Trojaner-Board - TR/Silentbanker.J

Guten Abend zusammen.

Zunächst möchte ich mich vorstellen da ich neu hier bin. Ich habe schon ab und zu hier um Forum herumgestöbert und über die Forensuche konnte ich schon ein paar Probleme in der Vergangenhet lösen:alc: , doch jetzt bräuchte ich bitte eure Hilfe.

In anderen Beiträgen habe ich gelesen das man bei dem Trojaner "Silentbanker" sich hier im Forum bei der Entfernung helfen lassen sollte.

Vor 2 Tagen wurde ich wie auch andere hier im Forum aufgefordert beim ONline-Banking 10 Tans einzugeben. Das habe ich natürlich nicht getan. einen Tag später hat Antivir den Trojaner entdeckt.

ich kenn mich mit den ganzen verschiedenen Programmen nicht aus, aber hier habe ich ein HJT Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:40:42, on 23.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe

C:\WINDOWS\system32\WTMKM.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Microsoft ActiveSync\wcescomm.exe

C:\Programme\TaskSwitchXP\TaskSwitchXP.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\ICQ6Toolbar\ICQ Service.exe

C:\PROGRA~1\MICROS~3\rapimgr.exe

C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE

C:\Programme\Microsoft Office\Office10\WINWORD.EXE

C:\PROGRA~1\FREEDO~1\fdm.exe

C:\WINDOWS\system32\atwtusb.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
 

h**p://www.t-online.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
 

h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL 
 

= h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
 

http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
 

h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = 
 

Windows Internet Explorer bereitgestellt von T-Online

R3 - URLSearchHook: (no name) -  - (no file)

R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} 
 

- C:\Programme\ICQ6Toolbar\ICQToolBar.dll

O2 - BHO: Adobe PDF Reader Link Helper - 
 

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 
 

7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: CmjBrowserHelperObject Object - 
 

{07A11D74-9D25-4fea-A833-8B0D76A5577A} - 
 

C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll

O2 - BHO: (no name) - {60FD4F58-4748-48f6-B661-5FCE71B0D907} - (no 
 

file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - 
 

C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no 
 

file)

O2 - BHO: Windows Live Sign-in Helper - 
 

{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame 
 

Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - 
 

{AA58ED58-01DD-4d91-8333-CF10577473F7} - 
 

c:\programme\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - 
 

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - 
 

C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O2 - BHO: FDMIECookiesBHO Class - 
 

{CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download 
 

Manager\iefdmcks.dll

O2 - BHO: Editor plugin - {D8BF9488-4F5C-41f7-8EE5-358FA79C5092} - 
 

cupid1.dll (file missing)

O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - 
 

C:\Programme\GMX\GMX Toolbar\toolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - 
 

c:\programme\google\googletoolbar2.dll

O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - 
 

C:\Programme\ICQ6Toolbar\ICQToolBar.dll

O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control 
 

Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition 
 

Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone 
 

Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA 
 

Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] 
 

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe

O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe

O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame 
 

Dateien\Ulead Systems\AutoDetector\monitor.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] 
 

"C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [MacrokeyManager] WTMKM.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" 
 

-atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft 
 

ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [TaskSwitchXP] 
 

C:\Programme\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [LClock] C:\Programme\LClock\LClock.exe

O4 - HKCU\..\Run: [Vista Sidebar] C:\Programme\Vista 
 

Sidebar\sidebar.exe

O4 - HKCU\..\Run: [ViStart] C:\Programme\ViStart\ViStart.exe

O4 - HKCU\..\Run: [ViOrb] C:\Programme\ViOrb\ViOrb.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE 
 

(User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE 
 

(User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE 
 

(User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE 
 

(User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft 
 

Office\Office10\OSA.EXE

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel 
 

present

O8 - Extra context menu item: Download all with Free Download Manager - 
 

file://C:\Programme\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download 
 

Manager - file://C:\Programme\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - 
 

file://C:\Programme\Free Download Manager\dllink.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - 
 

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 
 

C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - 
 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 
 

C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - 
 

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - 
 

C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - 
 

C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - 
 

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - 
 

C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Send to Mindjet MindManager - 
 

{941E1A34-C6AF-4baa-A973-224F9C3E04BF} - 
 

C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - 
 

C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - 
 

{B863453A-26C3-4e1f-A54D-A2CD196348E9} - 
 

C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - 
 

C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - 
 

{E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader 
 

Control) - 
 

h**p://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1
 

206571902

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - 
 

C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GO333C~1\GOEC62~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Planer 
 

(AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition 
 

Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - 
 

Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - 
 

C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - 
 

C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: GoogleDesktopManager - Google - 
 

C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: ICQ Service - Unknown owner - 
 

C:\Programme\ICQ6Toolbar\ICQ Service.exe

O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - 
 

Deutsche Telekom AG, Marmiko IT-Solutions GmbH - 
 

C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - 
 

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: WTService - Unknown owner - 
 

C:\WINDOWS\system32\atwtusb.exe

O24 - Desktop Component 0: (no name) - 
 

h**p://books.google.com/images/cleardot.gif
 

--

End of file - 9292 bytes

Ich hoffe ihr könnt mir helfen. Natürlich wäre es mir am liebsten das System nicht neu installieren zu müssen, aber erstmal schauen was ihr sagt.

MfG und :dankeschoen:

Acid22

So nun habe ich Mam und Combofix ausgeführt. Combofix ist recht fix durchgelaufen. Hoffe ich habe nix falsch gemacht.

HIer die Log files:

Mam

Code:

Malwarebytes' Anti-Malware 1.30

Datenbank Version: 1316

Windows 5.1.2600 Service Pack 2
 

25.10.2008 12:21:34

mbam-log-2008-10-25 (12-21-34).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)

Durchsuchte Objekte: 167043

Laufzeit: 57 minute(s), 51 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 1

Infizierte Dateien: 6
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Helper (Spyware.Banker) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System (Trojan.FakeAlert) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

C:\Programme\Microsoft Security Adviser (Trojan.Downloader) -> Quarantined and deleted successfully.
 

Infizierte Dateien:

C:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\_003605_.tmp.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\_003636_.tmp.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\commands.xml (Malware.Trace) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\dlh9jkd1q8.exe (Heuristics.Malware) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\help.txt (Stolen.Data) -> Quarantined and deleted successfully.

und hier ist Combofix:

Code:

ComboFix 08-10-24.02 - Manolis 2008-10-25 13:47:38.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.580 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Manolis\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOWS\rasqervy.dll

C:\WINDOWS\sdfinacs.dll

C:\WINDOWS\sdfixwcs.dll

C:\WINDOWS\system32\_003423_.tmp.dll

C:\WINDOWS\system32\_003594_.tmp.dll

C:\WINDOWS\system32\_003595_.tmp.dll

C:\WINDOWS\system32\_003596_.tmp.dll

C:\WINDOWS\system32\_003597_.tmp.dll

C:\WINDOWS\system32\_003604_.tmp.dll

C:\WINDOWS\system32\_003606_.tmp.dll

C:\WINDOWS\system32\_003607_.tmp.dll

C:\WINDOWS\system32\_003609_.tmp.dll

C:\WINDOWS\system32\_003610_.tmp.dll

C:\WINDOWS\system32\_003613_.tmp.dll

C:\WINDOWS\system32\_003614_.tmp.dll

C:\WINDOWS\system32\_003616_.tmp.dll

C:\WINDOWS\system32\_003617_.tmp.dll

C:\WINDOWS\system32\_003618_.tmp.dll

C:\WINDOWS\system32\_003619_.tmp.dll

C:\WINDOWS\system32\_003620_.tmp.dll

C:\WINDOWS\system32\_003621_.tmp.dll

C:\WINDOWS\system32\_003623_.tmp.dll

C:\WINDOWS\system32\_003627_.tmp.dll

C:\WINDOWS\system32\_003628_.tmp.dll

C:\WINDOWS\system32\_003630_.tmp.dll

C:\WINDOWS\system32\_003631_.tmp.dll

C:\WINDOWS\system32\_003633_.tmp.dll

C:\WINDOWS\system32\_003635_.tmp.dll

C:\WINDOWS\system32\_003637_.tmp.dll

C:\WINDOWS\system32\_003638_.tmp.dll

C:\WINDOWS\system32\_003639_.tmp.dll

C:\WINDOWS\system32\_003642_.tmp.dll

C:\WINDOWS\system32\_003644_.tmp.dll

C:\WINDOWS\system32\_003645_.tmp.dll

C:\WINDOWS\system32\_003646_.tmp.dll

C:\WINDOWS\system32\_003650_.tmp.dll

C:\WINDOWS\wuasirvy.dll
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-09-25 bis 2008-10-25  ))))))))))))))))))))))))))))))

.
 

2008-10-25 11:22 . 2008-10-25 11:22        <DIR>        d--------        C:\Dokumente und Einstellungen\M***\Anwendungsdaten\Malwarebytes

2008-10-25 11:21 . 2008-10-25 11:22        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-10-25 11:21 . 2008-10-25 11:21        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-10-25 11:21 . 2008-10-22 16:10        38,496        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-10-25 11:21 . 2008-10-22 16:10        15,504        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-10-23 11:29 . 2008-10-23 11:29        <DIR>        d--------        C:\Programme\Trend Micro

2008-10-22 10:36 . 2008-10-22 10:36        250        --a------        C:\WINDOWS\gmer.ini
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-25 10:59        ---------        d-----w        C:\Dokumente und Einstellungen\M***\Anwendungsdaten\Free Download Manager

2008-10-20 19:11        11,838,052        ----a-w        C:\WINDOWS\Internet Logs\tvDebug.zip

2008-09-18 14:42        ---------        d-----w        C:\Programme\ICQ6

2008-09-17 20:39        ---------        d-----w        C:\Dokumente und Einstellungen\M***\Anwendungsdaten\DeskSoft

2008-09-17 20:38        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-09-17 20:38        ---------        d-----w        C:\Programme\ICQ6Toolbar

2008-09-17 20:38        ---------        d-----w        C:\Dokumente und Einstellungen\M***\Anwendungsdaten\ICQ

2008-09-17 20:38        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ

2008-09-05 06:47        ---------        d-----w        C:\Dokumente und Einstellungen\M***\Anwendungsdaten\Samsung

2008-09-05 06:44        ---------        d-----w        C:\Programme\DIFX

2008-09-05 06:42        ---------        d-----w        C:\Programme\Samsung

2008-08-26 20:44        ---------        d-----w        C:\Programme\Photosynth

2008-08-18 23:20        918,016        ----a-w        C:\WINDOWS\Internet Logs\xDB77.tmp

2008-07-22 11:13        30,472        ----a-w        C:\Dokumente und Einstellungen\M***\Anwendungsdaten\GDIPFONTCACHEV1.DAT

.
 

------- Sigcheck -------
 

2004-08-04 14:00  1696768  bf6e9d3d1cd0a13718b83ff6115c5383        C:\WINDOWS\explorer.exe

2004-08-04 14:00  1696768  bf6e9d3d1cd0a13718b83ff6115c5383        C:\WINDOWS\system32\dllcache\explorer.exe

2004-08-04 14:00  1035264  22fe1be02eadde1632e478e4125639e0        C:\WINDOWS\XPize Darkside\Backup\explorer.exe
 

2004-08-04 14:00  30208  351b207fe267e326a2b2adde69306424        C:\WINDOWS\system32\ctfmon.exe

2004-08-04 14:00  30208  351b207fe267e326a2b2adde69306424        C:\WINDOWS\system32\dllcache\ctfmon.exe

2004-08-04 14:00  15360  7ce20569925df6789c31799f0c538f29        C:\WINDOWS\XPize Darkside\Backup\ctfmon.exe

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 30208]

"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

"TaskSwitchXP"="C:\Programme\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 62976]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 344064]

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-14 262401]

"Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-24 968696]

"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]

"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-08-11 188416]

"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2006-11-29 90112]

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 286720]

"SoundMan"="SOUNDMAN.EXE" [2004-06-18 C:\WINDOWS\SOUNDMAN.EXE]

"MacrokeyManager"="WTMKM.exe" [2007-05-29 C:\WINDOWS\system32\WTMKM.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 30208]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoMSAppLogo5ChannelNotify"= 0 (0x0)

"NoBandCustomize"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"midi1"= c_257413.nls

"wave1"= c_257413.nls

"midi2"= c_257413.nls

"mixer1"= c_257413.nls

"wave2"= c_257413.nls

"mixer2"= c_257413.nls

"aux1"= c_257413.nls

"aux2"= c_257413.nls
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^tax aktuell.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\tax aktuell.lnk

backup=C:\WINDOWS\pss\tax aktuell.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^M***^Startmenü^Programme^Autostart^InteresTV.lnk]

path=C:\Dokumente und Einstellungen\M***\Startmenü\Programme\Autostart\InteresTV.lnk

backup=C:\WINDOWS\pss\InteresTV.lnkStartup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Manolis^Startmenü^Programme^Autostart^Juice.lnk]

path=C:\Dokumente und Einstellungen\M***\Startmenü\Programme\Autostart\Juice.lnk

backup=C:\WINDOWS\pss\Juice.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DataLayer]

--a------ 2005-06-07 11:31 819712 C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Download Manager]

--a------ 2006-08-10 18:32 2089007 C:\Programme\Free Download Manager\fdm.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]

--a------ 2007-09-02 01:33 1836544 C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]

--a------ 2003-06-26 18:50 212992 C:\Programme\HP\hpcoretech\hpcmpmgr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2003-06-25 11:24 49152 C:\Programme\HP\HP Software Update\hpwuSchd.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]

--a------ 2008-08-24 17:14 173304 C:\Programme\ICQ6\ICQ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMReminderService]

-ra------ 2007-05-18 00:05 37392 C:\Programme\Mindjet\MindManager 7\MmReminderService.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

--a------ 2007-01-19 12:55 5674352 C:\Programme\MSN Messenger\msnmsgr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]

--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]

--a------ 2005-06-29 15:29 176128 C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-06-29 06:24 286720 C:\Programme\QuickTime\QTTask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Update Service]

--a-s---- 2007-09-13 22:54 19456 C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]

-ra------ 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=

"C:\\Programme\\MSN Messenger\\livecall.exe"=

"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"C:\\Programme\\Skype\\Phone\\Skype.exe"=

"C:\\Programme\\ICQ6\\ICQ.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
 

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-14 22336]

R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-14 41792]

R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2006-10-04 61440]

R2 WTService;WTService;C:\WINDOWS\system32\atwtusb.exe [2007-05-29 360096]

S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 17280]

S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]

.

Inhalt des "geplante Tasks" Ordners
 

2008-10-04 C:\WINDOWS\Tasks\HP DArC Task #Hewlett-Packard#hp psc 1300 series#1175721906.job

- C:\Programme\HP\hpcoretech\comp\hpdarc.exe [2003-06-26 18:50]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKCU-Run-LClock - C:\Programme\LClock\LClock.exe

HKCU-Run-Vista Sidebar - C:\Programme\Vista Sidebar\sidebar.exe

HKCU-Run-ViStart - C:\Programme\ViStart\ViStart.exe

HKCU-Run-ViOrb - C:\Programme\ViOrb\ViOrb.exe

HKLM-Run-SunJavaUpdateSched - C:\Programme\Java\jre1.6.0_02\bin\jusched.exe

HKLM-Run-DXDllRegExe - dxdllreg.exe

HKLM-Run-pdfSaver3 - (no file)

MSConfigStartUp-ICQ Lite - C:\Programme\ICQLite\ICQLite.exe

MSConfigStartUp-iTunesHelper - C:\Programme\iTunes\iTunesHelper.exe

MSConfigStartUp-pdfSaver3 - C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe

MSConfigStartUp-Picasa Media Detector - C:\Programme\Picasa2\PicasaMediaDetector.exe
 
 

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\M***\Anwendungsdaten\Mozilla\Firefox\Profiles\ufyi68m4.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - h**p://start.icq.com/

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-25 13:53:26

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 
 

C:\WINDOWS\system32\c_257413.nls 124416 bytes executable

C:\WINDOWS\system32\c_257433.nls 412 bytes

C:\WINDOWS\system32\c_257463.nls 11877 bytes
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 3
 

**************************************************************************

.

------------------------ Weitere laufende Prozesse ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\PROGRA~1\MICROS~3\rapimgr.exe

C:\WINDOWS\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-10-25 13:58:00 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2008-10-25 11:57:55
 

Vor Suchlauf: 2.686.537.728 Bytes frei

Nach Suchlauf: 3,448,303,616 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /noguiboot
 

234