Trojaner-Board - TR/Silentbanker.P

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Silentbanker.P (https://www.trojaner-board.de/70739-tr-silentbanker-p.html)

TR/Silentbanker.P

Hallo, Antivir hat gerade bei mir den Trojaner TR/Silentbanker.P gefunden. Leider finde ich nirgendwo Informationen über diesen Trojaner (P-Version). Reicht es wenn mein Antivir diesen Trojaner wie unten beschrieben in Quarantäne verschoben hat?

Die Datei 'C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\e4de00381.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Silentbanker.P' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a15746d.qua' verschoben!

Leider habe ich heute schon eine Überweisung vorgenommen. Wie kann ich prüfen ob die Überweisung an die richtigen Bankdaten ging? Auf anderem PC einloggen und Überweisung anzeigen lassen? Oder kann der Trojaner evtl. auch diese Daten manipuliert haben?

:eek::confused:

Bitte dringend um Hilfe :headbang:

VG Tea-Mo

Hallo...und :hallo:
Info zu Silent Banker

Erstelle bitte einen Log, mit HijackThis.

Frage:
Ist der Silentbanker löschbar?
Heisst kommt die Meldung immer wieder?
Nach dem Hochfahren zb.?
Es ist nicht "versteckt"?

(Ich hatte ihn selber mal, da war er versteckt im System32)

Lade dir Malewarebytes
Lade dir Superantispyware
Führe beides aus und stelle das Ergebnis hier rein.

Hallo, vielen Dank für die schnelle Antwort!

Also laut Antivir (hier habe ich alle befallenen Dateien gelöscht) und Ad-Aware sind keine Infizierungen mehr zu finden. Ich habe 5x neu gestartet und mehrmals mit Antivir erneut nach dem Trojaner gesucht. Scheint weg zu sein.

Die letzten Überweisungen beim Onlinebanking sind laut Umsatzliste auch an die richtigen Kontodaten gegangen (vorrausgesetzt man kann sich auf diese Daten verlassen).

Laut Antivir hatte sich der Trojaner in diversen Macromedia\Common Ordnern festgesetzt. Da ich die betroffenen Dateien gelöscht hatte, bekam ich nun immer beim Neustarten eine Fehlermeldung "Fehler beim Laden von C:\Dokumente und Einstellungen\Test\Anwendungsdaten\Macromedia\Common\e4de00382.dll Das angegebene Modul wurde nicht gefunden".
Nachdem ich daraufhin den Flash-Player samt Ordnern eliminiert hatte und den Flash-Player neu installiert, scheint alles wieder i.O. zu sein. Ich hoffe der Schein trügt nicht...:confused::(

Viele Grüße

Hier die Log-Files:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:30:33, on 07.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Preispiraten - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten\IEButtonPPInterface.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\preispiraten.html
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Preispiraten - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten\preispiraten3ie.exe
O9 - Extra 'Tools' menuitem: Preispiraten - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten\preispiraten3ie.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185803970218
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1185803913015
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: Google Update Service (gupdate1c98e01404eb34) (gupdate1c98e01404eb34) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Wildlife Park 2 AddOn Drivers Auto Removal (pr2ajhyb) (pr2ajhyb) - Koch Media - C:\WINDOWS\system32\pr2ajhyb.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 8414 bytes

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/07/2009 at 06:08 PM

Application Version : 4.25.1014

Core Rules Database Version : 3788
Trace Rules Database Version: 1745

Scan type : Complete Scan
Total Scan Time : 00:27:25

Memory items scanned : 662
Memory threats detected : 0
Registry items scanned : 6251
Registry threats detected : 1
File items scanned : 20802
File threats detected : 28

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Test\Cookies\test@ad.71i[1].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@tracking.quisma[1].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@track.webtrekk[2].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@euros4click[1].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@zbox.zanox[2].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@ad.adfill[2].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@ad.bauerverlag[1].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@komtrack[1].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@traffictrack[2].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@ad.zanox[2].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@dmtracker[1].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@mediaplex[1].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@www.etracker[2].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@www.stats.casio[2].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@tribalfusion[2].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@webmasterplan[2].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@ads.adshopping[2].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@2o7[1].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@doubleclick[2].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@track.webtrekk[1].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\Test\Cookies\test@zanox[1].txt

Trojan.DNSChanger-Codec
HKU\S-1-5-21-615002574-602312424-2472819296-1006\Software\fcn

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1825
Windows 5.1.2600 Service Pack 2

07.03.2009 19:22:25
mbam-log-2009-03-07 (19-22-25).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 196562
Laufzeit: 1 hour(s), 5 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Das Antivir nicht findest heisst nichts...
Guck dich mal im Forum um.
Der Silent Banker hat im Moment Hochkonjunktur...
Und!
Ich glaube es gibt keinen, hier im Forum, der einen Silent Banker befall, ohne Neuausetzten überstanden hat...

GMER - Rootkit Detection

Lade Tralala von File-Upload.net - Tralala.exe
Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
Doppelklick auf Tralala.exe
http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg
Der Reiter Rootkit oben ist schon angewählt
Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner.de hoch und poste den Link.
Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

Code:

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)

=> Fix checked

Das heißt: HiJackThis scannt bestimmte Registry-Bereiche. Du kannst "bösartige"-Einträge dann in der Übersicht mit einem Haken versehen und "Fix checked" drücken, die Einträge sollten aus der registry gelöscht sein.

Instalier dir bitte die aktuelle Javaversion und dein SP3 fehlt auch...
Für letzteres: Start->Windows Update->Schnellsuche=Instaliren
Geht nur, wenn du als Admin eingeloggt bist.

Eine Eigenschaft des Silent Banker ist es z.B. die sämtliche Updates zu verwehren...

Hallo,

vielen, vielen Dank erstmal für Deine Hilfe! Super das es noch so hilfsbereite Leute gibt! :party:
Glaub ich Dir gern das des nix heißt das AV nix findet. Der Trojaner ist anscheinend wirklich nicht von schlechten Eltern. Glücklicherweise hatte ich es bis jetzt noch nicht mit einem Trojaner in dieser Liga zu tun...

Du machst mir ja Mut! :dummguck: Neu Aufsetzen wär schon äußerst unangenehm, aber wem sag ich das. :pukeface:

Die 2 Einträge im Hijackthis habe ich gefixt.

Java-Update läuft gerade und SP3 wird morgen folgen. Hatte Win-Update deaktiviert.

Vielen Dank auch für die Hinweise!

Viele Grüße

Hier das Logfile vom Rootkit:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-07 23:17:10
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.14 ----

SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwAllocateVirtualMemory [0xA80CEB30]
SSDT BAE9493C ZwCreateThread
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwMapViewOfSection [0xA80CE470]
SSDT BAE94928 ZwOpenProcess
SSDT BAE9492D ZwOpenThread
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwProtectVirtualMemory [0xA80CEC50]
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwShutdownSystem [0xA80CE990]
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xA023DF20]
SSDT BAE94932 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text tcpip.sys!IPTransmit + 10FC A5B6DD3A 6 Bytes CALL BA4B3E50 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!IPTransmit + 2850 A5B6F48E 6 Bytes CALL BA4B3E50 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!ARPRcv + 5029 A5B744DC 6 Bytes CALL BA4B3E50 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text wanarp.sys B9CA23FD 7 Bytes CALL BA4B3FA0 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [BA4B4C70] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [BA4B4BD0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [BA4B4B10] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [BA4B48E0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [BA4B48E0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [BA4B4BD0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [BA4B4C70] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [BA4B4B10] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [BA4B4B10] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [BA4B48E0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [BA4B4BD0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [BA4B4C70] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [BA4B48E0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [BA4B4C70] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [BA4B4BD0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [BA4B4B10] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [BA4B4C70] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [BA4B4BD0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [BA4B48E0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [BA4B4B10] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [BA4B48E0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [BA4B4BD0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [BA4B4C70] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [BA4B48E0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [BA4B4B10] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [BA4B4C70] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [BA4B4BD0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- Devices - GMER 1.0.14 ----

Device \Driver\Tcpip \Device\Ip wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\Ip GDTdiIcpt.sys

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\Tcpip \Device\Tcp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\Tcp GDTdiIcpt.sys
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 8913F108
Device \Driver\atapi \Device\Ide\IdePort0 8913F108
Device \Driver\Tcpip \Device\Udp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\Udp GDTdiIcpt.sys
Device \Driver\Tcpip \Device\RawIp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\RawIp GDTdiIcpt.sys
Device \Driver\Tcpip \Device\IPMULTICAST wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\IPMULTICAST GDTdiIcpt.sys
Device \Driver\viamraid \Device\Scsi\viamraid1 89E465F0
Device \Driver\viamraid \Device\Scsi\viamraid1Port2Path0Target0Lun0 89E465F0

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060d005a0
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060d01490
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060d005a0
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060d01490
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7ECF96AB-D916-D97C-1533-8815F26896C7}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7ECF96AB-D916-D97C-1533-8815F26896C7}@abahgfijgofbdklincgllnhjdngldkbdob 0x6B 0x61 0x6D 0x6B ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7ECF96AB-D916-D97C-1533-8815F26896C7}@pakgadnkomlflheidoonmjmgoibbamcl 0x6B 0x61 0x6D 0x6B ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7ECF96AB-D916-D97C-1533-8815F26896C7}@abmegcbpimkiodcopelidcjffpckomdgpe 0x61 0x61 0x00 0x00
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7ECF96AB-D916-D97C-1533-8815F26896C7}@mapdijoakoigffifkffklmmbjg 0x61 0x61 0x00 0x00

---- EOF - GMER 1.0.14 ----

Zitat:

Zitat von john.doe (Beitrag 419046)

Ich hoffe, du hast das hier gelesen: Silent Banker: Online-Bankraub in aller Stille - PC-WELT

Eine Neuinstallation ist schneller und sicherer. Falls du es doch versuchen möchtest, dann:

1) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Ich bitte dich, dass hier einmal durchzuführen..

So, SP3 und ComboFix durchgeführt... :crazy:

ComboFix 09-03-06.02 - Test 2009-03-08 13:37:18.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2046.1553 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Test\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
FW: Sygate Personal Firewall *disabled*
.
ADS - WINDOWS: deleted 72 bytes in 1 streams.

((((((((((((((((((((((( Dateien erstellt von 2009-02-08 bis 2009-03-08 ))))))))))))))))))))))))))))))
.

2009-03-08 13:25 . 2009-03-08 13:25 <DIR> d-------- c:\windows\LastGood
2009-03-08 13:10 . 2009-03-08 13:10 <DIR> d-------- c:\programme\MSXML 4.0
2009-03-08 13:10 . 2009-03-08 13:19 1,355 --a------ c:\windows\imsins.BAK
2009-03-08 12:07 . 2008-12-20 23:30 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-03-08 12:05 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-03-08 12:04 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-03-08 12:02 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-03-08 12:02 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-08 12:02 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-08 12:02 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-03-08 11:58 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-03-08 11:20 . 2004-08-04 13:00 221,184 --a------ c:\windows\system32\wmpns.dll
2009-03-08 11:04 . 2009-03-08 11:04 <DIR> d-------- c:\windows\system32\de
2009-03-08 11:04 . 2009-03-08 11:04 <DIR> d-------- c:\windows\system32\bits
2009-03-08 11:04 . 2009-03-08 11:04 <DIR> d-------- c:\windows\l2schemas
2009-03-08 11:02 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-03-08 11:02 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-03-08 11:01 . 2009-03-08 11:04 <DIR> d-------- c:\windows\ServicePackFiles
2009-03-08 11:01 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-03-08 11:01 . 2008-05-01 15:34 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2009-03-08 11:00 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-03-08 10:57 . 2009-03-08 10:57 <DIR> d-------- c:\windows\EHome
2009-03-08 10:50 . 2004-08-04 00:38 327,168 --------- c:\windows\system32\drivers\ati2mtaa.sys
2009-03-08 10:40 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2009-03-07 23:35 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-03-07 23:35 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-03-07 23:26 . 2009-03-07 23:26 410,984 --a------ c:\windows\system32\deploytk.dll
2009-03-07 20:14 . 2009-03-07 20:14 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\SACore
2009-03-07 20:01 . 2009-03-07 20:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2009-03-07 19:59 . 2009-03-07 20:29 <DIR> d-------- c:\programme\McAfee
2009-03-07 19:59 . 2009-03-07 19:59 <DIR> d-------- c:\programme\Gemeinsame Dateien\McAfee
2009-03-07 19:59 . 2009-03-07 19:59 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-03-07 19:53 . 2009-03-07 19:53 <DIR> d-------- c:\programme\CCleaner
2009-03-07 17:19 . 2009-03-07 17:19 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-03-07 17:19 . 2009-03-07 17:19 <DIR> d-------- c:\dokumente und einstellungen\Test\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-07 17:19 . 2009-03-07 17:19 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-07 17:17 . 2009-03-07 17:17 <DIR> d-------- c:\dokumente und einstellungen\Test\Anwendungsdaten\Malwarebytes
2009-03-07 17:16 . 2009-03-07 17:16 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-07 17:16 . 2009-03-07 17:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-07 17:16 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-07 17:16 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-06 21:08 . 2009-03-06 21:08 <DIR> d-------- c:\programme\Trend Micro

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-08 12:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-03-07 22:26 --------- d-----w c:\programme\Java
2009-03-07 21:30 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-03-07 18:39 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-03-07 16:18 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-03-06 17:16 --------- d-----w c:\programme\Preispiraten
2009-03-04 19:50 --------- d-----w c:\programme\eMule
2009-02-13 17:37 --------- d-----w c:\programme\Google
2009-02-04 19:32 --------- d-----w c:\programme\dm
2009-01-26 15:09 --------- d-----w c:\dokumente und einstellungen\Test\Anwendungsdaten\skypePM
2009-01-18 13:16 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-01-08 18:05 --------- d-----w c:\dokumente und einstellungen\Test\Anwendungsdaten\Nokia Multimedia Player
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-19 12:45 1,136 ----a-w c:\dokumente und einstellungen\Test\Anwendungsdaten\filterclsid.dat
2008-12-17 18:28 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2007-08-03 18:35 206 ----a-w c:\dokumente und einstellungen\Test\Anwendungsdaten\wklnhst.dat
2002-11-21 11:17 400,384 ------w c:\programme\ClonyXXL.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-02-17 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 737369]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-10-15 2577632]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-07 136600]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"RTHDCPL"="RTHDCPL.EXE" [2006-02-27 c:\windows\RTHDCPL.EXE]
"SMSERIAL"="sm56hlpr.exe" [2005-09-16 c:\windows\sm56hlpr.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-05-10 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"PcSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"rundll32.exe"=rundll32.exe "c:\dokumente und einstellungen\Test\Anwendungsdaten\Macromedia\Common\e4de00381.dll""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"c:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:emule
"4672:UDP"= 4672:UDP:emule2

R0 BsStor;B.H.A Storage Helper Driver;c:\windows\system32\drivers\BsStor.sys [2006-08-11 9344]
R0 pe3ajhyb;Wildlife Park 2 AddOn Environment Driver (pe3ajhyb);c:\windows\system32\drivers\pe3ajhyb.sys [2007-03-05 65424]
R0 ps6ajhyb;Wildlife Park 2 AddOn Synchronization Driver (ps6ajhyb);c:\windows\system32\drivers\ps6ajhyb.sys [2007-03-05 52120]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [2006-07-05 63352]
R1 bbcap;bbcap;c:\windows\system32\drivers\bbcap.sys [2008-03-19 2944]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-02-17 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-02-17 55024]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [2007-01-15 27219]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [2007-07-18 3712]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programme\McAfee\SiteAdvisor\McSACore.exe [2009-03-07 206096]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2008-11-27 603904]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-02-17 7408]
S2 gupdate1c98e01404eb34;Google Update Service (gupdate1c98e01404eb34);c:\programme\Google\Update\GoogleUpdate.exe [2009-02-13 133104]
S2 pr2ajhyb;Wildlife Park 2 AddOn Drivers Auto Removal (pr2ajhyb);c:\windows\system32\pr2ajhyb.exe svc --> c:\windows\system32\pr2ajhyb.exe svc [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe --> c:\magix\Common\Database\bin\fbserver.exe [?]
S3 kwwalpgr;kwwalpgr;\??\c:\dokume~1\Test\LOKALE~1\Temp\kwwalpgr.sys --> c:\dokume~1\Test\LOKALE~1\Temp\kwwalpgr.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-03-08 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-18 13:57]

2009-03-08 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-13 18:06]

2009-03-08 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-13 18:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://de.search.yahoo.com/search?fr=mcafee&p=%s
IE: &Add animation to IncrediMail Style Box - c:\progra~1\INCRED~1\bin\resources\WebMenuImg.htm
IE: &Preispiratensuche nach markiertem Text - c:\\Programme\\Preispiraten\\preispiraten.html
IE: add to &BOM - c:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Test\Anwendungsdaten\Mozilla\Firefox\Profiles\6h1ovew0.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: network.proxy.type - 4
FF - component: c:\programme\McAfee\SiteAdvisor\components\McFFPlg.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1487.6512\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.141.5\npGoogleOneClick7.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: network.http.max-persistent-connections-per-server - 3
FF - user.js: nglayout.initialpaint.delay - 750
FF - user.js: content.notify.interval - 750000
FF - user.js: content.max.tokenizing.time - 2250000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-08 13:38:22
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-615002574-602312424-2472819296-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7ECF96AB-D916-D97C-1533-8815F26896C7}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"abahgfijgofbdklincgllnhjdngldkbdob"=hex:6b,61,6d,6b,69,6a,61,64,6d,6a,6f,62,
65,6d,6c,64,6a,6c,6c,63,68,6d,00,00
"pakgadnkomlflheidoonmjmgoibbamcl"=hex:6b,61,6d,6b,69,6a,61,64,6d,6a,6f,62,65,
6d,6c,64,6a,6c,6c,63,68,6d,00,00
"abmegcbpimkiodcopelidcjffpckomdgpe"=hex:61,61,00,00
"mapdijoakoigffifkffklmmbjg"=hex:61,61,00,00
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1044)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-08 13:39:40
ComboFix-quarantined-files.txt 2009-03-08 12:39:38

Vor Suchlauf: 19 Verzeichnis(se), 27.660.947.456 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 27,653,718,016 Bytes frei

205 --- E O F --- 2009-03-08 12:20:08

Ich springe mal kurz ein:

1.) Deinstalliere:

emule
Superantispyware
Google-Gelumpe
Sygate Personal Firewall

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Driver::

vsdatant

kwwalpgr

gupdate1c98e01404eb34

McAfee SiteAdvisor Service
 

Reglock::

[HKEY_USERS\S-1-5-21-615002574-602312424-2472819296-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7ECF96AB-D916-D97C-1533-8815F26896C7}*]
 

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"=-
 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]

[-HKEY_USERS\S-1-5-21-615002574-602312424-2472819296-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7ECF96AB-D916-D97C-1533-8815F26896C7}]
 

File::

c:\windows\Tasks\Google Software Updater.job

c:\windows\Tasks\GoogleUpdateTaskMachine.job
 

Folder::

C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia

c:\PROGRA~1\BIET-O~1

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Hallo, erledigt...

ComboFix 09-03-06.02 - Test 2009-03-08 15:19:56.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2046.1561 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Test\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Test\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\Tasks\Google Software Updater.job
c:\windows\Tasks\GoogleUpdateTaskMachine.job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia
c:\progra~1\BIET-O~1
c:\progra~1\BIET-O~1\AddToBOM.hta
c:\progra~1\BIET-O~1\Biet-O-Matic.exe
c:\progra~1\BIET-O~1\BOM Logging Config Tool.exe
c:\progra~1\BIET-O~1\BOM_DE.chm
c:\progra~1\BIET-O~1\BOMUpdate - Parameter.txt
c:\progra~1\BIET-O~1\BOMUpdate.exe
c:\progra~1\BIET-O~1\HTMLLogViewer.exe
c:\progra~1\BIET-O~1\install.log
c:\progra~1\BIET-O~1\Languages.ini
c:\progra~1\BIET-O~1\License.txt
c:\progra~1\BIET-O~1\Lizenz.txt
c:\progra~1\BIET-O~1\ReadMe - cURL.txt
c:\progra~1\BIET-O~1\ReadMe - ODBC.txt
c:\progra~1\BIET-O~1\ReadMe - stunnel.txt
c:\progra~1\BIET-O~1\ServerStrings_befr.ebay.be.ini
c:\progra~1\BIET-O~1\ServerStrings_benl.ebay.be.ini
c:\progra~1\BIET-O~1\ServerStrings_ebay.at.ini
c:\progra~1\BIET-O~1\ServerStrings_ebay.ca.ini
c:\progra~1\BIET-O~1\ServerStrings_ebay.ch.ini
c:\progra~1\BIET-O~1\ServerStrings_ebay.co.uk.ini
c:\progra~1\BIET-O~1\ServerStrings_ebay.com.au.ini
c:\progra~1\BIET-O~1\ServerStrings_ebay.com.ini
c:\progra~1\BIET-O~1\ServerStrings_ebay.de.ini
c:\progra~1\BIET-O~1\ServerStrings_ebay.fr.ini
c:\progra~1\BIET-O~1\ServerStrings_ebay.it.ini
c:\progra~1\BIET-O~1\ServerStrings_ebay.nl.ini
c:\progra~1\BIET-O~1\ServerStrings_egun.de.ini
c:\progra~1\BIET-O~1\ServerStrings_hood.de.ini
c:\progra~1\BIET-O~1\ServerStrings_motors.ebay.com.ini
c:\progra~1\BIET-O~1\UNWISE.EXE
c:\progra~1\BIET-O~1\UNWISE.INI
c:\progra~1\BIET-O~1\WhatsNew.txt

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GUPDATE1C98E01404EB34
-------\Legacy_KWWALPGR
-------\Legacy_MCAFEE_SITEADVISOR_SERVICE
-------\Service_gupdate1c98e01404eb34
-------\Service_kwwalpgr
-------\Service_McAfee SiteAdvisor Service

((((((((((((((((((((((( Dateien erstellt von 2009-02-08 bis 2009-03-08 ))))))))))))))))))))))))))))))
.

2009-03-08 13:10 . 2009-03-08 13:10 <DIR> d-------- c:\programme\MSXML 4.0
2009-03-08 13:10 . 2009-03-08 13:44 1,355 --a------ c:\windows\imsins.BAK
2009-03-08 12:07 . 2008-12-20 23:30 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-03-08 12:05 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-03-08 12:04 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-03-08 12:02 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-03-08 12:02 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-08 12:02 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-08 12:02 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-03-08 11:58 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-03-08 11:20 . 2004-08-04 13:00 221,184 --a------ c:\windows\system32\wmpns.dll
2009-03-08 11:04 . 2009-03-08 11:04 <DIR> d-------- c:\windows\system32\de
2009-03-08 11:04 . 2009-03-08 11:04 <DIR> d-------- c:\windows\system32\bits
2009-03-08 11:04 . 2009-03-08 11:04 <DIR> d-------- c:\windows\l2schemas
2009-03-08 11:02 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-03-08 11:02 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-03-08 11:01 . 2009-03-08 11:04 <DIR> d-------- c:\windows\ServicePackFiles
2009-03-08 11:01 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-03-08 11:01 . 2008-05-01 15:34 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2009-03-08 11:00 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-03-08 10:57 . 2009-03-08 10:57 <DIR> d-------- c:\windows\EHome
2009-03-08 10:50 . 2004-08-04 00:38 327,168 --------- c:\windows\system32\drivers\ati2mtaa.sys
2009-03-08 10:40 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2009-03-07 23:35 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-03-07 23:35 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-03-07 23:26 . 2009-03-07 23:26 410,984 --a------ c:\windows\system32\deploytk.dll
2009-03-07 20:14 . 2009-03-07 20:14 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\SACore
2009-03-07 20:01 . 2009-03-07 20:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2009-03-07 19:59 . 2009-03-07 20:29 <DIR> d-------- c:\programme\McAfee
2009-03-07 19:59 . 2009-03-07 19:59 <DIR> d-------- c:\programme\Gemeinsame Dateien\McAfee
2009-03-07 19:59 . 2009-03-07 19:59 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-03-07 19:53 . 2009-03-07 19:53 <DIR> d-------- c:\programme\CCleaner
2009-03-07 17:19 . 2009-03-08 15:00 <DIR> d-------- c:\dokumente und einstellungen\Test\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-07 17:19 . 2009-03-07 17:19 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-07 17:17 . 2009-03-07 17:17 <DIR> d-------- c:\dokumente und einstellungen\Test\Anwendungsdaten\Malwarebytes
2009-03-07 17:16 . 2009-03-07 17:16 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-07 17:16 . 2009-03-07 17:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-07 17:16 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-07 17:16 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-06 21:08 . 2009-03-06 21:08 <DIR> d-------- c:\programme\Trend Micro

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-08 14:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-03-08 14:03 --------- d-----w c:\programme\Google
2009-03-08 14:00 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-03-07 22:26 --------- d-----w c:\programme\Java
2009-03-07 18:39 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-03-06 17:16 --------- d-----w c:\programme\Preispiraten
2009-02-04 19:32 --------- d-----w c:\programme\dm
2009-01-26 15:09 --------- d-----w c:\dokumente und einstellungen\Test\Anwendungsdaten\skypePM
2009-01-18 13:16 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-01-08 18:05 --------- d-----w c:\dokumente und einstellungen\Test\Anwendungsdaten\Nokia Multimedia Player
2008-12-19 12:45 1,136 ----a-w c:\dokumente und einstellungen\Test\Anwendungsdaten\filterclsid.dat
2007-08-03 18:35 206 ----a-w c:\dokumente und einstellungen\Test\Anwendungsdaten\wklnhst.dat
2002-11-21 11:17 400,384 ------w c:\programme\ClonyXXL.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-03-08_13.38.48,00 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
- 2006-11-03 08:55:48 316,928 ----a-w c:\windows\inf\unregmp2.exe
+ 2007-06-29 11:02:06 318,464 ----a-w c:\windows\inf\unregmp2.exe
+ 2006-10-27 13:07:36 17,891,112 ----a-r c:\windows\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.4518\EXCEL.EXE
+ 2006-10-26 18:55:38 138,024 ----a-r c:\windows\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.4518\IMPMAIL.DLL
+ 2006-10-27 13:16:36 46,864 ----a-r c:\windows\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.4518\OUTLRPC.DLL
+ 2006-10-26 19:17:08 11,072 ----a-r c:\windows\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.4518\XLCALL32.DLL
- 2009-03-08 12:20:04 1,165,584 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\accicons.exe
+ 2009-03-08 14:09:58 1,165,584 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\accicons.exe
- 2009-03-08 12:20:04 20,240 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\cagicon.exe
+ 2009-03-08 14:09:58 20,240 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\cagicon.exe
- 2009-03-08 12:20:04 159,504 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\inficon.exe
+ 2009-03-08 14:09:58 159,504 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\inficon.exe
- 2009-03-08 12:20:04 184,080 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\joticon.exe
+ 2009-03-08 14:09:58 184,080 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\joticon.exe
- 2009-03-08 12:20:04 217,864 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\misc.exe
+ 2009-03-08 14:09:58 217,864 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\misc.exe
- 2009-03-08 12:20:04 18,704 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\mspicons.exe
+ 2009-03-08 14:09:58 18,704 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\mspicons.exe
- 2009-03-08 12:20:04 35,088 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\oisicon.exe
+ 2009-03-08 14:09:58 35,088 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\oisicon.exe
- 2009-03-08 12:20:04 845,584 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe
+ 2009-03-08 14:09:58 845,584 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe
- 2009-03-08 12:20:04 922,384 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pptico.exe
+ 2009-03-08 14:09:58 922,384 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pptico.exe
- 2009-03-08 12:20:04 272,648 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pubs.exe
+ 2009-03-08 14:09:58 272,648 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pubs.exe
- 2009-03-08 12:20:04 888,080 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\wordicon.exe
+ 2009-03-08 14:09:58 888,080 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\wordicon.exe
- 2009-03-08 12:20:04 1,172,240 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\xlicons.exe
+ 2009-03-08 14:09:58 1,172,240 ----a-r c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\xlicons.exe
- 2008-04-14 02:22:40 139,264 ----a-w c:\windows\system32\cscript.exe
+ 2008-05-07 09:07:23 135,168 ----a-w c:\windows\system32\cscript.exe
+ 2008-05-07 09:07:23 135,168 -c----w c:\windows\system32\dllcache\cscript.exe
+ 2008-07-07 20:26:58 253,952 -c----w c:\windows\system32\dllcache\es.dll
+ 2008-05-09 10:54:09 512,000 -c----w c:\windows\system32\dllcache\jscript.dll
- 2006-10-18 19:03:58 100,864 -c--a-w c:\windows\system32\dllcache\logagent.exe
+ 2008-06-18 00:09:22 100,864 -c--a-w c:\windows\system32\dllcache\logagent.exe
+ 2008-06-24 16:42:48 74,240 -c----w c:\windows\system32\dllcache\mscms.dll
- 2008-04-14 02:22:18 1,306,624 -c----w c:\windows\system32\dllcache\msxml6.dll
+ 2008-09-10 01:13:38 1,307,648 -c----w c:\windows\system32\dllcache\msxml6.dll
+ 2008-05-07 05:10:35 1,293,824 -c----w c:\windows\system32\dllcache\quartz.dll
+ 2008-05-09 10:54:10 180,224 -c----w c:\windows\system32\dllcache\scrobj.dll
+ 2008-05-09 10:54:10 172,032 -c----w c:\windows\system32\dllcache\scrrun.dll
+ 2008-06-17 19:00:59 8,502,272 -c----w c:\windows\system32\dllcache\shell32.dll
- 2006-11-03 08:55:48 316,928 -c--a-w c:\windows\system32\dllcache\unregmp2.exe
+ 2007-06-29 11:02:06 318,464 -c--a-w c:\windows\system32\dllcache\unregmp2.exe
+ 2008-05-09 10:54:10 430,080 -c----w c:\windows\system32\dllcache\vbscript.dll
- 2006-10-18 20:47:20 937,984 -c--a-w c:\windows\system32\dllcache\WMNetMgr.dll
+ 2008-06-18 04:03:08 938,496 -c--a-w c:\windows\system32\dllcache\WMNetmgr.dll
- 2006-10-18 20:47:22 2,450,944 -c--a-w c:\windows\system32\dllcache\wmvcore.dll
+ 2008-06-18 04:03:14 2,458,112 -c--a-w c:\windows\system32\dllcache\WMVCore.dll
+ 2008-05-08 11:24:44 155,648 -c----w c:\windows\system32\dllcache\wscript.exe
+ 2008-05-09 10:54:10 90,112 -c----w c:\windows\system32\dllcache\wshext.dll
- 2008-04-14 02:22:10 246,272 ----a-w c:\windows\system32\es.dll
+ 2008-07-07 20:26:58 253,952 ----a-w c:\windows\system32\es.dll
- 2008-04-14 02:22:13 512,000 ----a-w c:\windows\system32\jscript.dll
+ 2008-05-09 10:54:09 512,000 ----a-w c:\windows\system32\jscript.dll
- 2006-10-18 19:03:58 100,864 ----a-w c:\windows\system32\logagent.exe
+ 2008-06-18 00:09:22 100,864 ----a-w c:\windows\system32\logagent.exe
- 2008-04-14 02:22:16 73,728 ----a-w c:\windows\system32\mscms.dll
+ 2008-06-24 16:42:48 74,240 ----a-w c:\windows\system32\mscms.dll
- 2008-04-14 02:22:18 1,306,624 ------w c:\windows\system32\msxml6.dll
+ 2008-09-10 01:13:38 1,307,648 ----a-w c:\windows\system32\msxml6.dll
- 2008-04-14 02:22:23 1,293,824 ----a-w c:\windows\system32\quartz.dll
+ 2008-05-07 05:10:35 1,293,824 ----a-w c:\windows\system32\quartz.dll
- 2008-04-14 02:22:23 180,224 ----a-w c:\windows\system32\scrobj.dll
+ 2008-05-09 10:54:10 180,224 ----a-w c:\windows\system32\scrobj.dll
- 2008-04-14 02:22:24 172,032 ----a-w c:\windows\system32\scrrun.dll
+ 2008-05-09 10:54:10 172,032 ----a-w c:\windows\system32\scrrun.dll
- 2008-04-14 02:22:25 8,502,272 ----a-w c:\windows\system32\shell32.dll
+ 2008-06-17 19:00:59 8,502,272 ----a-w c:\windows\system32\shell32.dll
- 2007-11-30 11:18:34 18,808 ------w c:\windows\system32\spmsg.dll
+ 2007-11-30 12:39:14 18,808 ------w c:\windows\system32\spmsg.dll
- 2008-04-14 02:22:31 434,176 ----a-w c:\windows\system32\vbscript.dll
+ 2008-05-09 10:54:10 430,080 ----a-w c:\windows\system32\vbscript.dll
- 2006-10-18 20:47:20 937,984 ----a-w c:\windows\system32\wmnetmgr.dll
+ 2008-06-18 04:03:08 938,496 ----a-w c:\windows\system32\WMNetmgr.dll
- 2006-10-18 20:47:22 2,450,944 ----a-w c:\windows\system32\wmvcore.dll
+ 2008-06-18 04:03:14 2,458,112 ----a-w c:\windows\system32\WMVCore.dll
- 2008-04-14 02:23:06 155,648 ----a-w c:\windows\system32\wscript.exe
+ 2008-05-08 11:24:44 155,648 ----a-w c:\windows\system32\wscript.exe
- 2008-04-14 02:22:32 90,112 ----a-w c:\windows\system32\wshext.dll
+ 2008-05-09 10:54:10 90,112 ----a-w c:\windows\system32\wshext.dll
+ 2009-03-08 14:24:28 16,384 ----atw c:\windows\temp\Perflib_Perfdata_3bc.dat
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 737369]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"RTHDCPL"="RTHDCPL.EXE" [2006-02-27 c:\windows\RTHDCPL.EXE]
"SMSERIAL"="sm56hlpr.exe" [2005-09-16 c:\windows\sm56hlpr.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-05-10 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"PcSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"c:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:emule
"4672:UDP"= 4672:UDP:emule2

R0 BsStor;B.H.A Storage Helper Driver;c:\windows\system32\drivers\BsStor.sys [2006-08-11 9344]
R0 pe3ajhyb;Wildlife Park 2 AddOn Environment Driver (pe3ajhyb);c:\windows\system32\drivers\pe3ajhyb.sys [2007-03-05 65424]
R0 ps6ajhyb;Wildlife Park 2 AddOn Synchronization Driver (ps6ajhyb);c:\windows\system32\drivers\ps6ajhyb.sys [2007-03-05 52120]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [2006-07-05 63352]
R1 bbcap;bbcap;c:\windows\system32\drivers\bbcap.sys [2008-03-19 2944]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [2007-01-15 27219]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [2007-07-18 3712]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2008-11-27 603904]
S2 pr2ajhyb;Wildlife Park 2 AddOn Drivers Auto Removal (pr2ajhyb);c:\windows\system32\pr2ajhyb.exe svc --> c:\windows\system32\pr2ajhyb.exe svc [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe --> c:\magix\Common\Database\bin\fbserver.exe [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-03-08 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-18 13:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://de.search.yahoo.com/search?fr=mcafee&p=%s
IE: &Add animation to IncrediMail Style Box - c:\progra~1\INCRED~1\bin\resources\WebMenuImg.htm
IE: &Preispiratensuche nach markiertem Text - c:\\Programme\\Preispiraten\\preispiraten.html
IE: add to &BOM - c:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Test\Anwendungsdaten\Mozilla\Firefox\Profiles\6h1ovew0.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: network.proxy.type - 4
FF - component: c:\programme\McAfee\SiteAdvisor\components\McFFPlg.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: network.http.max-persistent-connections-per-server - 3
FF - user.js: nglayout.initialpaint.delay - 750
FF - user.js: content.notify.interval - 750000
FF - user.js: content.max.tokenizing.time - 2250000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-08 15:25:21
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-615002574-602312424-2472819296-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7ECF96AB-D916-D97C-1533-8815F26896C7}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"abahgfijgofbdklincgllnhjdngldkbdob"=hex:6b,61,6d,6b,69,6a,61,64,6d,6a,6f,62,
65,6d,6c,64,6a,6c,6c,63,68,6d,00,00
"pakgadnkomlflheidoonmjmgoibbamcl"=hex:6b,61,6d,6b,69,6a,61,64,6d,6a,6f,62,65,
6d,6c,64,6a,6c,6c,63,68,6d,00,00
"abmegcbpimkiodcopelidcjffpckomdgpe"=hex:61,61,00,00
"mapdijoakoigffifkffklmmbjg"=hex:61,61,00,00
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1316)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Lavasoft\Ad-Aware\aawservice.exe
c:\windows\system32\ati2evxx.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-08 15:30:08 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-08 14:30:05
ComboFix2.txt 2009-03-08 12:39:41

Vor Suchlauf: 19 Verzeichnis(se), 28.450.328.576 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 28,352,315,392 Bytes frei

327 --- E O F --- 2009-03-08 14:10:46

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

RegLock::

[HKEY_USERS\S-1-5-21-615002574-602312424-2472819296-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7ECF96AB-D916-D97C-1533-8815F26896C7}*]

[HKEY_USERS\S-1-5-21-615002574-602312424-2472819296-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7ECF96AB-D916-D97C-1533-8815F26896C7}]
 

File::

c:\dokumente und einstellungen\Test\Anwendungsdaten\Macromedia\Common\e4de00381.dll

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hallo,

vielen Dank für die spitzenmäßige Hilfe, aber ich habe mich gesten entschieden den Rechner neu aufzusetzen.
Sicher ist sicher und jetzt läuft er wieder wie geschmiert :)
Zur Datensicherung habe ich mein Ordner "Eigene Dateien" auf externer Festplatte gesichert und diesen nun wieder aufgespielt.
Besteht denn die Möglichkeit das sich der Trojaner auch darin festgesetzt hat?

Antivir und Malware finden auch jetzt keinen TR mehr.

Viele Grüße:party:

Zitat:

Besteht denn die Möglichkeit das sich der Trojaner auch darin festgesetzt hat?

Grundsätzlich schon, ist aber eher unwahrscheinlich. Die aktuellen gehen alle auf das BS los, nicht auf Dateien. Ausnahme ist z.Z. Virut.

ciao, andreas

@John
Danke, für das Einspringen,...ich bin bisschen im Klausurstress....