Trojaner-Board - Norton findet Infostealer kann ihn aber nicht beheben

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Norton findet Infostealer kann ihn aber nicht beheben (https://www.trojaner-board.de/74288-norton-findet-infostealer-ihn-beheben.html)

2009-05-27 17:07:53 ----RA---- C:\WINDOWS\system32\kbdtuq.dll
2009-05-27 17:07:53 ----RA---- C:\WINDOWS\system32\kbdtuf.dll
2009-05-27 17:07:53 ----RA---- C:\WINDOWS\system32\kbdazel.dll
2009-05-27 17:07:51 ----RA---- C:\WINDOWS\system32\kbdycc.dll
2009-05-27 17:07:51 ----RA---- C:\WINDOWS\system32\kbduzb.dll
2009-05-27 17:07:51 ----RA---- C:\WINDOWS\system32\kbdur.dll
2009-05-27 17:07:51 ----RA---- C:\WINDOWS\system32\kbdtat.dll
2009-05-27 17:07:51 ----RA---- C:\WINDOWS\system32\kbdru1.dll
2009-05-27 17:07:51 ----RA---- C:\WINDOWS\system32\kbdru.dll
2009-05-27 17:07:51 ----RA---- C:\WINDOWS\system32\kbdmon.dll
2009-05-27 17:07:51 ----RA---- C:\WINDOWS\system32\kbdkyr.dll
2009-05-27 17:07:51 ----RA---- C:\WINDOWS\system32\kbdkaz.dll
2009-05-27 17:07:51 ----RA---- C:\WINDOWS\system32\kbdbu.dll
2009-05-27 17:07:51 ----RA---- C:\WINDOWS\system32\kbdblr.dll
2009-05-27 17:07:51 ----RA---- C:\WINDOWS\system32\kbdaze.dll
2009-05-27 17:07:49 ----RA---- C:\WINDOWS\system32\kbdhept.dll
2009-05-27 17:07:49 ----RA---- C:\WINDOWS\system32\kbdhela3.dll
2009-05-27 17:07:49 ----RA---- C:\WINDOWS\system32\kbdhela2.dll
2009-05-27 17:07:49 ----RA---- C:\WINDOWS\system32\kbdhe319.dll
2009-05-27 17:07:49 ----RA---- C:\WINDOWS\system32\kbdhe220.dll
2009-05-27 17:07:49 ----RA---- C:\WINDOWS\system32\kbdhe.dll
2009-05-27 17:07:49 ----RA---- C:\WINDOWS\system32\kbdgkl.dll
2009-05-27 17:07:47 ----RA---- C:\WINDOWS\system32\kbdlv1.dll
2009-05-27 17:07:47 ----RA---- C:\WINDOWS\system32\kbdlv.dll
2009-05-27 17:07:47 ----RA---- C:\WINDOWS\system32\kbdlt1.dll
2009-05-27 17:07:47 ----RA---- C:\WINDOWS\system32\kbdlt.dll
2009-05-27 17:07:47 ----RA---- C:\WINDOWS\system32\kbdest.dll
2009-05-27 17:07:45 ----RA---- C:\WINDOWS\system32\kbdycl.dll
2009-05-27 17:07:45 ----RA---- C:\WINDOWS\system32\kbdsl1.dll
2009-05-27 17:07:45 ----RA---- C:\WINDOWS\system32\kbdsl.dll
2009-05-27 17:07:45 ----RA---- C:\WINDOWS\system32\kbdro.dll
2009-05-27 17:07:45 ----RA---- C:\WINDOWS\system32\kbdpl1.dll
2009-05-27 17:07:45 ----RA---- C:\WINDOWS\system32\kbdpl.dll
2009-05-27 17:07:45 ----RA---- C:\WINDOWS\system32\kbdhu1.dll
2009-05-27 17:07:45 ----RA---- C:\WINDOWS\system32\kbdhu.dll
2009-05-27 17:07:45 ----RA---- C:\WINDOWS\system32\kbdcz2.dll
2009-05-27 17:07:45 ----RA---- C:\WINDOWS\system32\kbdcz1.dll
2009-05-27 17:07:45 ----RA---- C:\WINDOWS\system32\kbdcz.dll
2009-05-27 17:07:45 ----RA---- C:\WINDOWS\system32\kbdcr.dll
2009-05-27 17:07:45 ----RA---- C:\WINDOWS\system32\KBDAL.DLL
2009-05-27 17:07:42 ----A---- C:\WINDOWS\system32\irclass.dll
2009-05-27 17:07:42 ----A---- C:\WINDOWS\system32\dgrpsetu.dll
2009-05-27 17:07:41 ----A---- C:\WINDOWS\system32\spxcoins.dll
2009-05-27 17:07:41 ----A---- C:\WINDOWS\system32\EqnClass.Dll
2009-05-27 17:07:41 ----A---- C:\WINDOWS\system32\dgsetup.dll
2009-05-27 17:07:39 ----N---- C:\WINDOWS\system32\CONFIG.TMP
2009-05-27 17:07:39 ----A---- C:\WINDOWS\TASKMAN.EXE
2009-05-27 17:07:38 ----A---- C:\WINDOWS\system32\batt.dll
2009-05-27 17:07:38 ----A---- C:\WINDOWS\NOTEPAD.EXE
2009-05-27 17:07:36 ----A---- C:\WINDOWS\system32\storprop.dll
2009-05-27 17:07:27 ----ASH---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
2009-05-27 17:07:24 ----A---- C:\WINDOWS\system32\MRT.exe
2009-05-27 17:07:20 ----RA---- C:\WINDOWS\SET8.tmp
2009-05-27 17:07:17 ----RA---- C:\WINDOWS\SET4.tmp
2009-05-27 17:07:15 ----RA---- C:\WINDOWS\SET3.tmp
2009-05-27 17:07:09 ----D---- C:\WINDOWS\system32\CatRoot2
2009-05-27 17:07:09 ----D---- C:\WINDOWS\system32\CatRoot
2009-05-27 17:07:03 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2009-05-27 17:06:41 ----D---- C:\Dokumente und Einstellungen
2009-05-27 17:06:40 ----SHD---- C:\System Volume Information
2009-05-27 17:03:23 ----D---- C:\WINDOWS\system32\PreInstall
2009-05-27 16:58:01 ----D---- C:\WINDOWS\system32\windowspowershell
2009-05-27 16:57:48 ----HDC---- C:\WINDOWS\$NtUninstallKB926140-v5$
2009-05-27 16:57:34 ----D---- C:\Programme\MSXML 4.0
2009-05-27 16:48:38 ----HDC---- C:\WINDOWS\$NtUninstallXPSEPSCLP$
2009-05-27 16:46:19 ----D---- C:\Programme\MSBuild
2009-05-27 16:41:08 ----D---- C:\WINDOWS\system32\XPSViewer
2009-05-27 16:41:05 ----D---- C:\WINDOWS\system32\en-us
2009-05-27 16:40:30 ----D---- C:\Programme\Reference Assemblies
2009-05-27 16:40:01 ----N---- C:\WINDOWS\system32\spmsg2.dll
2009-05-27 16:37:05 ----RSD---- C:\WINDOWS\assembly
2009-05-27 16:36:23 ----D---- C:\WINDOWS\Microsoft.NET
2009-05-27 16:35:15 ----N---- C:\WINDOWS\system32\spmsg.dll
2009-05-27 16:35:05 ----HDC---- C:\WINDOWS\$NtUninstallMSCompPackV1$
2009-05-27 16:34:51 ----D---- C:\Programme\Windows Media Connect 2
2009-05-27 16:34:41 ----HDC---- C:\WINDOWS\$NtUninstallwmp11$
2009-05-27 16:34:11 ----HDC---- C:\WINDOWS\$NtUninstallWMFDist11$
2009-05-27 16:33:57 ----D---- C:\WINDOWS\system32\LogFiles
2009-05-27 16:33:46 ----HDC---- C:\WINDOWS\$NtUninstallWudf01000$
2009-05-27 16:33:06 ----D---- C:\WINDOWS\WBEM
2009-05-27 16:32:11 ----HDC---- C:\WINDOWS\ie8
2009-05-27 16:31:20 ----D---- C:\_REG
2009-05-27 16:31:20 ----A---- C:\WINDOWS\system32\subinacl.exe
2009-05-27 16:31:04 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Identities
2009-05-27 16:31:03 ----HD---- C:\Programme\Uninstall Information
2009-05-27 16:30:09 ----A---- C:\WINDOWS\system32\spupdsvc.exe
2009-05-27 16:24:30 ----HD---- C:\WINDOWS\$hf_mig$
2009-05-27 16:24:11 ----ASH---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\desktop.ini
2009-05-27 16:24:10 ----SD---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
2009-05-27 16:23:46 ----D---- C:\WINDOWS\SoftwareDistribution
2009-05-27 16:23:44 ----SD---- C:\WINDOWS\system32\Microsoft
2009-05-27 16:23:44 ----D---- C:\WINDOWS\Prefetch
2009-05-27 16:23:44 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-05-27 16:19:04 ----D---- C:\WINDOWS\system32\xircom
2009-05-27 16:19:04 ----D---- C:\Programme\xerox
2009-05-27 16:19:04 ----D---- C:\Programme\msn gaming zone
2009-05-27 16:19:04 ----D---- C:\Programme\microsoft frontpage
2009-05-27 16:18:24 ----A---- C:\WINDOWS\control.ini
2009-05-27 16:18:24 ----A---- C:\AUTOEXEC.BAT
2009-05-27 16:18:02 ----A---- C:\WINDOWS\system32\mapi32.dll
2009-05-27 16:16:45 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-05-27 16:16:45 ----RD---- C:\WINDOWS\Offline Web Pages
2009-05-27 16:16:45 ----RAH---- C:\WINDOWS\system32\logonui.exe.manifest
2009-05-27 16:16:36 ----RAH---- C:\WINDOWS\system32\cdplayer.exe.manifest
2009-05-27 16:16:30 ----HD---- C:\Programme\WindowsUpdate
2009-05-27 16:16:25 ----D---- C:\Programme\Online-Dienste
2009-05-27 16:16:02 ----D---- C:\WINDOWS\system32\DirectX
2009-05-27 16:15:55 ----A---- C:\WINDOWS\system32\atrace.dll
2009-05-27 16:15:52 ----A---- C:\WINDOWS\system32\desktop.ini
2009-05-27 16:15:52 ----A---- C:\WINDOWS\desktop.ini
2009-05-27 16:15:45 ----A---- C:\WINDOWS\system32\nmevtmsg.dll
2009-05-27 16:15:44 ----A---- C:\WINDOWS\system32\acctres.dll
2009-05-27 16:15:43 ----D---- C:\Programme\Gemeinsame Dateien\Dienste
2009-05-27 16:15:40 ----SD---- C:\WINDOWS\Tasks
2009-05-27 16:15:40 ----A---- C:\WINDOWS\system32\icfgnt5.dll
2009-05-27 16:15:39 ----D---- C:\Programme\Gemeinsame Dateien\MSSoap
2009-05-27 16:15:34 ----D---- C:\WINDOWS\srchasst
2009-05-27 16:15:33 ----D---- C:\WINDOWS\system32\Macromed
2009-05-27 16:15:29 ----A---- C:\WINDOWS\system32\wuweb.dll
2009-05-27 16:15:29 ----A---- C:\WINDOWS\system32\wups.dll
2009-05-27 16:15:29 ----A---- C:\WINDOWS\system32\wucltui.dll
2009-05-27 16:15:29 ----A---- C:\WINDOWS\system32\wuauserv.dll
2009-05-27 16:15:29 ----A---- C:\WINDOWS\system32\wuaueng1.dll
2009-05-27 16:15:29 ----A---- C:\WINDOWS\system32\wuaueng.dll
2009-05-27 16:15:28 ----A---- C:\WINDOWS\system32\wuauclt1.exe
2009-05-27 16:15:28 ----A---- C:\WINDOWS\system32\wuauclt.exe
2009-05-27 16:15:28 ----A---- C:\WINDOWS\system32\wuapi.dll
2009-05-27 16:15:28 ----A---- C:\WINDOWS\system32\qmgrprxy.dll
2009-05-27 16:15:28 ----A---- C:\WINDOWS\system32\bitsprx4.dll
2009-05-27 16:15:28 ----A---- C:\WINDOWS\system32\bitsprx3.dll
2009-05-27 16:15:28 ----A---- C:\WINDOWS\system32\bitsprx2.dll
2009-05-27 16:15:27 ----A---- C:\WINDOWS\system32\qmgr.dll
2009-05-27 16:15:23 ----D---- C:\Programme\Movie Maker
2009-05-27 16:15:00 ----A---- C:\WINDOWS\system32\safrslv.dll
2009-05-27 16:15:00 ----A---- C:\WINDOWS\system32\safrdm.dll
2009-05-27 16:15:00 ----A---- C:\WINDOWS\system32\safrcdlg.dll
2009-05-27 16:14:59 ----A---- C:\WINDOWS\system32\racpldlg.dll
2009-05-27 16:14:55 ----D---- C:\WINDOWS\system32\Restore
2009-05-27 16:14:55 ----A---- C:\WINDOWS\system32\fltMc.exe
2009-05-27 16:14:55 ----A---- C:\WINDOWS\system32\fltlib.dll
2009-05-27 16:14:54 ----A---- C:\WINDOWS\system32\srsvc.dll
2009-05-27 16:14:54 ----A---- C:\WINDOWS\system32\srrstr.dll
2009-05-27 16:14:54 ----A---- C:\WINDOWS\system32\srclient.dll
2009-05-27 16:14:54 ----A---- C:\WINDOWS\system32\ils.dll
2009-05-27 16:14:53 ----A---- C:\WINDOWS\system32\nmmkcert.dll
2009-05-27 16:14:53 ----A---- C:\WINDOWS\system32\msconf.dll
2009-05-27 16:14:53 ----A---- C:\WINDOWS\system32\mnmsrvc.exe
2009-05-27 16:14:53 ----A---- C:\WINDOWS\system32\mnmdd.dll
2009-05-27 16:14:53 ----A---- C:\WINDOWS\system32\isrdbg32.dll
2009-05-27 16:14:50 ----D---- C:\Programme\NetMeeting
2009-05-27 16:14:50 ----A---- C:\WINDOWS\system32\msoert2.dll
2009-05-27 16:14:50 ----A---- C:\WINDOWS\system32\msoeacct.dll
2009-05-27 16:14:49 ----A---- C:\WINDOWS\system32\inetres.dll
2009-05-27 16:14:48 ----A---- C:\WINDOWS\system32\inetcomm.dll
2009-05-27 16:14:46 ----D---- C:\Programme\Outlook Express
2009-05-27 16:14:46 ----A---- C:\WINDOWS\system32\schedsvc.dll
2009-05-27 16:14:46 ----A---- C:\WINDOWS\system32\mstinit.exe
2009-05-27 16:14:46 ----A---- C:\WINDOWS\system32\mstask.dll
2009-05-27 16:14:45 ----A---- C:\WINDOWS\system32\isign32.dll
2009-05-27 16:14:45 ----A---- C:\WINDOWS\system32\inetcfg.dll
2009-05-27 16:14:45 ----A---- C:\WINDOWS\system32\icwphbk.dll
2009-05-27 16:14:45 ----A---- C:\WINDOWS\system32\icwdial.dll
2009-05-27 16:14:38 ----D---- C:\Programme\Gemeinsame Dateien\System
2009-05-27 16:14:37 ----D---- C:\Programme\Internet Explorer
2009-05-27 16:13:44 ----D---- C:\Programme\ComPlus Applications
2009-05-27 16:13:42 ----A---- C:\WINDOWS\vbaddin.ini
2009-05-27 16:13:42 ----A---- C:\WINDOWS\vb.ini
2009-05-27 16:13:37 ----D---- C:\WINDOWS\Registration
2009-05-27 16:13:29 ----D---- C:\Programme\Windows Media Player
2009-05-27 16:13:22 ----A---- C:\WINDOWS\system32\write.exe
2009-05-27 16:13:13 ----A---- C:\WINDOWS\system32\sndvol32.exe
2009-05-27 16:13:13 ----A---- C:\WINDOWS\system32\hticons.dll
2009-05-27 16:13:13 ----A---- C:\WINDOWS\system32\avwav.dll
2009-05-27 16:13:13 ----A---- C:\WINDOWS\system32\avtapi.dll
2009-05-27 16:13:13 ----A---- C:\WINDOWS\system32\avmeter.dll
2009-05-27 16:13:12 ----A---- C:\WINDOWS\system32\winchat.exe
2009-05-27 16:13:07 ----A---- C:\WINDOWS\system32\getuname.dll
2009-05-27 16:13:06 ----A---- C:\WINDOWS\system32\usrlogon.cmd
2009-05-27 16:13:06 ----A---- C:\WINDOWS\system32\tsshutdn.exe
2009-05-27 16:13:06 ----A---- C:\WINDOWS\system32\tskill.exe
2009-05-27 16:13:06 ----A---- C:\WINDOWS\system32\reset.exe
2009-05-27 16:13:06 ----A---- C:\WINDOWS\system32\charmap.exe
2009-05-27 16:13:06 ----A---- C:\WINDOWS\system32\calc.exe
2009-05-27 16:13:05 ----A---- C:\WINDOWS\system32\tslabels.ini
2009-05-27 16:13:05 ----A---- C:\WINDOWS\system32\tsdiscon.exe
2009-05-27 16:13:05 ----A---- C:\WINDOWS\system32\tscon.exe
2009-05-27 16:13:05 ----A---- C:\WINDOWS\system32\shadow.exe
2009-05-27 16:13:05 ----A---- C:\WINDOWS\system32\rwinsta.exe
2009-05-27 16:13:05 ----A---- C:\WINDOWS\system32\regini.exe
2009-05-27 16:13:05 ----A---- C:\WINDOWS\system32\rdpcfgex.dll
2009-05-27 16:13:05 ----A---- C:\WINDOWS\system32\qwinsta.exe
2009-05-27 16:13:05 ----A---- C:\WINDOWS\system32\qappsrv.exe
2009-05-27 16:13:05 ----A---- C:\WINDOWS\system32\msg.exe
2009-05-27 16:13:05 ----A---- C:\WINDOWS\system32\logoff.exe
2009-05-27 16:13:04 ----A---- C:\WINDOWS\system32\msdtcprf.ini
2009-05-27 16:13:04 ----A---- C:\WINDOWS\system32\cdmodem.dll
2009-05-27 16:12:57 ----A---- C:\WINDOWS\system32\wmimgmt.msc
2009-05-27 16:12:56 ----A---- C:\WINDOWS\system32\sndrec32.exe
2009-05-27 16:12:56 ----A---- C:\WINDOWS\system32\mplay32.exe
2009-05-27 16:12:56 ----A---- C:\WINDOWS\system32\hypertrm.dll
2009-05-27 16:12:56 ----A---- C:\WINDOWS\system32\accwiz.exe
2009-05-27 16:12:55 ----D---- C:\Programme\Windows NT
2009-05-27 16:12:55 ----A---- C:\WINDOWS\system32\mspaint.exe
2009-05-27 16:12:55 ----A---- C:\WINDOWS\system32\clipbrd.exe
2009-05-27 16:12:54 ----A---- C:\WINDOWS\system32\tscfgwmi.dll
2009-05-27 16:12:53 ----A---- C:\WINDOWS\system32\tsgqec.dll
2009-05-27 16:12:53 ----A---- C:\WINDOWS\system32\rhttpaa.dll
2009-05-27 16:12:53 ----A---- C:\WINDOWS\system32\aaclient.dll
2009-05-27 16:12:52 ----A---- C:\WINDOWS\system32\remotepg.dll
2009-05-27 16:12:52 ----A---- C:\WINDOWS\system32\rdshost.exe
2009-05-27 16:12:52 ----A---- C:\WINDOWS\system32\rdsaddin.exe
2009-05-27 16:12:52 ----A---- C:\WINDOWS\system32\mstscax.dll
2009-05-27 16:12:52 ----A---- C:\WINDOWS\system32\mstsc.exe
2009-05-27 16:12:51 ----A---- C:\WINDOWS\system32\termsrv.dll
2009-05-27 16:12:51 ----A---- C:\WINDOWS\system32\sessmgr.exe
2009-05-27 16:12:51 ----A---- C:\WINDOWS\system32\rdpwsx.dll
2009-05-27 16:12:51 ----A---- C:\WINDOWS\system32\rdpsnd.dll
2009-05-27 16:12:51 ----A---- C:\WINDOWS\system32\rdpclip.exe
2009-05-27 16:12:51 ----A---- C:\WINDOWS\system32\rdchost.dll
2009-05-27 16:12:51 ----A---- C:\WINDOWS\system32\qprocess.exe
2009-05-27 16:12:50 ----D---- C:\WINDOWS\system32\MsDtc
2009-05-27 16:12:50 ----A---- C:\WINDOWS\system32\mtxoci.dll
2009-05-27 16:12:50 ----A---- C:\WINDOWS\system32\msdtcuiu.dll
2009-05-27 16:12:50 ----A---- C:\WINDOWS\system32\msdtcprx.dll
2009-05-27 16:12:50 ----A---- C:\WINDOWS\system32\icaapi.dll
2009-05-27 16:12:50 ----A---- C:\WINDOWS\system32\cfgbkend.dll
2009-05-27 16:12:49 ----A---- C:\WINDOWS\system32\xolehlp.dll
2009-05-27 16:12:49 ----A---- C:\WINDOWS\system32\msdtctm.dll
2009-05-27 16:12:49 ----A---- C:\WINDOWS\system32\msdtclog.dll
2009-05-27 16:12:49 ----A---- C:\WINDOWS\system32\msdtc.exe
2009-05-27 16:12:48 ----D---- C:\WINDOWS\system32\Com
2009-05-27 16:12:48 ----A---- C:\WINDOWS\system32\mtxlegih.dll
2009-05-27 16:12:48 ----A---- C:\WINDOWS\system32\mtxex.dll
2009-05-27 16:12:48 ----A---- C:\WINDOWS\system32\mtxdm.dll
2009-05-27 16:12:48 ----A---- C:\WINDOWS\system32\dcomcnfg.exe
2009-05-27 16:12:48 ----A---- C:\WINDOWS\system32\colbact.dll
2009-05-27 16:12:47 ----A---- C:\WINDOWS\system32\stclient.dll
2009-05-27 16:12:47 ----A---- C:\WINDOWS\system32\comrepl.dll
2009-05-27 16:12:47 ----A---- C:\WINDOWS\system32\comaddin.dll
2009-05-27 16:12:47 ----A---- C:\WINDOWS\system32\clbcatex.dll
2009-05-27 16:12:47 ----A---- C:\WINDOWS\system32\catsrvut.dll
2009-05-27 16:12:47 ----A---- C:\WINDOWS\system32\catsrvps.dll
2009-05-27 16:12:47 ----A---- C:\WINDOWS\system32\catsrv.dll
2009-05-27 16:12:46 ----A---- C:\WINDOWS\system32\comuid.dll
2009-05-27 16:12:46 ----A---- C:\WINDOWS\system32\comsvcs.dll
2009-05-27 16:12:46 ----A---- C:\WINDOWS\system32\comsnap.dll
2009-05-27 16:12:45 ----A---- C:\WINDOWS\system32\clbcatq.dll
2009-05-27 16:12:38 ----A---- C:\WINDOWS\system32\servdeps.dll
2009-05-27 16:12:38 ----A---- C:\WINDOWS\system32\mmfutil.dll
2009-05-27 16:12:38 ----A---- C:\WINDOWS\system32\licwmi.dll
2009-05-27 16:12:37 ----A---- C:\WINDOWS\system32\cmprops.dll
2009-04-28 15:17:56 ----RA---- C:\WINDOWS\system32\msvcr71.dll
2009-04-28 15:17:56 ----AS---- C:\WINDOWS\system32\msvcp71.dll
2009-04-08 17:59:54 ----A---- C:\WINDOWS\system32\qtp-mt334.dll
2009-04-08 17:59:48 ----A---- C:\WINDOWS\system32\prgiso.dll

======List of files/folders modified in the last 3 months======

2009-06-18 19:33:56 ----A---- C:\WINDOWS\system.ini
2009-05-27 18:08:39 ----A---- C:\WINDOWS\win.ini
2009-05-13 07:02:13 ----A---- C:\WINDOWS\system32\wininet.dll
2009-05-13 07:02:12 ----A---- C:\WINDOWS\system32\mshtml.dll
2009-05-07 17:32:03 ----A---- C:\WINDOWS\system32\localspl.dll
2009-04-30 23:13:04 ----A---- C:\WINDOWS\system32\iertutil.dll
2009-04-30 23:13:03 ----A---- C:\WINDOWS\system32\ieframe.dll
2009-04-30 23:12:57 ----A---- C:\WINDOWS\system32\urlmon.dll
2009-04-30 23:12:57 ----A---- C:\WINDOWS\system32\jsproxy.dll
2009-04-30 23:12:56 ----A---- C:\WINDOWS\system32\iedkcs32.dll
2009-04-30 13:21:08 ----A---- C:\WINDOWS\system32\ie4uinit.exe
2009-04-15 16:51:29 ----A---- C:\WINDOWS\system32\rpcrt4.dll
2009-03-21 16:06:58 ----A---- C:\WINDOWS\system32\kernel32.dll

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R3 EL90XBC;3Com EtherLink XL 90XB/C-Adaptertreiber; C:\WINDOWS\system32\DRIVERS\el90xbc5.sys [2001-08-17 66591]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-03-17 3655712]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
R3 VIAudio;VIA AC'97 Audiocontroller (WDM); C:\WINDOWS\system32\drivers\ac97via.sys [2008-04-13 84480]
S3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2008-04-14 701952]
S3 catchme;catchme; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\catchme.sys []
S3 GMSIPCI;GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS []
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-05-27 152984]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-03-17 143426]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880]

-----------------EOF-----------------

Code:

ComboFix 09-06-18.02 - Administrator 19.06.2009 17:39.2 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.511.321 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\cfscript.txt

AV: Kaspersky Security Suite CBE 09 *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

FW: Kaspersky Security Suite CBE 09 *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
 

FILE ::

"c:\windows\system32\drivers\fidbox.dat"

"c:\windows\system32\drivers\fidbox.idx"

"c:\windows\system32\drivers\fidbox2.dat"

"c:\windows\system32\drivers\fidbox2.idx"

"c:\windows\system32\drivers\SYMEVENT.CAT"

"c:\windows\system32\drivers\SYMEVENT.INF"

"c:\windows\system32\drivers\SYMEVENT.SYS"

"c:\windows\system32\drivers\SymIM.sys"

"c:\windows\system32\perfc007.dat"

"c:\windows\system32\perfh007.dat"

"c:\windows\system32\S32EVNT1.DLL"

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Symantec

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec

c:\programme\Online-Dienste

c:\programme\uTorrent

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent\dht.dat

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent\dht.dat.old

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent\Guano Apes - Discografia.torrent

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent\Norton Internet Security 2009 v16.2.0.7 + Crack -ZabuzaMox-.torrent

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent\resume.dat

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent\resume.dat.old

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent\rss.dat

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent\rss.dat.old

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent\settings.dat

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent\settings.dat.old

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent\utorrent-help.zip

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent\utorrent.chm

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent\www.fusion-torrent.to_Jana.Bachs.Private.Gang.Bang.Party.German.2008.XXX.DVDRip.XviD-CiCXXX.torrent

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Symantec\CEDUrl.txt

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2009\German\kav.de.msi

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2009\German\setup.exe

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\00000082\000000fb\000002bf\cltLMS1.dat

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\00000082\000000fb\000002bf\cltLMS2.dat

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\00000082\000000fb\000002c4\cltLMS1.dat

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\00000082\000000fb\000002c4\cltLMS2.dat

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\00000082\000000fb\cltupgrade.dat

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\symdata.xml

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-14-2009-15h54m26s\NortonInstall-06-14-2009-15h54m26s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-14-2009-15h54m41s\NortonInstall-06-14-2009-15h54m41s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-14-2009-15h59m06s\BHCA-0x07A8.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-14-2009-15h59m06s\Install.1.mft.7z

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-14-2009-15h59m06s\NortonInstall-06-14-2009-15h59m06s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-14-2009-15h59m06s\SymIMexe-0x07C4.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-14-2009-16h16m17s\NortonInstall-06-14-2009-16h16m17s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-14-2009-16h16m42s\NortonInstall-06-14-2009-16h16m42s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-14-2009-16h23m18s\NortonInstall-06-14-2009-16h23m18s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-15-2009-18h36m23s\Install.1.mft

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-15-2009-18h36m23s\NortonInstall-06-15-2009-18h36m23s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-15-2009-18h56m37s\Install.1.mft

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-15-2009-18h56m37s\NortonInstall-06-15-2009-18h56m37s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-15-2009-21h52m14s\Install.1.mft

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-15-2009-21h52m14s\NortonInstall-06-15-2009-21h52m14s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-16-2009-17h28m12s\Install.1.mft

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-16-2009-17h28m12s\NortonInstall-06-16-2009-17h28m12s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-16-2009-17h52m49s\Install.1.mft

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-16-2009-17h52m49s\NortonInstall-06-16-2009-17h52m49s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-16-2009-18h12m41s\Install.1.mft

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-16-2009-18h12m41s\NortonInstall-06-16-2009-18h12m41s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-16-2009-21h07m30s\BHCA-0x0414.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-16-2009-21h07m30s\Install.1.mft.7z

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-16-2009-21h07m30s\Log.Lue

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-16-2009-21h07m30s\NortonInstall-06-16-2009-21h07m30s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-16-2009-21h07m30s\SymIMexe-0x0AD0.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-19-2009-17h16m27s\BHCA-0x07E0.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-19-2009-17h16m27s\OCSCtl-0x0994.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-19-2009-17h16m27s\SymIMexe-0x09B0.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-19-2009-17h16m27s\SymNRT-06-19-2009-17h16m27s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\06-19-2009-17h16m27s\SymNRT.1.mft.7z

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-14-2009-14h28m59s\Install.1.mft

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-14-2009-14h28m59s\log.etl

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-14-2009-14h28m59s\Log.Lue

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-14-2009-14h28m59s\NortonInstall-6-14-2009-14h28m59s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-14-2009-14h28m59s\SymIMexe-0x09A8.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-14-2009-14h32m24s\Install.1.mft

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-14-2009-14h32m24s\NortonInstall-6-14-2009-14h32m24s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-14-2009-14h32m24s\OCSCtl-0x0B54.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-14-2009-14h32m24s\SymIMexe-0x0B70.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-14-2009-14h36m08s\NortonInstall-6-14-2009-14h36m08s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-14-2009-15h55m26s\SymNRT-6-14-2009-15h55m26s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-14-2009-15h55m26s\SymNRT.1.mft.7z

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-15-2009-18h19m36s\SymNRT-6-15-2009-18h19m36s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-15-2009-18h19m36s\SymNRT.1.mft

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-16-2009-17h11m38s\SymNRT-6-16-2009-17h11m38s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-16-2009-17h11m38s\SymNRT.1.mft

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-16-2009-18h00m08s\SymNRT-6-16-2009-18h00m08s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-16-2009-18h00m08s\SymNRT.1.mft

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-16-2009-19h23m09s\SymNRT-6-16-2009-19h23m09s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-16-2009-19h23m09s\SymNRT.1.mft

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-16-2009-19h30m49s\BHCA-0x0994.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-16-2009-19h30m49s\OCSCtl-0x08B4.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-16-2009-19h30m49s\SymIMexe-0x08C8.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-16-2009-19h30m49s\SymNRT-6-16-2009-19h30m49s.log

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\6-16-2009-19h30m49s\SymNRT.1.mft.7z

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Logs\Url.txt

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Settings\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}.7z

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller\Settings\Norton Internet Security.7z

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec\SubEng\platformid.dat

c:\programme\Online-Dienste\An weitere Internetdienstanbieter verweisen.lnk

c:\programme\uTorrent\uTorrent.exe

c:\windows\system32\drivers\fidbox.dat

c:\windows\system32\drivers\fidbox.idx

c:\windows\system32\drivers\fidbox2.dat

c:\windows\system32\drivers\fidbox2.idx

c:\windows\system32\perfc007.dat

c:\windows\system32\perfh007.dat
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_BHDRVX86

-------\Legacy_CCHP

-------\Legacy_ERASERUTILREBOOTDRV

-------\Legacy_IDSXPX86

-------\Legacy_SYMEFA
 
 

(((((((((((((((((((((((   Dateien erstellt von 2009-05-19 bis 2009-06-19  ))))))))))))))))))))))))))))))

.
 

2009-06-19 15:21 . 2009-06-19 15:22        --------        d-----w-        C:\rsit

2009-06-19 15:01 . 2009-06-19 15:01        --------        d-----w-        c:\windows\ie8updates

2009-06-19 14:58 . 2009-04-30 21:13        12800        -c----w-        c:\windows\system32\dllcache\xpshims.dll

2009-06-19 14:58 . 2009-04-30 21:12        246272        -c----w-        c:\windows\system32\dllcache\ieproxy.dll

2009-06-19 14:58 . 2009-04-30 21:13        1985024        -c----w-        c:\windows\system32\dllcache\iertutil.dll

2009-06-19 14:58 . 2009-04-30 21:13        11064832        -c----w-        c:\windows\system32\dllcache\ieframe.dll

2009-06-18 19:02 . 2009-06-18 19:02        --------        d--h--w-        c:\windows\PIF

2009-06-18 18:20 . 2009-06-18 18:20        3561743        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

2009-06-18 18:19 . 2009-06-18 18:19        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes

2009-06-18 18:19 . 2009-06-17 09:27        38160        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-06-18 18:19 . 2009-06-18 18:19        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-06-18 18:19 . 2009-06-17 09:27        19096        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-06-18 18:19 . 2009-06-18 18:20        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2009-06-18 15:56 . 2009-06-18 16:15        --------        d-----w-        c:\programme\Trend Micro

2009-06-18 15:37 . 2009-06-18 15:37        --------        d-----w-        c:\programme\CCleaner

2009-06-15 19:36 . 2009-06-15 19:36        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\mergeparts

2009-06-15 19:36 . 2009-06-15 19:36        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\deletepart

2009-06-15 19:36 . 2009-06-15 19:36        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\explauncher

2009-06-15 19:36 . 2009-06-15 19:36        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\launcher

2009-06-15 19:32 . 2009-06-15 19:48        --------        dc----w-        c:\windows\system32\DRVSTORE

2009-06-15 19:32 . 2009-04-08 15:59        40560        ----a-w-        c:\windows\system32\drivers\hotcore3.sys

2009-06-15 19:31 . 2009-06-15 19:31        --------        d-----w-        c:\programme\Paragon Software

2009-06-15 16:52 . 2009-06-15 16:52        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles

2009-06-15 16:03 . 2009-06-15 16:50        --------        d-----w-        c:\windows\nview

2009-06-15 16:03 . 2007-06-28 16:43        356352        ----a-w-        c:\windows\system32\nvudisp.exe

2009-06-15 16:00 . 2008-04-13 20:04        1897408        -c--a-w-        c:\windows\system32\dllcache\nv4_mini.sys

2009-06-15 16:00 . 2006-03-17 11:16        3655712        ----a-w-        c:\windows\system32\drivers\nv4_mini.sys

2009-06-15 16:00 . 2008-04-14 05:52        4274816        -c--a-w-        c:\windows\system32\dllcache\nv4_disp.dll

2009-06-15 16:00 . 2006-03-17 11:16        3975040        ----a-w-        c:\windows\system32\nv4_disp.dll

2009-06-14 14:17 . 2009-06-14 14:17        63600        ----a-w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-06-13 16:49 . 2009-06-13 16:49        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten

2009-06-13 16:48 . 2009-06-13 16:48        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache

2009-06-13 16:38 . 2009-03-24 14:08        55640        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2009-06-13 10:56 . 2009-06-13 10:56        --------        d-sh--w-        c:\windows\system32\config\systemprofile\IETldCache

2009-06-10 16:04 . 2009-06-10 16:04        --------        d-----w-        c:\dokumente und einstellungen\All Users\Dokumente

2009-06-06 16:40 . 2009-06-06 16:40        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dvdcss

2009-06-06 16:29 . 2009-06-16 17:07        --------        d-----w-        c:\windows\system32\NtmsData

2009-06-03 16:05 . 2009-06-03 16:05        --------        d-----w-        c:\windows\G2Runner

2009-06-03 16:01 . 2009-06-15 16:02        --------        d-----w-        c:\programme\Gemeinsame Dateien\InstallShield

2009-06-03 15:52 . 2009-06-03 15:52        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities

2009-06-03 13:27 . 2009-06-03 13:27        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc

2009-06-03 13:26 . 2009-06-03 13:26        --------        d-----w-        c:\programme\VideoLAN

2009-06-03 12:56 . 2009-06-10 16:19        --------        d--h--w-        c:\programme\InstallShield Installation Information

2009-06-03 12:56 . 2009-06-03 12:58        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQ

2009-06-03 12:55 . 2009-06-03 12:58        --------        d-----w-        c:\programme\ICQ6.5

2009-06-03 12:08 . 2009-06-03 12:08        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\IETldCache

2009-06-03 12:08 . 2009-06-03 12:08        0        ----a-w-        c:\windows\nsreg.dat

2009-06-03 12:08 . 2009-06-03 12:08        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla

2009-06-03 12:07 . 2009-06-03 12:07        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Media Player Classic

2009-06-03 12:02 . 2009-06-03 12:02        --------        d-----w-        c:\programme\Medionkeyboard

2009-06-03 12:01 . 2009-06-03 12:01        --------        d-----w-        c:\programme\Browser mouse

2009-06-03 12:01 . 2003-09-16 22:22        54442        ----a-r-        c:\windows\system32\drivers\LWBHMSYS.SYS
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-06-14 18:54 . 2009-05-27 14:17        86327        ----a-w-        c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-05-27 16:07 . 2009-05-27 15:40        --------        d-----w-        c:\programme\Microsoft Works

2009-05-27 15:38 . 2009-05-27 15:38        --------        d-----w-        c:\programme\Microsoft.NET

2009-05-27 15:11 . 2009-05-27 15:11        --------        d-----w-        c:\programme\K-Lite Codec Pack

2009-05-27 15:11 . 2009-05-27 15:10        --------        d-----w-        c:\programme\PDFCreator

2009-05-27 15:10 . 2009-05-27 15:10        --------        d-----w-        c:\programme\Sysinternals

2009-05-27 15:10 . 2009-05-27 15:10        --------        d-----w-        c:\programme\DVD-Player

2009-05-27 15:10 . 2009-05-27 15:10        410984        ----a-w-        c:\windows\system32\deploytk.dll

2009-05-27 15:10 . 2009-05-27 15:10        --------        d-----w-        c:\programme\Java

2009-05-27 15:09 . 2009-05-27 15:09        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe

2009-05-27 15:08 . 2009-05-27 15:08        --------        d-----w-        c:\programme\7-Zip

2009-05-27 14:57 . 2009-05-27 14:57        --------        d-----w-        c:\programme\MSXML 4.0

2009-05-27 14:46 . 2009-05-27 14:46        --------        d-----w-        c:\programme\MSBuild

2009-05-27 14:46 . 2009-05-27 14:46        64200        ----a-w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat

2009-05-27 14:40 . 2009-05-27 14:40        --------        d-----w-        c:\programme\Reference Assemblies

2009-05-27 14:34 . 2009-05-27 14:34        --------        d-----w-        c:\programme\Windows Media Connect 2

2009-05-27 14:19 . 2009-05-27 14:19        --------        d-----w-        c:\programme\microsoft frontpage

2009-05-27 14:15 . 2009-05-27 14:15        --------        d-----w-        c:\programme\Gemeinsame Dateien\Dienste

2009-05-27 14:13 . 2009-05-27 14:13        21740        ----a-w-        c:\windows\system32\emptyregdb.dat

2009-05-13 05:02 . 2008-04-14 07:52        915456        ----a-w-        c:\windows\system32\wininet.dll

2009-05-07 15:32 . 2008-04-14 07:52        348160        ----a-w-        c:\windows\system32\localspl.dll

2009-04-28 13:17 . 2009-04-28 13:17        499712        --s-a-w-        c:\windows\system32\msvcp71.dll

2009-04-19 19:46 . 2008-04-14 07:23        1847296        ----a-w-        c:\windows\system32\win32k.sys

2009-04-15 14:51 . 2008-04-14 07:52        585216        ----a-w-        c:\windows\system32\rpcrt4.dll

2009-04-08 15:59 . 2009-04-08 15:59        4248848        ----a-w-        c:\windows\system32\qtp-mt334.dll

2009-04-08 15:59 . 2009-04-08 15:59        248592        ----a-w-        c:\windows\system32\prgiso.dll

2009-04-02 13:21 . 2009-05-27 15:11        84480        ----a-w-        c:\windows\system32\ff_vfw.dll

.

Code:

(((((((((((((((((((((((((((((   SnapShot@2009-06-18_17.33.54   )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-06-19 15:43 . 2009-06-19 15:43        16384              c:\windows\temp\Perflib_Perfdata_6e4.dat

+ 2008-10-16 12:09 . 2008-10-16 12:09        43544              c:\windows\system32\wups2.dll

+ 2009-05-27 14:15 . 2008-10-16 12:08        34328              c:\windows\system32\wups.dll

+ 2009-05-27 14:15 . 2008-10-16 12:09        51224              c:\windows\system32\wuauclt.exe

+ 2009-06-19 14:52 . 2008-10-16 12:08        34328              c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.788\wups.dll

- 2008-04-14 07:52 . 2009-03-08 02:33        25600              c:\windows\system32\jsproxy.dll

+ 2008-04-14 07:52 . 2009-04-30 21:12        25600              c:\windows\system32\jsproxy.dll

+ 2009-05-27 14:15 . 2008-10-16 12:08        34328              c:\windows\system32\dllcache\wups.dll

+ 2009-05-27 14:15 . 2008-10-16 12:09        51224              c:\windows\system32\dllcache\wuauclt.exe

- 2008-04-14 07:52 . 2009-03-08 02:33        25600              c:\windows\system32\dllcache\jsproxy.dll

+ 2008-04-14 07:52 . 2009-04-30 21:12        25600              c:\windows\system32\dllcache\jsproxy.dll

+ 2008-04-14 07:52 . 2008-10-16 12:09        92696              c:\windows\system32\dllcache\cdm.dll

+ 2008-04-14 07:52 . 2008-10-16 12:09        92696              c:\windows\system32\cdm.dll

+ 2009-06-19 15:01 . 2009-03-08 02:33        12288              c:\windows\ie8updates\KB969897-IE8\xpshims.dll

+ 2009-06-19 15:01 . 2009-03-08 02:33        25600              c:\windows\ie8updates\KB969897-IE8\jsproxy.dll

+ 2009-05-27 14:15 . 2008-10-16 12:13        202776              c:\windows\system32\wuweb.dll

+ 2009-05-27 14:15 . 2008-10-16 12:12        323608              c:\windows\system32\wucltui.dll

+ 2009-05-27 14:15 . 2008-10-16 12:12        561688              c:\windows\system32\wuapi.dll

+ 2008-04-14 07:52 . 2009-04-30 21:12        385536              c:\windows\system32\iedkcs32.dll

+ 2008-04-14 07:52 . 2009-04-30 11:21        173056              c:\windows\system32\ie4uinit.exe

- 2008-04-14 07:52 . 2009-03-08 02:32        173056              c:\windows\system32\ie4uinit.exe

+ 2009-05-27 15:06 . 2009-06-19 15:04        243128              c:\windows\system32\FNTCACHE.DAT

- 2009-05-27 15:06 . 2009-06-03 11:56        243128              c:\windows\system32\FNTCACHE.DAT

+ 2009-05-27 14:15 . 2008-10-16 12:13        202776              c:\windows\system32\dllcache\wuweb.dll

+ 2009-05-27 14:15 . 2008-10-16 12:12        323608              c:\windows\system32\dllcache\wucltui.dll

+ 2009-05-27 14:15 . 2008-10-16 12:12        561688              c:\windows\system32\dllcache\wuapi.dll

+ 2008-04-14 07:52 . 2009-05-13 05:02        915456              c:\windows\system32\dllcache\wininet.dll

+ 2008-04-14 07:52 . 2009-04-15 14:51        585216              c:\windows\system32\dllcache\rpcrt4.dll

+ 2008-04-14 07:52 . 2009-05-07 15:32        348160              c:\windows\system32\dllcache\localspl.dll

+ 2008-04-14 07:52 . 2009-04-30 21:12        385536              c:\windows\system32\dllcache\iedkcs32.dll

- 2008-04-14 07:52 . 2009-03-08 02:32        173056              c:\windows\system32\dllcache\ie4uinit.exe

+ 2008-04-14 07:52 . 2009-04-30 11:21        173056              c:\windows\system32\dllcache\ie4uinit.exe

+ 2009-06-19 15:01 . 2009-03-08 02:34        914944              c:\windows\ie8updates\KB969897-IE8\wininet.dll

+ 2009-06-19 15:01 . 2008-07-09 07:37        388984              c:\windows\ie8updates\KB969897-IE8\spuninst\updspapi.dll

+ 2009-06-19 15:01 . 2007-11-30 12:39        234872              c:\windows\ie8updates\KB969897-IE8\spuninst\spuninst.exe

+ 2009-06-19 15:01 . 2009-03-08 02:33        246784              c:\windows\ie8updates\KB969897-IE8\ieproxy.dll

+ 2009-06-19 15:01 . 2009-03-08 12:09        391536              c:\windows\ie8updates\KB969897-IE8\iedkcs32.dll

+ 2009-06-19 15:01 . 2009-03-08 02:32        173056              c:\windows\ie8updates\KB969897-IE8\ie4uinit.exe

+ 2009-05-27 14:15 . 2008-10-16 12:13        1809944              c:\windows\system32\wuaueng.dll

+ 2008-04-14 07:52 . 2009-04-30 21:12        1207808              c:\windows\system32\urlmon.dll

+ 2008-04-14 07:52 . 2009-05-13 05:02        5936128              c:\windows\system32\mshtml.dll

- 2009-03-08 02:32 . 2009-03-08 02:32        1985024              c:\windows\system32\iertutil.dll

+ 2009-03-08 02:32 . 2009-04-30 21:13        1985024              c:\windows\system32\iertutil.dll

+ 2009-05-27 14:15 . 2008-10-16 12:13        1809944              c:\windows\system32\dllcache\wuaueng.dll

+ 2008-04-14 07:23 . 2009-04-19 19:46        1847296              c:\windows\system32\dllcache\win32k.sys

+ 2008-04-14 07:52 . 2009-04-30 21:12        1207808              c:\windows\system32\dllcache\urlmon.dll

+ 2008-04-14 07:52 . 2009-05-13 05:02        5936128              c:\windows\system32\dllcache\mshtml.dll

+ 2009-06-19 15:01 . 2009-03-08 02:34        1206784              c:\windows\ie8updates\KB969897-IE8\urlmon.dll

+ 2009-06-19 15:01 . 2009-03-08 02:41        5937152              c:\windows\ie8updates\KB969897-IE8\mshtml.dll

+ 2009-06-19 15:01 . 2009-03-08 02:32        1985024              c:\windows\ie8updates\KB969897-IE8\iertutil.dll

+ 2009-03-08 02:39 . 2009-04-30 21:13        11064832              c:\windows\system32\ieframe.dll

+ 2009-06-19 15:01 . 2009-03-08 02:39        11063808              c:\windows\ie8updates\KB969897-IE8\ieframe.dll

.

-- Snapshot auf jetziges Datum zurückgesetzt --

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"FLMMEDIONMOUSE"="c:\programme\Browser mouse\1.3\mouse32a.exe" [2009-06-03 356352]

"FLMK08KB"="c:\programme\Medionkeyboard\1.3\MMKEYBD.EXE" [2009-06-03 202752]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-17 7561216]

"WinSys2"="c:\windows\system32\winsys2.exe" [2006-04-29 208896]

"SW20"="c:\windows\system32\sw20.exe" [2006-04-04 208896]

"SW24"="c:\windows\system32\sw24.exe" [2006-04-04 69632]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-03-17 86016]
 

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\

xx_Sonstiges.cmd [2008-7-17 206]

Zip_1start.cmd [2007-12-18 109]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\ICQ6.5\\ICQ.exe"=
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uInternet Settings,ProxyServer = 192.168.130.223:80

uInternet Settings,ProxyOverride = localhost;192.168.*.*;10.4.*.*;<local>

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - 

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-06-19 17:43

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]

"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(2144)

c:\dokume~1\ADMINI~1\LOKALE~1\Temp\catchme.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\nvsvc32.exe

c:\programme\Medionkeyboard\1.3\KBDAP32A.EXE

c:\windows\system32\rundll32.exe

c:\cofi\hidec.exe

c:\windows\system32\wscntfy.exe

c:\cofi\Catchme.tmp

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-06-19 17:46 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2009-06-19 15:45

ComboFix2.txt  2009-06-18 17:37
 

Vor Suchlauf: 6.953.811.968 Bytes frei

Nach Suchlauf: 6.857.330.688 Bytes frei
 

338        --- E O F ---        2009-06-19 15:02

Norton lief gestern noch durch, unsere Beiträge hatten sich überschnitten und er fand nichts mehr. Aber heute beim hochfahren meldete er den guten Infostealer wieder. Kaspersky ist wie gesagt deinstalliert und das deinstall tool von kaspersky selber findet auch nichts mehr. Online Banking wurde heute gesperrt und neu beantragt. Sonst hoffe ich alles richtig gemacht zu haben, bis auf das die logfiles wohl etwas zu gross waren und ich sie gesplittet habe, wusste nicht wie das mit "minimieren" gemeint war.

Zitat:

ist im moment nur eine testversion, hab ich seit drei tagen.

Zitat:

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent\Norton Internet Security 2009 v16.2.0.7 + Crack -ZabuzaMox-.torrent

Das ist keine Testversion, das ist eine geklaute Version.

Selber eingebrockt => http://www.trojaner-board.de/51262-a...sicherung.html

Du bist entlassen und ich bin raus,
andreas :koch:

das ist keine geklaute version, ich kann dir gerne die offizielle bestätigung von symantec für die testversion schicken. den torrent hab ich, weil ich über google suche in diesem paket das remover tool gefunden hab.

wie gesagt, kann dir gerne die mail zukommen lassen!!!

anbei der screenshot...

Zitat:

weil ich über google suche in diesem paket das remover tool gefunden hab.

Ich kann es jetzt nicht einordnen, ist das nur unglaubliche Dummheit oder Dreistigkeit.

Immer beim Hersteller laden, niemals irgendein Torrent aus irgendeiner dubiosen Quelle. Wenn ich bei Tante Gu: norton removal eingebe, ist der erste Treffer das hier:
Download und Ausführung des Norton-Entfernungsprogramms

Bei den ersten 100 Treffern ist auch nicht ein einziges Torrent dabei. Jede Menge Adressen, die ich im Leben nicht anklicken würde, aber kein Torrent. So what?

Nach was hast du gesucht?

ciao, andreas

wahrscheinlich war es grosse dummheit gepaart mit einer ordentlichen portion naivität... bin nach einem 11h arbeitstag nachhause gekommen, hab norton testversion angefordert (siehe mail) und installiert... dabei aber die falsche partition gewählt... und als ich etwas angenervt war hab ich nach removal und torrent gesucht, weil ich dachte der download funktioniert so schneller, weil ich eigentlich auch erwartet hatte das dieses tool wesentlich grösser als diese 3mb sind... naja, ich glaub dummheir trifft das ganze gut. naja, removal hat funktioniert und und die testversion hab ich dann auch beim zweiten versuch ganz normal auf die richtige partiton installiert...

hoffe meine erklärung ist schlüssig wenn sie auch auf schussligkeit beruht... im moment dürfte ich wohl nach der deinstallation heute nachmittag so ganze ohne virenschutz nichtmal mehr hier sein... sprich im netz...

Zitat:

im moment dürfte ich wohl nach der deinstallation heute nachmittag so ganze ohne virenschutz nichtmal mehr hier sein

Keine Angst, ich habe seit 12 Jahren keinen. Aber ich würde auch im Leben kein Torrent downloaden, nur weil es schneller geht. :)

Gegen das, das du hattest, sind die z.Z. alle machtlos, egal wer.

1.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

Code:

-------------------------------------------------------------------------------

 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER

 Samstag, 20. Juni 2009 12:19:46

 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

 Version von Kaspersky Online Scanner: 5.0.98.2

 Letztes Update der Antiviren-Datenbanken: 20/06/2009

 Anzahl der Einträge in den Antiviren-Datenbanken: 2141832

-------------------------------------------------------------------------------
 

Scan-Einstellungen:

        Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard

        Archive untersuchen: ja

        Mail-Datenbanken untersuchen: ja
 

Untersuchungsobjekt - Arbeitsplatz:

        A:\

        C:\

        D:\

        E:\
 

Untersuchungsergebnisse:

        Untersuchte Objekte insgesamt: 40430

        Viren gefunden: 1

        Infizierte Objekte gefunden: 2

        Verdächtige Objekte gefunden: 0

        Untersuchungszeit: 01:43:28
 

Name des infizierten Objekts / Virusname / Letzte Aktion

C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\IETldCache\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Vorgeschlagene Sites~.feed-ms        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Web Slice-Katalog~.feed-ms        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\DOMStore\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{A438FD23-5D51-11DE-B783-00047628A812}.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{B7C0DAA1-5D51-11DE-B783-00047628A812}.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\~DF4A3B.tmp        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\~DF8CAE.tmp        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\~DFCD49.tmp        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\~DFCD56.tmp        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\~DFCDB0.tmp        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\~DFCDBD.tmp        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\~DFCDEE.tmp        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\~DFCDFB.tmp        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009062020090621\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Administrator\PrivacIE\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT.LOG        Das Objekt ist gesperrt        übersprungen

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_MSIVXqxuwnvxvkyavymejpyprrjexgsipfucb_.sys.zip/MSIVXqxuwnvxvkyavymejpyprrjexgsipfucb.sys        Infizierte Objekte: Trojan.Win32.Tdss.ahpu        übersprungen

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_MSIVXqxuwnvxvkyavymejpyprrjexgsipfucb_.sys.zip        ZIP: infiziert - 1        übersprungen

C:\System Volume Information\_restore{8C8BFAD1-6A63-4523-B49B-1FD875382CA1}\RP75\change.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\SchedLgU.Txt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\default        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\Internet.evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SAM        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\software        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\system        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\WindowsPowerShell.evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\h323log.txt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\temp\Perflib_Perfdata_5f8.dat        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\WindowsUpdate.log        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
 

Die Untersuchung wurde abgeschlossen.

und hier der prevx shot

1.) Start => Ausführen => combofix /u => OK

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

3.) Deinstalliere Kaspersky Online Scanner und Prevx.

4.) Poste ein neues HJT-Log.

5.) Wie geht es dem Rechner? Gibt es noch irgendwelche Auffälligkeiten?

ciao, andreas

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:49:45, on 20.06.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Browser mouse\1.3\mouse32a.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Medionkeyboard\1.3\KbdAp32A.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\ntvdm.exe

C:\PROGRA~1\TRENDM~1\HIJACK~1\TEST.COM
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.130.223:80

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;192.168.*.*;10.4.*.*;<local>

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe

O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe

O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O14 - IERESET.INF: START_PAGE_URL=about:blank

O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programme\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 

--

End of file - 3834 bytes

Also, Punkt 1-4 ist erledigt. Hmm, also wie gestern schon geschrieben kann ich alles wieder nutzen. Spübar ist das alles wieder schneller geht, Datenträgerverwaltung wieder nutzbar ist und so weiter. Dahingehend scheint alles wieder einwandfrei zu funtionieren. Was mich noch etwas stutzig macht, das Kaspersky heute Mittag 1Virus und 2Malware gefunden hatte und ich die ja mit dem Onlinescanner nicht löschen kann. Aber das hast du ja sicher im Logfile gesehen.
Was mich interessiert: Was zum Geier hab ich mir da genau einfangen? In der Regel bin ich eigentlich ein konservativer Surfer der nur anklickt was er kennt. Bis auf dem Blacout mit dem Torrent. Was übrigens jetzt für mich auch komplett gestorben ist, sowas nutze ich nicht wieder... Das ist die Lehre!!!

Und wie sollt ich mich jetzt schützen? Norton wieder drauf? Kaspersky CBE09 (hab ich auf ComputerBild Heft CD), Avira, ... oder etwas alternatives?
Sollte ich mir noch so ein Netzwerküberwachungstoosl zulegen?

Und kann ich sicher sein den Infostealer jetzt los zu sein, nicht das die neuen Bank Login nä. Woche wieder in der Ukraine sind?

Und zum Abschluss für diesen Post nochmal ein riesiges Danke!!! (denk an das kühle Blonde ;-) )

Gruß Sebastian

Zitat:

Aber das hast du ja sicher im Logfile gesehen.

Ja, die Quarantäne von ComboFix und die Systemwiederherstellung, beides schon behoben.

Zitat:

Was zum Geier hab ich mir da genau einfangen?

So ziemlich das Schlimmste, das im Moment grassiert (mit Ausnahme von Virut.c). Alle "Sicherheitsprogramme" werden ausgehebelt und sind wirkungslos. Alle Interneteingaben landen in der Ukraine und können dort beliebig umgeleitet bzw. abgefangen werden.

Zitat:

Das ist die Lehre!!!

Dann ist es ja doch nicht völlig sinnlos, was wir hier machen. :)

Zitat:

Und wie sollt ich mich jetzt schützen?

Klicke auf die letzten beiden Links in meiner Signatur. Lies alles aufmerksam und lerne alles auswendig. So sieht der einzig wirkungsvolle Schutz aus. Das wird auch gern als Brain.exe bezeichnet. Als Sicherheitsgurt ist Avira zu empfehlen, falls dann dochmal ein Blackout eintritt, aber es ist eben kein wirkungsvoller Schutz.

Zitat:

Sollte ich mir noch so ein Netzwerküberwachungstoosl zulegen?

Wozu? Um deinen Rechner auszubremsen? Um dich mit endlosen Konfigurationsorgien und Dialogboxen zu nerven? Wenn du das Rattengift auf deinem Rechner hast, ist das Tool eh wirkungslos. Es hilft nur eines, kein Rattengift zu essen. ;)

Zitat:

Und kann ich sicher sein den Infostealer jetzt los zu sein, nicht das die neuen Bank Login nä. Woche wieder in der Ukraine sind?

Finde heraus, wie du es bekommen hast! Wenn du den gleichen Fehler noch einmal begehst, dann sind deine Daten wieder unterwegs und der Rechner gehört nicht mehr dir.

Du bist entlassen,
andreas