20:33        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\DoctorWeb
2008-09-30 20:06 . 2008-09-30 20:06        250        --a------        C:\WINDOWS\gmer.ini
2008-09-27 18:39 . 2008-09-27 18:39        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\dwhelper
2008-09-27 18:37 . 2008-09-27 18:37        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\vlc
2008-09-27 17:43 . 2008-09-27 17:44        <DIR>        d--------        C:\Programme\JAP
2008-09-27 01:20 . 2008-09-27 01:20        <DIR>        d--------        C:\WatchNow
2008-09-26 19:34 . 2008-09-26 19:34        <DIR>        d--------        C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\MailFrontier
2008-09-26 15:01 . 2008-09-26 15:01        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-09-26 15:01 . 2008-09-26 15:08        4,212        ---h-----        C:\WINDOWS\system32\zllictbl.dat
2008-09-13 11:59 . 2008-09-30 18:09        0        --a------        C:\23990098.$$$
2008-09-09 20:16 . 2008-09-26 15:11        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\vw
2008-09-09 20:15 . 2008-10-01 11:18        <DIR>        d--------        C:\Programme\VisualRoute Lite Edition
2008-09-06 17:52 . 2001-08-17 22:43        24,576        ---------        C:\WINDOWS\system32\msxml3a.dll
2008-09-06 17:36 . 2008-09-06 17:52        <DIR>        d--------        C:\Programme\Audible
2008-09-06 15:09 . 2008-09-06 15:09        90,112        --a------        C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09        57,344        --a------        C:\WINDOWS\system32\QuickTime.qts
2008-09-04 21:30 . 2008-09-04 21:30        <DIR>        d--------        C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\InterVideo

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-01 09:24        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\AdobeUM
2008-10-01 09:03        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Real
2008-10-01 09:02        499,712        ----a-w        C:\WINDOWS\system32\msvcp71.dll
2008-10-01 08:30        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-10-01 08:08        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-30 18:59        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-30 14:15        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-29 12:08        ---------        d-----w        C:\Programme\Spybot - Search & Destroy
2008-09-28 17:15        ---------        d-----w        C:\Programme\a-squared Anti-Malware
2008-09-27 16:37        ---------        d-----w        C:\Programme\VideoLAN
2008-09-22 18:29        ---------        d-----w        C:\Programme\TuneUp Utilities 2007
2008-09-22 14:50        ---------        d-----w        C:\Programme\ICQ6
2008-09-21 10:55        ---------        d-----w        C:\Programme\Malwarebytes' Anti-Malware
2008-09-09 22:04        38,528        ----a-w        C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 22:03        17,200        ----a-w        C:\WINDOWS\system32\drivers\mbam.sys
2008-08-31 21:38        ---------        d-----w        C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\TuneUp Software
2008-08-31 19:11        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ICQ
2008-08-31 15:01        ---------        d-----w        C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\ICQ
2008-08-30 10:13        ---------        d-----w        C:\Programme\Windows Live
2008-08-30 09:49        ---------        d---a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-30 09:49        ---------        d-----w        C:\Programme\SpywareBlaster
2008-08-29 20:28        ---------        d-----w        C:\Programme\TeaTimer (Spybot - Search & Destroy)
2008-08-27 16:12        ---------        dcsh--w        C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-08-27 16:08        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-08-27 15:57        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-08-27 15:56        ---------        d-----w        C:\Programme\ICQ6Toolbar
2008-08-27 15:56        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-08-19 17:08        ---------        d-----w        C:\Programme\Microsoft Silverlight
2008-08-16 18:57        ---------        d-----w        C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\Academic Software Zurich
2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll
2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07        270,880        ----a-w        C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07        210,976        ----a-w        C:\WINDOWS\system32\muweb.dll
2008-07-11 23:32        4,706,163        ----a-w        C:\WINDOWS\REGBK01.ZIP
2008-07-07 20:30        253,952        ----a-w        C:\WINDOWS\system32\es.dll
2008-07-02 11:33        82,432        ----a-w        C:\WINDOWS\system32\IEDFix.C.exe
2008-04-28 07:43        0        ----a-w        C:\Programme\Citavi.txt
2006-07-16 16:05        248        ----a-w        C:\Dokumente und Einstellungen\XXX\n.bat
2006-07-16 16:05        128        ----a-w        C:\Dokumente und Einstellungen\XXX\dr.exe
2006-06-09 17:07        128        ----a-w        C:\Dokumente und Einstellungen\XXX\rar.exe
2006-06-09 17:06        128        ----a-w        C:\Dokumente und Einstellungen\XXX\mc-110-12-0000137.exe
2005-11-04 13:39        774,144        ----a-w        C:\Programme\RngInterstitial.dll
2006-01-15 18:11        152        --sh--r        C:\WINDOWS\system32\133949F292.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-03-02 65536]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" [2007-04-27 312328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-10-30 192512]
"CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2005-01-21 675840]
"TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2004-11-29 53248]
"TOSHIBA Accessibility"="C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe" [2004-12-07 24576]
"SVPWUTIL"="C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe" [2005-02-25 65536]
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2004-11-12 73728]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-22 339968]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-22 266497]
"HWSetup"="C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-12-23 28672]
"PadTouch"="C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" [2004-11-17 1077327]
"a-squared"="C:\Programme\a-squared Anti-Malware\a2guard.exe" [2008-07-31 2131600]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-10-01 185872]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-28 C:\WINDOWS\agrsmmsg.exe]
"Zooming"="ZoomingHook.exe" [2004-07-14 C:\WINDOWS\system32\ZoomingHook.exe]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-02-16 C:\WINDOWS\system32\TCtrlIOHook.exe]
"TPSMain"="TPSMain.exe" [2005-01-21 C:\WINDOWS\system32\TPSMain.exe]
"CFSServ.exe"="CFSServ.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Cisco Systems VPN Client.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Cisco Systems VPN Client.lnk
backup=C:\WINDOWS\pss\Cisco Systems VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^wmplayer.exe]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\wmplayer.exe
backup=C:\WINDOWS\pss\wmplayer.exeCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2003-07-13 02:49 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
"Microsoft Office Outlook"=C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE /recycle
"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe"
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SmoothView"=C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\TOSHIBA\\ConfigFree\\CFXFER.exe"=
"C:\\Programme\\PPMate\\ppmate.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"11257:TCP"= 11257:TCP:BitComet 11257 TCP
"11257:UDP"= 11257:UDP:BitComet 11257 UDP
"65534:TCP"= 65534:TCP:BitComet 65534 TCP
"65534:UDP"= 65534:UDP:BitComet 65534 UDP
"65535:TCP"= 65535:TCP:BitComet 65535 TCP
"65535:UDP"= 65535:UDP:BitComet 65535 UDP
"65050:TCP"= 65050:TCP:BitComet 65050 TCP
"65050:UDP"= 65050:UDP:BitComet 65050 UDP
"24151:TCP"= 24151:TCP:BitComet 24151 TCP
"24151:UDP"= 24151:UDP:BitComet 24151 UDP
"65316:TCP"= 65316:TCP:BitComet 65316 TCP
"65316:UDP"= 65316:UDP:BitComet 65316 UDP
"55316:TCP"= 55316:TCP:BitComet 55316 TCP
"55316:UDP"= 55316:UDP:BitComet 55316 UDP
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"23608:TCP"= 23608:TCP:BitComet 23608 TCP
"23608:UDP"= 23608:UDP:BitComet 23608 UDP

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-19 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-22 45376]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 11264]
R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 367104]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{96f9d5d8-e742-11db-a1bb-00059a3c7800}]
\Shell\AutoRun\command - E:\setupSNK.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-ICQ Lite - C:\Programme\ICQLite\ICQLite.exe
MSConfigStartUp-MsnMsgr - C:\Programme\MSN Messenger\MsnMsgr.Exe
MSConfigStartUp-Skype - C:\Programme\Skype\Phone\Skype.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\2wqo6rra.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.bebo.com/Profile.jsp?MID=367137231&MemberId=2216397370
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJPI150.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPStreamPlug.dll
FF -: plugin - C:\Programme\Real\RhapsodyPlayerEngine\nprhapengine.dll
FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-10-02 17:11:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Apoint2K\ApntEx.exe
C:\WINDOWS\system32\TPSBattM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-02 17:19:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-02 15:18:11
ComboFix2.txt  2008-07-15 15:35:26

Vor Suchlauf: 25 Verzeichnis(se), 45,422,329,856 Bytes frei
Nach Suchlauf: 29 Verzeichnis(se), 46,215,221,248 Bytes frei

265        --- E O F ---        2008-09-30 19:52:59
hilft das weiter? leider ist alles super langsam im moment, das ist wahrscheinlich auch kein so gutes Zeichen oder?
Danke nochmal!

marleo 02.10.2008 23:01
ich habe mal selber einige Dateien durchgeschaut und mich über folgende Datei gewundert: mc-110-12-0000137.exe, die bei mir unter Dokumente und Einstellungen liegt.
Virus Total sagt folgendes:

Code:
File mc-110-12-0000137.exe received on 10.02.2008 23:53:34 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 1/36 (2.78%)
Loading server information...
Your file is queued in position: 1.
Estimated start time is between 39 and 56 seconds.
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Compact
Print results Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:       
       
Antivirus        Version        Last Update        Result
AhnLab-V3        2008.10.3.0        2008.10.02        -
AntiVir        7.8.1.34        2008.10.02        -
Authentium        5.1.0.4        2008.10.02        -
Avast        4.8.1248.0        2008.10.02        -
AVG        8.0.0.161        2008.10.02        -
BitDefender        7.2        2008.10.02        -
CAT-QuickHeal        9.50        2008.10.01        -
ClamAV        0.93.1        2008.10.02        -
DrWeb        4.44.0.09170        2008.10.02        -
eSafe        7.0.17.0        2008.10.02        -
eTrust-Vet        31.6.6125        2008.10.02        -
Ewido        4.0        2008.10.02        -
F-Prot        4.4.4.56        2008.10.02        -
F-Secure        8.0.14332.0        2008.10.02        -
Fortinet        3.113.0.0        2008.10.02        -
GData        19        2008.10.02        -
Ikarus        T3.1.1.34.0        2008.10.02        -
K7AntiVirus        7.10.481        2008.10.02        -
Kaspersky        7.0.0.125        2008.10.02        -
McAfee        5397        2008.10.02        -
Microsoft        1.4005        2008.10.02        -
NOD32        3490        2008.10.02        -
Norman        5.80.02        2008.10.02        -
Panda        9.0.0.4        2008.10.02        -
PCTools        4.4.2.0        2008.10.02        -
Prevx1        V2        2008.10.02        Malicious Software
Rising        20.63.62.00        2008.09.28        -
SecureWeb-Gateway        6.7.6        2008.10.02        -
Sophos        4.34.0        2008.10.02        -
Sunbelt        3.1.1668.1        2008.09.24        -
Symantec        10        2008.10.02        -
TheHacker        6.3.1.0.098        2008.10.02        -
TrendMicro        8.700.0.1004        2008.10.02        -
VBA32        3.12.8.6        2008.10.02        -
ViRobot        2008.10.2.1403        2008.10.02        -
VirusBuster        4.5.11.0        2008.10.02        -
Additional information
File size: 128 bytes
MD5...: f09f35a5637839458e462e6350ecbce4
SHA1..: 0ae4f711ef5d6e9d26c611fd2c8c8ac45ecbf9e7
SHA256: 38723a2e5e8a17aa7950dc008209944e898f69a7bd10a23c839d341e935fd5ca
SHA512: ab942f526272e456ed68a979f50202905ca903a141ed98443567b11ef0bf25a5
52d639051a01be58558122c58e3de07d749ee59ded36acf0c55cd91924d6ba11
PEiD..: -
TrID..: File type identification
OpenGL object (36.1%)
Lotus 123 Worksheet (generic) (18.0%)
MacBinary 1 header (9.2%)
Targa bitmap (Original TGA Format - No Image ID) (9.0%)
MacBinary 2 header (9.0%)
PEInfo: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=F09F35A5806378390045008E462E630050ECBCE4
und hier habe ich einen link gefunden: mc-110-12-0000137.exe Windows Prozess - Was ist das?

kann ich das dingen einfach löschen? und einfach in den Papierkorb?
Lieben Dank!!

marleo 05.10.2008 10:32
Hallo!!

mm kann mir denn keiner helfen? was kann ich denn noch machen, um sicherzugehen, dass die Trojaner runter sind?? Wär echt super wenn ihr mir helfen könnt!!!

Sunny 05.10.2008 10:56

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\Programme\RngInterstitial.dll
C:\WINDOWS\system32\133949F292.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!


Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
ACHTUNG! XXX muss durch deinen Benutzernamen ersetz werden es sei denn XXX ist der Computername/Benutzerkonto! ACHTUNG!

Code:
FILE::
C:\Dokumente und Einstellungen\XXX\n.bat
C:\Dokumente und Einstellungen\XXX\dr.exe
C:\Dokumente und Einstellungen\XXX\rar.exe
C:\Dokumente und Einstellungen\XXX\mc-110-12-0000137.exe
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann




Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

marleo 05.10.2008 11:10
Hallo! Vielen Dank für deine Hilfe:daumenhoc

hier VirusTotal:
Code:
File RngInterstitial.dll received on 10.05.2008 12:03:43 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 0/36 (0%)
Loading server information...
Your file is queued in position: 2.
Estimated start time is between 42 and 60 seconds.
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Compact
Print results Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:       
       
Antivirus        Version        Last Update        Result
AhnLab-V3        2008.10.3.2        2008.10.03        -
AntiVir        7.8.1.34        2008.10.04        -
Authentium        5.1.0.4        2008.10.04        -
Avast        4.8.1248.0        2008.10.04        -
AVG        8.0.0.161        2008.10.04        -
BitDefender        7.2        2008.10.05        -
CAT-QuickHeal        9.50        2008.10.04        -
ClamAV        0.93.1        2008.10.04        -
DrWeb        4.44.0.09170        2008.10.05        -
eSafe        7.0.17.0        2008.10.02        -
eTrust-Vet        31.6.6129        2008.10.04        -
Ewido        4.0        2008.10.05        -
F-Prot        4.4.4.56        2008.10.04        -
F-Secure        8.0.14332.0        2008.10.05        -
Fortinet        3.113.0.0        2008.10.04        -
GData        19        2008.10.05        -
Ikarus        T3.1.1.34.0        2008.10.05        -
K7AntiVirus        7.10.484        2008.10.04        -
Kaspersky        7.0.0.125        2008.10.05        -
McAfee        5398        2008.10.04        -
Microsoft        1.4005        2008.10.05        -
NOD32        3495        2008.10.04        -
Norman        5.80.02        2008.10.03        -
Panda        9.0.0.4        2008.10.04        -
PCTools        4.4.2.0        2008.10.04        -
Prevx1        V2        2008.10.05        -
Rising        20.63.62.00        2008.09.28        -
SecureWeb-Gateway        6.7.6        2008.10.05        -
Sophos        4.34.0        2008.10.05        -
Sunbelt        3.1.1668.1        2008.09.24        -
Symantec        10        2008.10.05        -
TheHacker        6.3.1.0.101        2008.10.04        -
TrendMicro        8.700.0.1004        2008.10.03        -
VBA32        3.12.8.6        2008.10.04        -
ViRobot        2008.10.4.1406        2008.10.04        -
VirusBuster        4.5.11.0        2008.10.04        -
Additional information
File size: 774144 bytes
MD5...: 77d3a60b2e838e1cc6a682bd9761da63
SHA1..: 57fd5a21e7ef01bf29c96660d9389809227e6f7f
SHA256: 4713c36b92a9ea330dbf90255e30c62ce742c1ded5664b870432bb7a5d159a83
SHA512: b9dbaa53cd93ffee6bacd684f93bc139470417ea14780d3df291ce3e5ab1b749
bf334bb0e7c1401c69065d7cdd9eab3ec851767dbd57b3885f1a04976b8183c0
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000382b
timedatestamp.....: 0x426ea8cc (Tue Apr 26 20:47:08 2005)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2921 0x3000 5.66 0df655d0720d3fcba24e78765e795ea9
.rdata 0x4000 0xdec 0x1000 4.84 e553d093c6b7b99cc9954d3d48da7fc4
.data 0x5000 0x24f0 0x1000 2.38 9c09fc1dc29ff05bdb8f4852d6bc7860
.rsrc 0x8000 0xb5ad8 0xb6000 5.26 fbf6696a97bfedc8ee88c1fb374f7037
.reloc 0xbe000 0xb56 0x1000 2.04 3ecb8769da3c0217a174a42ddfa590e1

( 6 imports )
> KERNEL32.dll: MulDiv, GetPrivateProfileIntA, WinExec, GetModuleHandleA, GetPrivateProfileStringA, GetFileAttributesA, GetModuleFileNameA, FindFirstFileA, lstrcpyA, GetShortPathNameA, GetCommandLineA, WaitForMultipleObjects, InterlockedDecrement, OutputDebugStringA, CloseHandle, InterlockedIncrement, CreateProcessA, GetStartupInfoA, GetCurrentDirectoryA, WritePrivateProfileStringA, GetLastError, CreateEventA, SetFileAttributesA, FindClose
> USER32.dll: SetWindowTextA, SetWindowLongA, GetWindowLongA, wsprintfA, DestroyWindow, SetCursor, MessageBoxA, ReleaseDC, DialogBoxParamA, LoadStringA, GetDC, LoadImageA, DrawTextA, EndDialog, GetWindowRect, SetWindowPos, LoadCursorA, CharLowerA, GetSystemMetrics, CharNextA
> GDI32.dll: GetObjectA, SelectObject, GetDeviceCaps, BitBlt, DeleteObject, GetTextExtentPoint32A, CreateCompatibleDC, SetTextColor, SetBkMode, CreateFontIndirectA
> ADVAPI32.dll: RegDeleteValueA, RegOpenKeyA, RegQueryValueA, RegCloseKey, RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegQueryValueExA
> WINMM.dll: PlaySoundA
> MSVCRT.dll: _adjust_fdiv, _splitpath, __3@YAXPAX@Z, free, _onexit, _initterm, _stricmp, __dllonexit, malloc, __2@YAPAXI@Z, strstr, sprintf, __CxxFrameHandler

( 25 exports )
__0CInterstitial@@QAE@XZ, __1CInterstitial@@QAE@XZ, __4CInterstitial@@QAEAAV0@ABV0@@Z, _BeginGame@CInterstitial@@QAEHH@Z, _DrawLogoBtn@CInterstitial@@QAEHPAUtagDRAWITEMSTRUCT@@@Z, _EndGame@CInterstitial@@QAEHH@Z, _GetEpcotPath@CInterstitial@@QAEHXZ, _GetGameName@CInterstitial@@QAEPADXZ, _GetRealcomUrl@CInterstitial@@QAEPADXZ, _GetRegion@CInterstitial@@QAEHXZ, _GetUpsellUrl@CInterstitial@@QAEPADXZ, _LoadProfile@CInterstitial@@QAEHPAD@Z, _PlaceBitmap@CInterstitial@@QAEHPAUHWND__@@PADPAUtagPOINT@@@Z, _SetProfilePath@CInterstitial@@QAEHPAD@Z, _SetRegion@CInterstitial@@QAEHH@Z, _ShowButtonLabels@CInterstitial@@QAEXPAUHWND__@@@Z, _ShowGameName@CInterstitial@@QAEXPAUHWND__@@@Z, _ShowGamesText@CInterstitial@@QAEXPAUHWND__@@@Z, _ShowLaunchDialog@CInterstitial@@QAEXPAUHWND__@@@Z, _ShowRealGraphic@CInterstitial@@QAEXPAUHWND__@@@Z, _ShowUpsellGraphic@CInterstitial@@QAEXPAUHWND__@@@Z, _ShowUpsellText@CInterstitial@@QAEXPAUHWND__@@@Z, DllRegisterServer, DllUnRegisterServer, fnGameBeginEnd
und nochmal:
Code:
File 133949F292.dll received on 10.05.2008 12:07:46 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 0/36 (0%)
Loading server information...
Your file is queued in position: ___.
Estimated start time is between ___ and ___ .
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Compact
Print results Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:       
       
Antivirus        Version        Last Update        Result
AhnLab-V3        2008.10.3.2        2008.10.03        -
AntiVir        7.8.1.34        2008.10.04        -
Authentium        5.1.0.4        2008.10.04        -
Avast        4.8.1248.0        2008.10.04        -
AVG        8.0.0.161        2008.10.04        -
BitDefender        7.2        2008.10.05        -
CAT-QuickHeal        9.50        2008.10.04        -
ClamAV        0.93.1        2008.10.04        -
DrWeb        4.44.0.09170        2008.10.05        -
eSafe        7.0.17.0        2008.10.02        -
eTrust-Vet        31.6.6129        2008.10.04        -
Ewido        4.0        2008.10.05        -
F-Prot        4.4.4.56        2008.10.04        -
F-Secure        8.0.14332.0        2008.10.05        -
Fortinet        3.113.0.0        2008.10.04        -
GData        19        2008.10.05        -
Ikarus        T3.1.1.34.0        2008.10.05        -
K7AntiVirus        7.10.484        2008.10.04        -
Kaspersky        7.0.0.125        2008.10.05        -
McAfee        5398        2008.10.04        -
Microsoft        1.4005        2008.10.05        -
NOD32        3495        2008.10.04        -
Norman        5.80.02        2008.10.03        -
Panda        9.0.0.4        2008.10.04        -
PCTools        4.4.2.0        2008.10.04        -
Prevx1        V2        2008.10.05        -
Rising        20.63.62.00        2008.09.28        -
SecureWeb-Gateway        6.7.6        2008.10.05        -
Sophos        4.34.0        2008.10.05        -
Sunbelt        3.1.1675.1        2008.09.27        -
Symantec        10        2008.10.05        -
TheHacker        6.3.1.0.101        2008.10.04        -
TrendMicro        8.700.0.1004        2008.10.03        -
VBA32        3.12.8.6        2008.10.04        -
ViRobot        2008.10.4.1406        2008.10.04        -
VirusBuster        4.5.11.0        2008.10.04        -
Additional information
File size: 152 bytes
MD5...: b1fba59318da0aa67fb130bd35fb563d
SHA1..: 636661b9bbc0ff8147b2a81d8d50ea2d54e01728
SHA256: acf94013de9e0ec2325f540cdb05413d70cab3e746e39a37c2026c5bd64b77f8
SHA512: e6f50ffbe3e2d4b971566109e463fe6aa8e2e68125054736e0b7e386fc62ea1c
306a5d5dea898bfe12f8ce40eeb07b0dbc9bd9a016ffac230e32ad3fa07c6c89
PEiD..: -
TrID..: File type identification
MS Flight Simulator Aircraft Performance Info (100.0%)
PEInfo: -
Combofix folgt sogleich!:)

marleo 05.10.2008 11:43
und hier jetzt die beiden Combofix logs:
Code:
ComboFix 08-10-04.07 - XXX 2008-10-05 12:26:11.4 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.187 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((  Dateien erstellt von 2008-09-05 bis 2008-10-05  ))))))))))))))))))))))))))))))
.

2008-10-05 11:27 . 2008-10-05 11:27        61,440        --a------        C:\WINDOWS\system32\drivers\xetlv.sys
2008-10-03 16:02 . 2008-10-03 16:02        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Startmen³
2008-10-02 17:10 . 2008-10-02 17:10        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\Startmen³
2008-10-01 11:18 . 2008-10-01 11:18        30,615        --a------        C:\Dokumente und Einstellungen\XXX\x.exe
2008-10-01 11:03 . 2008-10-01 11:03        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\xing shared
2008-10-01 10:30 . 2008-10-01 10:31        <DIR>        d--------        C:\Programme\QuickTime
2008-10-01 10:30 . 2008-10-01 10:30        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Apple
2008-10-01 10:29 . 2008-10-01 10:29        <DIR>        d--------        C:\Programme\Apple Software Update
2008-10-01 10:29 . 2008-10-01 10:29        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-09-30 22:51 . 2008-09-30 22:51        <DIR>        d--------        C:\WINDOWS\Content.IE5
2008-09-30 21:44 . 2008-10-02 15:35        3,376        --a------        C:\WINDOWS\system32\tmp.reg
2008-09-30 21:43 . 2008-09-08 23:38        88,576        --a------        C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-09-30 21:43 . 2008-09-19 12:26        82,944        --a------        C:\WINDOWS\system32\o4Patch.exe
2008-09-30 21:08 . 2008-09-30 21:09        <DIR>        d--------        C:\rsit
2008-09-30 20:33 . 2008-09-30 20:33        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\DoctorWeb
2008-09-30 20:06 . 2008-09-30 20:06        250        --a------        C:\WINDOWS\gmer.ini
2008-09-27 18:39 . 2008-09-27 18:39        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\dwhelper
2008-09-27 18:37 . 2008-09-27 18:37        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\vlc
2008-09-27 01:20 . 2008-09-27 01:20        <DIR>        d--------        C:\WatchNow
2008-09-26 19:34 . 2008-09-26 19:34        <DIR>        d--------        C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\MailFrontier
2008-09-26 15:01 . 2008-09-26 15:01        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-09-26 15:01 . 2008-09-26 15:08        4,212        ---h-----        C:\WINDOWS\system32\zllictbl.dat
2008-09-13 11:59 . 2008-09-30 18:09        0        --a------        C:\23990098.$$$
2008-09-09 20:16 . 2008-09-26 15:11        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\vw
2008-09-06 17:52 . 2001-08-17 22:43        24,576        ---------        C:\WINDOWS\system32\msxml3a.dll
2008-09-06 17:36 . 2008-09-06 17:52        <DIR>        d--------        C:\Programme\Audible
2008-09-06 15:09 . 2008-09-06 15:09        90,112        --a------        C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09        57,344        --a------        C:\WINDOWS\system32\QuickTime.qts

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 09:08        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\AdobeUM
2008-10-04 22:03        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-03 13:37        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-02 23:27        ---------        d-----w        C:\Programme\Trend Micro
2008-10-01 09:03        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Real
2008-10-01 09:02        499,712        ----a-w        C:\WINDOWS\system32\msvcp71.dll
2008-10-01 08:30        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-09-30 18:59        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-27 16:37        ---------        d-----w        C:\Programme\VideoLAN
2008-09-22 18:29        ---------        d-----w        C:\Programme\TuneUp Utilities 2007
2008-09-22 14:50        ---------        d-----w        C:\Programme\ICQ6
2008-09-21 10:55        ---------        d-----w        C:\Programme\Malwarebytes' Anti-Malware
2008-09-09 22:04        38,528        ----a-w        C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 22:03        17,200        ----a-w        C:\WINDOWS\system32\drivers\mbam.sys
2008-09-04 19:30        ---------        d-----w        C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\InterVideo
2008-08-31 21:38        ---------        d-----w        C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\TuneUp Software
2008-08-31 19:11        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ICQ
2008-08-31 15:01        ---------        d-----w        C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\ICQ
2008-08-30 10:13        ---------        d-----w        C:\Programme\Windows Live
2008-08-30 09:49        ---------        d---a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-30 09:49        ---------        d-----w        C:\Programme\SpywareBlaster
2008-08-27 16:12        ---------        dcsh--w        C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-08-27 16:08        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-08-27 15:57        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-08-27 15:56        ---------        d-----w        C:\Programme\ICQ6Toolbar
2008-08-27 15:56        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-08-19 17:08        ---------        d-----w        C:\Programme\Microsoft Silverlight
2008-08-16 18:57        ---------        d-----w        C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\Academic Software Zurich
2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll
2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07        270,880        ----a-w        C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07        210,976        ----a-w        C:\WINDOWS\system32\muweb.dll
2008-07-11 23:32        4,706,163        ----a-w        C:\WINDOWS\REGBK01.ZIP
2008-07-07 20:30        253,952        ----a-w        C:\WINDOWS\system32\es.dll
2008-04-28 07:43        0        ----a-w        C:\Programme\Citavi.txt
2005-11-04 13:39        774,144        ----a-w        C:\Programme\RngInterstitial.dll
2006-01-15 18:11        152        --sh--r        C:\WINDOWS\system32\133949F292.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-03-02 65536]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" [2007-04-27 312328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-10-30 192512]
"CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2005-01-21 675840]
"TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2004-11-29 53248]
"TOSHIBA Accessibility"="C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe" [2004-12-07 24576]
"SVPWUTIL"="C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe" [2005-02-25 65536]
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2004-11-12 73728]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-22 339968]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-22 266497]
"HWSetup"="C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-12-23 28672]
"PadTouch"="C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" [2004-11-17 1077327]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-10-01 185872]
"Malwarebytes Anti-Malware (reboot)"="C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" [2008-09-10 1253040]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-28 C:\WINDOWS\agrsmmsg.exe]
"Zooming"="ZoomingHook.exe" [2004-07-14 C:\WINDOWS\system32\ZoomingHook.exe]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-02-16 C:\WINDOWS\system32\TCtrlIOHook.exe]
"TPSMain"="TPSMain.exe" [2005-01-21 C:\WINDOWS\system32\TPSMain.exe]
"CFSServ.exe"="CFSServ.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Cisco Systems VPN Client.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Cisco Systems VPN Client.lnk
backup=C:\WINDOWS\pss\Cisco Systems VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^wmplayer.exe]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\wmplayer.exe
backup=C:\WINDOWS\pss\wmplayer.exeCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2003-07-13 02:49 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Microsoft Office Outlook"=C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE /recycle
"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe"
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SmoothView"=C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\TOSHIBA\\ConfigFree\\CFXFER.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-19 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-22 45376]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 11264]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 367104]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{96f9d5d8-e742-11db-a1bb-00059a3c7800}]
\Shell\AutoRun\command - E:\setupSNK.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-03 C:\WINDOWS\Tasks\1-Click Maintenance.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-27 06:51]

2008-10-03 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-27 06:51]

2008-10-01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\2wqo6rra.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.bebo.com/Profile.jsp?MID=367137231&MemberId=2216397370
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJPI150.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPStreamPlug.dll
FF -: plugin - C:\Programme\Real\RhapsodyPlayerEngine\nprhapengine.dll
FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-10-05 12:27:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-05 12:29:17
ComboFix-quarantined-files.txt  2008-10-05 10:29:08
ComboFix2.txt  2008-10-05 10:22:05
ComboFix3.txt  2008-10-02 15:19:20

Vor Suchlauf: 23 Verzeichnis(se), 46,688,161,792 Bytes frei
Nach Suchlauf: 26 Verzeichnis(se), 46,684,377,088 Bytes frei

212        --- E O F ---        2008-10-05 08:46:44

marleo 05.10.2008 11:52
mm das zweite log ist zu groß..wie kann ich das einfügen? oder einfach link von filefactory o.ä.? werd jetzt erstmal den kapersky laufen lassen..

Sunny 05.10.2008 12:10
Welches Log meinst du, das von Combofix nachdem du das Script ausgeführt hast oder den Report von Kaspersky?

marleo 05.10.2008 12:28
ich meinte das log von combofix nach dem scripten..kaspersky läuft gerade und ich poste das log so schnell wie möglich!

Sunny 05.10.2008 12:30
Wenn das Log zu groß ist, warum auch immer, dann poste es in 2 oder 3 Beiträgen... ;)

oder in [CODE] Logfile ['/CODE]

marleo 05.10.2008 13:28
so hier kommt der erste Teil des Combofix logs:
Code:
ComboFix 08-10-04.07 - XXX 2008-10-05 12:18:52.3 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.205 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\XXX\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
C:\Dokumente und Einstellungen\XXX\dr.exe
C:\Dokumente und Einstellungen\XXX\mc-110-12-0000137.exe
C:\Dokumente und Einstellungen\XXX\n.bat
C:\Dokumente und Einstellungen\XXX\rar.exe
.
        /wow section - STAGE 32
grep: (standard input): Not enough space
Der Vorgang ist bei einer Datei mit einem geöffneten Bereich, der einem Benutzer zugeordnet ist, nicht anwendbar.

        /wow section - STAGE 33
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

        /wow section - STAGE 35
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

        /wow section - STAGE 41
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
[vfind, 5.2 2002-11-15]

Find matching filenames in a directory tree.

usage:  vfind [option...] [path\]file...

Options:
    -?          Show information about this program.
    -a          Print all matching entries.
    -A          Print all matching entries except "." and "..".
    -d[+|-|!]D  Find files modified after/before/not date D.
    -l          Long listing.
    -m          Show short DOS names.
    -n          Show list summary.
    -r          Do not recursively search subdirectories.
    -s[+|-|!]N  File size [more/less/not] N bytes.
    -t[!]T...  Find entried [not] of type T, which is one of more of
                these criteria combined (or-ed) together:
                    a  Archive
                    c  Compressed
                    d  Directory
                    f  File
                    h  Hidden
                    r  Read only
                    s  System
                    v  Volume label
                    w  Writable
    -v          Verbose output.

Filenames can contain wildcard characters:
    ?      Matches any single character (including '.').
    *      Matches zero or more characters (including '.').
    [abc]  Matches 'a', 'b', or 'c'.
    [a-z]  Matches 'a' through 'z'.
    [!a-z]  Matches any character except 'a' thru 'z'.
    `X      Matches X exactly (which may be a wildcard character).
    !X      Matches any filename except X.

Date 'D' is of the form "[YY]YY[-MM[-DD]][:HH[:MM[:SS]]]".
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
[vfind, 5.2 2002-11-15]

Find matching filenames in a directory tree.

usage:  vfind [option...] [path\]file...

Options:
    -?          Show information about this program.
    -a          Print all matching entries.
    -A          Print all matching entries except "." and "..".
    -d[+|-|!]D  Find files modified after/before/not date D.
    -l          Long listing.
    -m          Show short DOS names.
    -n          Show list summary.
    -r          Do not recursively search subdirectories.
    -s[+|-|!]N  File size [more/less/not] N bytes.
    -t[!]T...  Find entried [not] of type T, which is one of more of
                these criteria combined (or-ed) together:
                    a  Archive
                    c  Compressed
                    d  Directory
                    f  File
                    h  Hidden
                    r  Read only
                    s  System
                    v  Volume label
                    w  Writable
    -v          Verbose output.
Im weiteren Verlauf des logs wiederholt sich der Eintrag:
Date 'D' is of the form "[YY]YY[-MM[-DD]][:HH[:MM[:SS]]]".
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
[vfind, 5.2 2002-11-15]

Find matching filenames in a directory tree.

usage: vfind [option...] [path\]file...

Options:
-? Show information about this program.
-a Print all matching entries.
-A Print all matching entries except "." and "..".
-d[+|-|!]D Find files modified after/before/not date D.
-l Long listing.
-m Show short DOS names.
-n Show list summary.
-r Do not recursively search subdirectories.
-s[+|-|!]N File size [more/less/not] N bytes.
-t[!]T... Find entried [not] of type T, which is one of more of
these criteria combined (or-ed) together:
a Archive
c Compressed
d Directory
f File
h Hidden
r Read only
s System
v Volume label
w Writable
-v Verbose output.

und nach 40 wiederholungen oder so folgt der letzte Teil:


Code:
Date 'D' is of the form "[YY]YY[-MM[-DD]][:HH[:MM[:SS]]]".
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

        /wow section - STAGE 47
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.


((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\XXX\dr.exe
C:\Dokumente und Einstellungen\XXX\n.bat
C:\Dokumente und Einstellungen\XXX\rar.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2008-09-05 bis 2008-10-05  ))))))))))))))))))))))))))))))
.

2008-10-05 11:27 . 2008-10-05 11:27        61,440        --a------        C:\WINDOWS\system32\drivers\xetlv.sys
2008-10-03 16:02 . 2008-10-03 16:02        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Startmen³
2008-10-02 17:10 . 2008-10-02 17:10        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\Startmen³
2008-10-01 11:18 . 2008-10-01 11:18        30,615        --a------        C:\Dokumente und Einstellungen\XXX\x.exe
2008-10-01 11:03 . 2008-10-01 11:03        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\xing shared
2008-10-01 10:30 . 2008-10-01 10:31        <DIR>        d--------        C:\Programme\QuickTime
2008-10-01 10:30 . 2008-10-01 10:30        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Apple
2008-10-01 10:29 . 2008-10-01 10:29        <DIR>        d--------        C:\Programme\Apple Software Update
2008-10-01 10:29 . 2008-10-01 10:29        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-09-30 22:51 . 2008-09-30 22:51        <DIR>        d--------        C:\WINDOWS\Content.IE5
2008-09-30 21:44 . 2008-10-02 15:35        3,376        --a------        C:\WINDOWS\system32\tmp.reg
2008-09-30 21:43 . 2008-09-08 23:38        88,576        --a------        C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-09-30 21:43 . 2008-09-19 12:26        82,944        --a------        C:\WINDOWS\system32\o4Patch.exe
2008-09-30 21:08 . 2008-09-30 21:09        <DIR>        d--------        C:\rsit
2008-09-30 20:33 . 2008-09-30 20:33        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\DoctorWeb
2008-09-30 20:06 . 2008-09-30 20:06        250        --a------        C:\WINDOWS\gmer.ini
2008-09-27 18:39 . 2008-09-27 18:39        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\dwhelper
2008-09-27 18:37 . 2008-09-27 18:37        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\vlc
2008-09-27 01:20 . 2008-09-27 01:20        <DIR>        d--------        C:\WatchNow
2008-09-26 19:34 . 2008-09-26 19:34        <DIR>        d--------        C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\MailFrontier
2008-09-26 15:01 . 2008-09-26 15:01        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-09-26 15:01 . 2008-09-26 15:08        4,212        ---h-----        C:\WINDOWS\system32\zllictbl.dat
2008-09-13 11:59 . 2008-09-30 18:09        0        --a------        C:\23990098.$$$
2008-09-09 20:16 . 2008-09-26 15:11        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\vw
2008-09-06 17:52 . 2001-08-17 22:43        24,576        ---------        C:\WINDOWS\system32\msxml3a.dll
2008-09-06 17:36 . 2008-09-06 17:52        <DIR>        d--------        C:\Programme\Audible
2008-09-06 15:09 . 2008-09-06 15:09        90,112        --a------        C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09        57,344        --a------        C:\WINDOWS\system32\QuickTime.qts

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 09:08        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\AdobeUM
2008-10-04 22:03        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-03 13:37        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-02 23:27        ---------        d-----w        C:\Programme\Trend Micro
2008-10-01 09:03        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Real
2008-10-01 09:02        499,712        ----a-w        C:\WINDOWS\system32\msvcp71.dll
2008-10-01 08:30        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-09-30 18:59        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-27 16:37        ---------        d-----w        C:\Programme\VideoLAN
2008-09-22 18:29        ---------        d-----w        C:\Programme\TuneUp Utilities 2007
2008-09-22 14:50        ---------        d-----w        C:\Programme\ICQ6
2008-09-21 10:55        ---------        d-----w        C:\Programme\Malwarebytes' Anti-Malware
2008-09-09 22:04        38,528        ----a-w        C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 22:03        17,200        ----a-w        C:\WINDOWS\system32\drivers\mbam.sys
2008-09-04 19:30        ---------        d-----w        C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\InterVideo
2008-08-31 21:38        ---------        d-----w        C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\TuneUp Software
2008-08-31 19:11        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ICQ
2008-08-31 15:01        ---------        d-----w        C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\ICQ
2008-08-30 10:13        ---------        d-----w        C:\Programme\Windows Live
2008-08-30 09:49        ---------        d---a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-30 09:49        ---------        d-----w        C:\Programme\SpywareBlaster
2008-08-27 16:12        ---------        dcsh--w        C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-08-27 16:08        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-08-27 15:57        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-08-27 15:56        ---------        d-----w        C:\Programme\ICQ6Toolbar
2008-08-27 15:56        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-08-19 17:08        ---------        d-----w        C:\Programme\Microsoft Silverlight
2008-08-16 18:57        ---------        d-----w        C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\Academic Software Zurich
2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll
2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07        270,880        ----a-w        C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07        210,976        ----a-w        C:\WINDOWS\system32\muweb.dll
2008-07-11 23:32        4,706,163        ----a-w        C:\WINDOWS\REGBK01.ZIP
2008-07-07 20:30        253,952        ----a-w        C:\WINDOWS\system32\es.dll
2008-04-28 07:43        0        ----a-w        C:\Programme\Citavi.txt
2005-11-04 13:39        774,144        ----a-w        C:\Programme\RngInterstitial.dll
2006-01-15 18:11        152        --sh--r        C:\WINDOWS\system32\133949F292.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-03-02 65536]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" [2007-04-27 312328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-10-30 192512]
"CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2005-01-21 675840]
"TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2004-11-29 53248]
"TOSHIBA Accessibility"="C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe" [2004-12-07 24576]
"SVPWUTIL"="C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe" [2005-02-25 65536]
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2004-11-12 73728]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-22 339968]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-22 266497]
"HWSetup"="C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-12-23 28672]
"PadTouch"="C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" [2004-11-17 1077327]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-10-01 185872]
"Malwarebytes Anti-Malware (reboot)"="C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" [2008-09-10 1253040]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-28 C:\WINDOWS\agrsmmsg.exe]
"Zooming"="ZoomingHook.exe" [2004-07-14 C:\WINDOWS\system32\ZoomingHook.exe]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-02-16 C:\WINDOWS\system32\TCtrlIOHook.exe]
"TPSMain"="TPSMain.exe" [2005-01-21 C:\WINDOWS\system32\TPSMain.exe]
"CFSServ.exe"="CFSServ.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Cisco Systems VPN Client.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Cisco Systems VPN Client.lnk
backup=C:\WINDOWS\pss\Cisco Systems VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^wmplayer.exe]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\wmplayer.exe
backup=C:\WINDOWS\pss\wmplayer.exeCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2003-07-13 02:49 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Microsoft Office Outlook"=C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE /recycle
"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe"
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SmoothView"=C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\TOSHIBA\\ConfigFree\\CFXFER.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-19 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-22 45376]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 11264]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 367104]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{96f9d5d8-e742-11db-a1bb-00059a3c7800}]
\Shell\AutoRun\command - E:\setupSNK.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-03 C:\WINDOWS\Tasks\1-Click Maintenance.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-27 06:51]

2008-10-03 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-27 06:51]

2008-10-01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-10-05 12:20:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-05 12:22:03
ComboFix-quarantined-files.txt  2008-10-05 10:21:54
ComboFix2.txt  2008-10-02 15:19:20

Vor Suchlauf: 23 Verzeichnis(se), 46,701,056,000 Bytes frei
Nach Suchlauf: 27 Verzeichnis(se), 46,680,850,432 Bytes frei

5677        --- E O F ---        2008-10-05 08:46:44

Sunny 05.10.2008 14:26

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\WINDOWS\system32\drivers\xetlv.sys
C:\Dokumente und Einstellungen\XXX\x.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

marleo 05.10.2008 21:05
Hallo! Leider hat das internet heute überhaupt nicht funktioniert:( ich weiß noch nicht warum..ich lass den Karspery noch einmal laufen und poste das log später!
Hier das virustotal log von der x.exe:
Code:
File x.exe received on 10.05.2008 22:01:45 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 1/36 (2.78%)
Loading server information...
Your file is queued in position: ___.
Estimated start time is between ___ and ___ .
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Compact
Print results Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:       
       
Antivirus        Version        Last Update        Result
AhnLab-V3        2008.10.3.2        2008.10.03        -
AntiVir        7.8.1.34        2008.10.04        -
Authentium        5.1.0.4        2008.10.05        -
Avast        4.8.1248.0        2008.10.04        -
AVG        8.0.0.161        2008.10.05        -
BitDefender        7.2        2008.10.05        -
CAT-QuickHeal        9.50        2008.10.04        -
ClamAV        0.93.1        2008.10.05        -
DrWeb        4.44.0.09170        2008.10.05        -
eSafe        7.0.17.0        2008.10.05        -
eTrust-Vet        31.6.6129        2008.10.04        -
Ewido        4.0        2008.10.05        -
F-Prot        4.4.4.56        2008.10.05        -
F-Secure        8.0.14332.0        2008.10.05        Suspicious:W32/Zlob!Gemini
Fortinet        3.113.0.0        2008.10.04        -
GData        19        2008.10.05        -
Ikarus        T3.1.1.34.0        2008.10.05        -
K7AntiVirus        7.10.484        2008.10.04        -
Kaspersky        7.0.0.125        2008.10.05        -
McAfee        5398        2008.10.04        -
Microsoft        1.4005        2008.10.05        -
NOD32        3495        2008.10.04        -
Norman        5.80.02        2008.10.03        -
Panda        9.0.0.4        2008.10.05        -
PCTools        4.4.2.0        2008.10.05        -
Prevx1        V2        2008.10.05        -
Rising        20.63.62.00        2008.09.28        -
SecureWeb-Gateway        6.7.6        2008.10.05        -
Sophos        4.34.0        2008.10.05        -
Sunbelt        3.1.1675.1        2008.09.27        -
Symantec        10        2008.10.05        -
TheHacker        6.3.1.0.101        2008.10.04        -
TrendMicro        8.700.0.1004        2008.10.03        -
VBA32        3.12.8.6        2008.10.05        -
ViRobot        2008.10.4.1406        2008.10.04        -
VirusBuster        4.5.11.0        2008.10.05        -
Additional information
File size: 30615 bytes
MD5...: d46454f584619e3f4580082132306750
SHA1..: da597fa8f962ab16aae97fcd81fc871a1df4e672
SHA256: 418a100a86960af8ffd08c1974cae23a533cfc7807f3a3049d8a4fed334de806
SHA512: 3325c547d371e9396e2bed33b0de80a81ffcddcd842701f362b3611bfb53d7e3
d7ea33d9841a407d8990c03b4d004f7fb33cb83461dd3620a527bce4061f4875
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402328
timedatestamp.....: 0x43791005 (Mon Nov 14 22:30:29 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14bc 0x1600 6.05 46d1f7d223469fec443c92088c90c874
.rdata 0x3000 0x5b6 0x600 4.76 29c4e2d1c4be9820e6c24910cf4cadd1
.data 0x4000 0x4f0 0x600 3.90 65242517d245a43cb7e6b23c707fd562
.rsrc 0x5000 0x502 0x600 2.38 0d835cf69514705bb7a2424c34f6d01a

( 4 imports )
> KERNEL32.dll: GetTickCount, CreateProcessA, GetStdHandle, CloseHandle, GetExitCodeProcess, WaitForSingleObject, RemoveDirectoryA, FindClose, FindNextFileA, DeleteFileA, FindFirstFileA, ReadFile, GetFileSize, CreateFileA, WriteFile, GetFileAttributesA, SetEnvironmentVariableA, GetEnvironmentVariableA, CreateDirectoryA, GetCurrentProcessId, GetTempPathA, SetCurrentDirectoryA, GetModuleFileNameA, SetStdHandle, GetModuleHandleA, GetStartupInfoA
> USER32.dll: MessageBoxA
> SHELL32.dll: ShellExecuteA
> MSVCRT.dll: _XcptFilter, fflush, printf, sprintf, memset, strstr, strcmp, calloc, memcpy, strlen, strtok, free, strcat, strcpy, _exit, _iob, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=d46454f584619e3f4580082132306750

marleo 05.10.2008 21:06
die zweite datei habe ich nicht gefunden! Vielen Dank schon mal!! Meinst du ich kann e-mails etc aufrufen oder ist es sehr gefährlich? Ich kann das gar nicht einschätzen:( Danke!

marleo 06.10.2008 01:04
so und hier folgt nun auch endlich der kaspersky log:

Code:
A-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Montag, 6. Oktober 2008 02:00:27
 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken:  5/10/2008
 Anzahl der Einträge in den Antiviren-Datenbanken: 1156073
-------------------------------------------------------------------------------

Scan-Einstellungen:
        Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
        Archive untersuchen: ja
        Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
        C:\
        D:\
        F:\

Untersuchungsergebnisse:
        Untersuchte Objekte insgesamt: 57318
        Viren gefunden: 1
        Infizierte Objekte gefunden: 0
        Verdächtige Objekte gefunden: 2
        Untersuchungszeit: 00:59:30

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudCgp.zip/a.exe        Verdächtige Objekte: Password-protected-EXE        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudCgp.zip        ZIP: verdächtig - 1        übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\XXX\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008092920081006\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008100620081007\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\XXX\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\XXX\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Programme\FRITZ!DSL\access\access.lock        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP8\change.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SchedLgU.Txt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Sti_Trace.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\Internet.evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\h323log.txt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\wiadebug.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\wiaservc.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\WindowsUpdate.log        Das Objekt ist gesperrt        übersprungen

Die Untersuchung wurde abgeschlossen.
Vielen lieben Dank!

marleo 09.10.2008 15:11
Hallo zusammen!! Könnt Ihr mir nochmal helfen? Muss ich mir noch Sorgen machen? Ich würd mich freuen wenn jemand noch Zeit hat!!!!

marleo 10.10.2008 20:08
ich will ja nicht nerven, nur eine kurze rückmeldung wie ich weiter vorgehen muss wäre supi:) danke schön!:)

marleo 12.10.2008 13:08
Hallo zusammen!!

Könnt ihr mir nochmal helfen? ich weiß jetzt nicht, ob alles runter ist oder ob ich noch weitere Säuberungsaktionen durchführen muss! Es wäre echt super wenn ihr mir nochmal helfen könnt!! Bitte!!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19