winlog.exe ist Backdoor.Agobot.LF?
 

Hallo liebe Helfer.

Ich bin mir zwar nicht zu hunderprozent sicher, ob es sich hier um einen Trojaner/Viren/Wurmbefall handelt, hab aber eine Vermutung.

Als ich heute einen USB-Stick an meinen Laptop angeschlossen habe und ihn mit Doppelklick öffnen wollte, kam die Fehlermeldung:

winlog.exe - Abbild fehlerhaft
Die Anwendung oder DLL C:\DOKUME~1\<benutzername>\LOKALE~1\Temp\ylk27.tmp ist keine gültige Windows-Datei. Überprüfen Sie dies mit der Installationsdiskette.

Jedes Mal, wenn ich es erneut versucht habe, änderte sich die Temp-Datei in dieser Meldung in irgendeine andere Buchstabenkombination, was ich schon mal seltsam fand.

Da ich nicht wirklich viel von solchen Dingen verstehe, hab ich erst mal in Google danach gesucht. Danach hab ich Hijackthis drüberlaufen lassen und die Auswertung sagte mir, dass ich einen Prozess, der den Namen Winlog.exe enthielt, fixen sollte, was ich getan habe. Außerdem wurde mir geraten, die Datei "Winlog.exe" auf C:\Dokumente und Einstellungen\<benutzername>\Anwendungsdaten\Microsoft zu löschen. Ich hab diese Datei auf einer Website durch mehrere Virenscanner laufen lassen, wo 10 von 21 darauf anschlugen. Der Name "Backdoor.Agobot.LF" kam auch einmal darunter vor, und da ich diesen aus dem Logfile in Verbindung mit Winlog.exe schon bemerkt hatte, hab ich einfach weiter nach diesem Anhaltspunkt gesucht.

Manuell löschen ließ sich die Datei Winlog.exe nicht, also hab ich es mit dem File Shredder von SpyBot versucht. Verschwinden wollte die Datei dennoch nicht gänzlich. Sie benannte sich bei jedem Mal in eine beliebige Buchstabenkombination um, was für mich nach einem schlechten Zeichen aussieht.

Beim Googlen hab ich dann auch gesehen, dass ich in der Registry gewisse Einträge löschen könnte, die bei mir aber nicht vorhanden waren und mir somit auch nicht weiterhalfen.

Ich hab mir also unterm Strich schon die Finger wundgesucht, jedoch nichts gefunden, mit dem ich das ursprüngliche Problem des Öffnens lösen oder diese Datei löschen kann.

Meine Fragen wären nun:
Wobei könnte es sich dabei definitiv handeln? Ist das wirklich der Backdoor.Agobot.LF?
Könnte sich das Problem noch ausweiten, falls ich nichts unternehme?
Wie beseitige ich das Problem?

Neu Aufsetzen möchte ich das System nicht unbedingt. Lösungen ohne dieses Mittel wären toll :)

Falls es hilft, ich habe ein Toshiba-Notebook aus der Tecra-Serie, Win XP, SP 2.

Über schnelle Hilfe würde ich mich freuen, durch Erfahungen in der Vergangenheit tendiere ich dazu, unruhig zu werden und irgendwelchen Käse anzustellen bei dem Versuch, etwas zu reparieren ;)

Liebe Grüße, freakout

Hallo und :hallo:
Quelle: W32/Agobot-LF Win32-Wurm (Backdoor.Agobot.gen, W32/Gaobot.worm.gen.e, Win32/Agobot.3.RD, W32.HLLW.Gaobot.gen, WORM_AGOBOT.MG) - Sophos Sicherheitsanalyse
Das Zitat sollte diese Frage beantworten. Das sämtliche Passwörter, Zugangsdaten, Seriennummern schon irgendwo hin verschickt sind, davon kannst du ausgehen. Warum du mit der verseuchten Kiste immer noch im Internet bist, ist nicht wirklich nachzuvollziehen. Warum du anstatt simpel neuzuinstallieren lieber stundenlang recherchierst auch nicht. :)
Das sämtliche Daten schon verschickt wurden, da ist nichts mehr dran zu reparieren.

Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

Erst mal danke für die schnelle Antwort :)

Das mit dem Neuinstallieren ist so ne Sache *hust* Ich hab das schon einige Male hinter mir und mir graut wenn ich nur daran denke :koch:

Ja, das hab ich auch schon durchgelesen. Das Problem war jetzt eben, dass ich auf keinen Fall Neuinstallieren wollte, wenn ich nicht sicher bin ob das wirklich so ein Backdoor-Trojaner ist. Das mit der Fehlermeldung ist eben erst seit heute (genauer genommen seit den letzten 5 Stunden) und ich hab mich gefragt, ob ich vielleicht einfach nur falsch recherchiert hab und das ganze einen anderen Usprung hat.

In deinem ersten Zitat steht eben auch das mit den Registryeinträgen, die ich bei mir einfach nicht finden kann. Ich hatte die Hoffnung, dass das ein Gegenbeweis ist ;)

Tut mir leid dass ich noch mal so doof frage, ich will nur sichergehen: Diese Programme unter Punkt 2 alle ausführen und Logs daraus posten? (Oder verstehe ich das alles wieder falsch?)

Liebe Grüße

Ja. Das Teil ist uralt und die Wahrscheinlichkeit einer Falschmeldung eher gering.
Dann solltest du zuerst auf die letzten beiden Links in meiner Signatur klicken, alles aufmerksam lesen und auswendig lernen. :)

ciao, andreas

Okay, hab jetzt alles durchlaufen lassen, was so empfohlen wurde.

Hier die Logs:

MBAM-LOG:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2737
Windows 5.1.2600 Service Pack 2

03.09.2009 23:11:05
mbam-log-2009-09-03 (23-11-05).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 85825
Laufzeit: 13 minute(s), 24 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlog.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe (Trojan.Agent) -> Quarantined and deleted successfully.


RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by ** at 2009-09-03 23:22:11
Microsoft Windows XP Professional Service Pack 2
System drive C: has 3 GB (34%) free of 10 GB
Total RAM: 511 MB (39% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:22:25, on 03.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DC8ZDZ0U\RSIT[1].exe
C:\Programme\Trend Micro\HijackThis\**.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**p://fpdownload2.macromedia...sh/swflash.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6357 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Spybot - Search & Destroy - Scheduled Task.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-04-02 312928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-03-29 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2007-09-20 328752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-07-25 256112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll [2009-07-25 761840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}]
Google Dictionary Compression sdch - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll [2009-07-25 458736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-29 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-29 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-07-25 256112]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-04-02 198160]
"ZCfgSvc.exe"=C:\WINDOWS\system32\ZCfgSvc.exe [2006-08-03 639040]
"PRONoMgr.exe"=C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe [2005-07-07 135168]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2009-05-26 413696]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-07-13 292128]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"=C:\Programme\Windows Live\Messenger\MsnMsgr.Exe [2007-10-18 5724184]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2004-08-04 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Sebring]
C:\WINDOWS\system32\LgNotify.dll [2006-08-03 188482]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7631c890-7a06-11de-adb5-00080d041138}]
shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{869951e0-774b-11de-adae-00080d041138}]
shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{90e03150-7b80-11de-adb9-00080d041138}]
shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{90e03151-7b80-11de-adb9-00080d041138}]
shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{deab3312-1f94-11de-ad11-00080d041138}]
shell\AutoRun\command - F:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{deab3315-1f94-11de-ad11-00080d041138}]
shell\AutoRun\command - G:\winlog.exe
shell\open\command - G:\winlog.exe


======List of files/folders created in the last 1 months======

2009-09-03 23:22:11 ----D---- C:\rsit
2009-09-03 22:53:08 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Malwarebytes
2009-09-03 22:52:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-03 22:52:57 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-03 22:12:02 ----D---- C:\Programme\CCleaner
2009-09-03 19:15:56 ----D---- C:\Programme\PowerTools Lite
2009-09-03 18:44:28 ----D---- C:\Programme\Unlocker
2009-08-22 00:35:31 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Apple Computer
2009-08-22 00:34:53 ----A---- C:\WINDOWS\system32\GEARAspi.dll
2009-08-22 00:34:06 ----D---- C:\Programme\iPod
2009-08-22 00:33:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-08-22 00:33:08 ----D---- C:\Programme\iTunes
2009-08-22 00:31:56 ----D---- C:\Programme\Bonjour
2009-08-22 00:30:17 ----D---- C:\Programme\QuickTime
2009-08-22 00:30:16 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-08-22 00:29:12 ----D---- C:\Programme\Apple Software Update
2009-08-22 00:28:26 ----D---- C:\Programme\Gemeinsame Dateien\Apple
2009-08-22 00:28:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2009-08-05 13:40:23 ----N---- C:\WINDOWS\Setup1.exe
2009-08-05 13:40:22 ----A---- C:\WINDOWS\ST6UNST.EXE

======List of files/folders modified in the last 1 months======

2009-09-03 23:21:35 ----D---- C:\WINDOWS\Prefetch
2009-09-03 23:18:10 ----D---- C:\WINDOWS\Temp
2009-09-03 23:17:28 ----D---- C:\WINDOWS
2009-09-03 23:15:50 ----D---- C:\WINDOWS\system32\drivers
2009-09-03 23:15:22 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-03 23:11:05 ----SD---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft
2009-09-03 22:52:57 ----RD---- C:\Programme
2009-09-03 19:23:01 ----D---- C:\WINDOWS\system32\LogFiles
2009-09-03 19:23:01 ----D---- C:\WINDOWS\Debug
2009-09-03 19:16:03 ----D---- C:\WINDOWS\system32
2009-09-03 17:27:30 ----D---- C:\WINDOWS\system32\CatRoot2
2009-08-27 00:43:59 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Audacity
2009-08-22 01:36:18 ----HD---- C:\WINDOWS\inf
2009-08-22 00:35:41 ----SHD---- C:\WINDOWS\Installer
2009-08-22 00:34:53 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-08-22 00:28:26 ----D---- C:\Programme\Gemeinsame Dateien
2009-08-19 00:24:46 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-08-17 11:19:34 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\gtk-2.0

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.2.0.3; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2009-07-28 17801]
R2 s24trans;WLAN-Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2006-08-03 10970]
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-08-22 98752]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2004-08-03 60800]
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2004-08-03 14080]
R3 E1000;Intel(R) PRO/1000 Network Connection Driver; C:\WINDOWS\System32\DRIVERS\e1000325.sys [2007-06-05 171416]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2009-03-19 23400]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NeroCd2k;NeroCd2k; C:\WINDOWS\system32\drivers\NeroCd2k.sys [2001-04-16 44227]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2004-08-03 61824]
R3 sdbus;sdbus; C:\WINDOWS\System32\DRIVERS\sdbus.sys [2004-08-03 67584]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2002-11-04 519168]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 w70n51;Intel(R) PRO/Wireless 7100 Adaptertreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w70n51.sys [2006-07-13 674560]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2007-08-08 101120]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 NETGEAR_MA111;NETGEAR 802.11b MA111 Driver; C:\WINDOWS\system32\DRIVERS\MA111nd5.sys [2003-08-29 644608]
S3 PAC207;Trust WB-1400T Webcam; C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2007-05-14 508288]
S3 PCANDIS5;PCANDIS5 Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS []
S3 sffdisk;SFF-Speicherklassentreiber; C:\WINDOWS\system32\DRIVERS\sffdisk.sys [2004-08-03 11136]
S3 sffp_sd;SFF-Speicherprotokolltreiber für SDBus; C:\WINDOWS\system32\DRIVERS\sffp_sd.sys [2004-08-03 10240]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2005-01-28 18944]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 YMIDUSB;Yamaha Corporation USB MIDI Driver; C:\WINDOWS\System32\Drivers\ymidusb.sys [2007-09-04 16768]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-07-09 144712]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-29 152984]
R2 RegSrvc;RegSrvc; C:\WINDOWS\system32\RegSrvc.exe [2006-08-03 122880]
R2 S24EventMonitor;Spectrum24 Event Monitor; C:\WINDOWS\system32\S24EvMon.exe [2006-08-03 426051]
R2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Programme\Analog Devices\SoundMAX\SMAgent.exe [2002-07-15 45056]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-07-13 542496]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-30 182768]
S3 NetSvc;Intel NCS NetService; C:\Programme\Intel\NCS\Sync\NetSvc.exe [2003-04-29 139264]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WLSetupSvc;Windows Live Setup Service; C:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]

-----------------EOF-----------------

und hier noch der letzte Log, ging sich im letzten Post nicht aus und ich hab natürlich wieder mal keine Ahnung, wie man das umgehen kann... :confused:

RSIT:

info.txt logfile of random's system information tool 1.06 2009-09-03 23:22:26

======Uninstall list======

-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Apple Mobile Device Support-->MsiExec.exe /I{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Audacity 1.3.5 (Unicode)-->"C:\Programme\Audacity 1.3\unins000.exe"
BitComet FLV Converter 1.0-->C:\Programme\BitComet FLV Converter\uninst.exe
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
GIMP 2.6.6-->"C:\Programme\GIMP-2.0\setup\unins000.exe"
Google Toolbar for Internet Explorer-->"C:\Programme\Google\Google Toolbar\Component\GoogleToolbarManager_E582EA556D8DE101.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB914440)-->"C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
Intel(R) PRO Network Connections Drivers-->Prounstl.exe
Intel(R) PROSet-->MsiExec.exe /I{74C9DFA1-338F-4bf3-B317-99A9EC8EF9A6}
iTunes-->MsiExec.exe /I{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944}
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Last.fm 1.5.4.24567-->"C:\Programme\scrobbler last.fm\Last.fm\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Mobile Connect-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3EAAC5FD-E209-4856-8C49-D4EA40F85032}\setup.exe" -l0x7 -removeonly
Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
PDFCreator-->C:\Programme\PDFCreator\unins000.exe
PowerTools Lite-->"C:\Programme\PowerTools Lite\unins000.exe"
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
SbX Rechnungswesen HLWFW 1I 08-09-->"C:\Programme\SbX-Manz\Rechnungswesen HLWFW 1I 08-09 - 9783706830775\unins000.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe"
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
Trust WB-1400T Webcam-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{30837A37-8F9F-4817-8B52-C501B67DC3BE} /l1031
Unlocker 1.8.7-->C:\Programme\Unlocker\uninst.exe
Update für Windows XP (KB904942)-->"C:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe"
VideoLAN VLC media player 0.8.6i-->C:\Programme\VideoLAN\VLC\uninstall.exe
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Windows Live installer-->MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Messenger-->MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
YAMAHA Musicsoft Downloader 5-->C:\Programme\InstallShield Installation Information\{6D3C6846-CDB6-418F-8FDB-DA21FE064F86}\setup.exe -runfromtemp -l0x0007 -removeonly

=====HijackThis Backups=====

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE [2009-04-02]
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) [2009-04-02]
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-04-02]
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE [2009-04-09]
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe [2009-04-22]
O4 - HKCU\..\Run: [winlog.exe] C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe [2009-09-03]

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======System event log======

Computer Name: **
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Kompatibilität für schnelle Benutzerumschaltung" gesendet.

Record Number: 5413
Source Name: Service Control Manager
Time Written: 20090723145221.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: **
Event Code: 7036
Message: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 5412
Source Name: Service Control Manager
Time Written: 20090723145220.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 4202
Message: Es wurde festgestellt, dass der Netzwerkadapter "Intel(R)...Mobile Connection - Paketplaner-Miniport" vom Netzwerk getrennt wurde,
und dass die Netzwerkkonfiguration des Adapters freigegeben wurde. Möglicherweise
ist der Adapter beschädigt, falls der Adapter nicht vom Netzwerk getrennt wurde.
Wenden Sie sich an den Hersteller bezüglich aktueller Treiber.

Record Number: 5411
Source Name: Tcpip
Time Written: 20090723145215.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 7036
Message: Dienst "Computerbrowser" befindet sich jetzt im Status "Beendet".

Record Number: 5410
Source Name: Service Control Manager
Time Written: 20090723145207.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 7036
Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt".

Record Number: 5409
Source Name: Service Control Manager
Time Written: 20090723145205.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: **
Event Code: 102
Message: MsnMsgr (1616) \\.\C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\miss.addicted@hotmail.de\SharingMetadata\Working\database_2EAC_3E0E_AC3D_D157\dfsr.db: Das Datenbankmodul hat eine neue Instanz gestartet (0).

Record Number: 3205
Source Name: ESENT
Time Written: 20090903165707.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 100
Message: MsnMsgr (1616) Das Datenbankmodul 5.01.2600.2180 ist gestartet.

Record Number: 3204
Source Name: ESENT
Time Written: 20090903165707.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 101
Message: MsnMsgr (1616) Das Datenbankmodul wurde beendet.

Record Number: 3203
Source Name: ESENT
Time Written: 20090903165632.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 103
Message: MsnMsgr (1616) \\.\C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\miss.addicted@hotmail.de\SharingMetadata\Working\database_2EAC_3E0E_AC3D_D157\dfsr.db: Das Datenbankmodul hat die Instanz (0) beendet.

Record Number: 3202
Source Name: ESENT
Time Written: 20090903165632.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 102
Message: MsnMsgr (1616) \\.\C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\miss.addicted@hotmail.de\SharingMetadata\Working\database_2EAC_3E0E_AC3D_D157\dfsr.db: Das Datenbankmodul hat eine neue Instanz gestartet (0).

Record Number: 3201
Source Name: ESENT
Time Written: 20090903132017.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 9 Stepping 5, GenuineIntel
"PROCESSOR_REVISION"=0905
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

Liebe Grüße, freakout

Hallo Miss Addicted, :)

jetzt bin ich neugierig geworden. Den nächsten Schritt brauchst du nur dann zu tun, wenn du genau wissen möchtest, was es eigentlich war.

Hole die Datei winlog.exe aus der Quarantäne von Malwarebytes und lade sie bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2)

Bei Malwarebytes solltest du einen vollständigen Scan machen. Steht so auch in der Anleitung, bitte nachholen.

1.) Deinstalliere:

• Apple Software Update
• Bonjour
• Google Toolbar for Internet Explorer
• Java(TM) 6 Update 11
• MSIE 7
• Spybot - Search & Destroy
• VideoLAN VLC media player 0.8.6i

2.) Installiere (Toolbars immer abwählen, Haken weg):

• Downloaddetails: Windows XP Service Pack 3-Netzwerkinstallationspaket f&#252;r IT-Spezialisten und Entwickler
• Java-Downloads für alle Betriebssysteme - Sun Microsystems
• VLC media player - Overview oder besser KMPlayer
• Downloaddetails: Windows Internet Explorer 8 für Windows XP

3.) Start => Ausführen => cmd => OK
4.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked => Neustart => Neues HJT-Log posten.

ciao, andreas

Werd ich machen, bin auch neugierig ;)

Heißt das, das Problem ist jetzt behoben? *auf Freudentanz vorbereit*

Soweit ich mich erinnern kann, hab ich bei Malewarebytes einen vollen Scan gemacht, so wie es in der Anleitung gestanden ist :confused:

Du hast ja geschrieben, ich solle die Google Toolbar und Spybot deinstalliern. Warum denn das?

Und ist es unbedingt notwendig, den IE 8 zu installieren? (Nicht, dass ich jetzt aufmüpfig sein will ;) Bin nur ein Gewohnheitstier :rolleyes:)

Liebe Grüße

EDIT: Okay, hab grad gesehen dass ich keinen Komplettscan gemacht hab... Tja wenn man oben und unten nicht unterscheiden kann *seufz*

Ja. Wir können zur Sicherheit auch noch weitere Scans machen, falls du möchtest.
Falls du die Google-Toolbar bewußt installiert hast, dann kannst du sie behalten. Spybot hat die besten Tage schon lange hinter sich. Du hast jetzt Malwarebytes, der ist besser, wie du ja selbst gesehen hast. :)
Aus Sicherheitsgründen sollte immer mit der aktuellen Software gearbeitet werden. Falls dir Sicherheit nicht so wichtig ist, dann behalte den 7er. Falls dir Sicherheit wichtig ist, dann solltest du sowieso lieber mit einem vernünftigen Browser wie Firefox oder Opera surfen. ;)

ciao, andreas

Wegen Deinstallation und Installation: Meine Fragen sind beantwortet, vielen Dank :)

Ich trau mich das jetzt fast nicht zu sagen, aber ich hab grad eben nochmal versucht einen USB-Stick zu öffnen... Und die Winlog.exe ist wieder da :( Kann das daran liegen, dass sie noch in der Quarantäne lag?
(Wo finde ich den Quarantäneordner eigentlich? Hab schon gesucht wegen dem Upload, finde ihn aber nicht...)

Und ich hab mich schon gefreut :heulen:

1.) Stoppe den Scan mit Malwarebytes.

2.) Lade die Datei
bei uns hoch.

3.) Stell sicher, daß Dir auch alle Dateien angezeigt werden.

4.) Stecke den USB-Stick an. Im Hauptverzeichnis des USB-Sticks sollte eine Autorun.inf zu sehen sein. Die musst du löschen.

5.) Dann kontrolliere auch nochmal alle anderen Laufwerke und lösche alle Autorun.inf.

6.) Danach Malwarebytes wieder starten. Der USB-Stick muss angesteckt bleiben.

ciao, andreas

Edit: :eek: Das ist Poison Ivy. Ein Remote Administration Tool ? Wikipedia Sofort die Internetverbindung kappen und erst nach dem Scan von Malwarebytes wieder herstellen.

Guten Mittag ;)

Vielen Dank nochmal für deine Hilfe gestern! Ich hab also gestern sofort das Lan-Kabel abgesteckt, nachdem ich deinen Post gelesen hab. Danach hab ich einen Komplettscan drüberlaufen lassen (Stick blieb angesteckt, hab ich auch zum Durchscannen aktiviert, Autorun.inf hab ich gelöscht). Die Ergebnisse hab ich dann in die Quarantäne verschieben lassen und sofort daraus gelöscht.

Folge: Der Stick lässt sich wieder normal öffnen, doch die Winlog.exe ist auf dem Stick noch vorhanden... Was bedeutet das jetzt für mich? Wie werd ich denn die los?

Übrigens hab ich jetzt herausgefunden, woher dieser ominöse Trojaner kommt. Nach einem Gespräch mit meiner Mutter kam heraus, dass sie ihren USB-Stick auf einem vielbenutzen PC aus ihrem ECDL-Kurs angesteckt hatte und als sie ihn dort öffnen wollte, kam auch diese Fehlermeldung. Besagten Stick hab ich dann gestern bei mir zu öffnen versucht, was mir diesen Trojaner eingebrockt hat, und da ich testweise meinen eigenen Stick auch angesteckt hatte und öffnen wollte, kam die Winlog.exe auch da drauf. Meine Mutter wusste natürlich nicht, worum es sich handelt und hat ihren Stick auch auf ihrem Laptop zu öffnen versucht. Resultat - beide Sticks und beide Laptops infiziert.

Im moment sind noch beide vom Internet gerennt, ich hab wie gesagt beide mit Malwarebytes überprüfen lassen und die infizierten Daten gelöscht.

Muss ich jetzt an den Laptops noch weitere Schritte ergreifen, oder sind sie jetzt "geheilt"? Werden die Sticks noch Probleme machen, wenn ich die Winlog.exe nicht entferne? Oder besser, wie entferne ich diese?

Liebe Grüße und vielen Dank für deine geduldige Hilfe, freakout

Poste bitte das Log.
Das ist ein Problem von Malwarebytes, der benutzt zum Löschen den Avenger, der zwar fast alles gelöscht bekommt, aber eben nicht externe Datenträger, die einen Treiber benötigen. Der wird nämlich erst nach dem Start von Avenger geladen. Du kannst die Datei einfach löschen. Leere danach den Papierkorb. Alternativ kannst du einen der Antivirenscanner einsetzen, die den erkennen.

Das ist aber gar nicht das Problem. Ich weiß jetzt nicht, ob du den Link durchgelesen hast. Mit einem Remote Administration Tool hatte jemand Vollzugriff auf deinen/eure Rechner. Das Miese an der Situation ist jetzt, man weiß nicht wer und ob er die Möglichkeit überhaupt genutzt hat. Eigentlich gilt in diesem Fall => http://www.trojaner-board.de/75622-d...ittierung.html

Mit dem Löschen des Programmes kann der Fall erledigt sein. Es kann aber auch sein, dass er einen zweiten RAT installiert hat, der nicht zu erkennen ist. Jetzt kommt es darauf an, was du mit dem Rechner machst (Onlinebanking?) und ob du mit der Unsicherheit leben kannst, dass der Rechner möglicherweise kompromittiert ist. Ich kann versuchen den Rechner zu säubern, aber eine Garantie kann ich dir nicht geben. Die Säuberung wird länger dauern als eine Neuinstallation, das ist jetzt deine Entscheidung.

ciao, andreas

Ohweia... sieht aber gar nicht gut aus...

Wo hoch ist denn das Risiko, dass in so kurzer Zeit so ein Übergriff schon stattgefunden hat bzw ein zweiter RAT installiert wurde?

Jetzt noch ein Image zu erstellen, falls ich mich für die Neuinstallation entscheide, wäre nicht ratsam, oder?

Hier das Log:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2737
Windows 5.1.2600 Service Pack 2

04.09.2009 02:26:16
mbam-log-2009-09-04 (02-26-16).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|H:\|)
Durchsuchte Objekte: 129892
Laufzeit: 1 hour(s), 34 minute(s), 22 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlog.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe (Trojan.Agent) -> Quarantined and deleted successfully.


EDIT: die winlog.exe vom Stick ließ sich problemlos entfernen, danke.

Da der Befall kurze Zeit zurückliegt, lässt sich ziemlich sicher bereinigen, aber du musst eben die Möglichkeiten kennen, die ein RAT ermöglicht um die Gefahr einschätzen zu können. Eine Einschätzung kann ich nicht abgeben. Das ist ja genau das Miese an der Situation. Es kann gar nichts passiert sein. Es kann ein Möchtegern-Botmaster gewesen sein. Es kann ein Krimineller mit entsprechender Fachkenntnis gewesen sein.
Nein, das wäre völlig falsch. Ein Image erstellt man direkt nach der Installation oder nach größeren Updates aber auf keinen Fall nach Befall, außer zur Beweissicherung, falls eine Straftat vorliegt.
Das spricht eher für Möchtegern-Botmaster. Es gibt aber auch Fälle, bei denen Personen gezielt angegangen werden, siehe => http://www.trojaner-board.de/76895-p...r-stalker.html.

Zwei Dinge, die wir auf jeden Fall tun sollten.

1.) Externe Datenträger schützen um erneuten Befall zu vermeiden. Lade dir den Anhang auf deinen Desktop und kopiere ihn in das Hauptverzeichnis deines USB-Sticks (G:\). Starte ihn danach dort mit Doppelklick. Damit wird ein Ordner angelegt, der erneuten Befall verhindert.

2.) Abschalten der Autoplayfunktion von Windows.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Alle externen Datenträger? Also auch Handy usw?

Wieso denn das? Alles, das während dem Befall angesteckt war oder generell alles? (Klingt vielleicht blöd, aber ich hab ja nicht mal genügend Steckplätze für alles... verstehe ich da was falsch?)

Müsste ich diese Prozedur auch machen, wenn ich Neuinstalliere?

Ich weiß, ich strapaziere deine Geduld, aber ich wüsste gerne meine Möglichkeiten kennen ;)

Nur dann, wenn sie keine Software brauchen. Alles, das im Arbeitsplatz erscheint.
Generell alles. Falls du einen übersehen solltest, hast du durch ein einziges Anstecken wieder alles infiziert. Hast du ja am Beispiel des USB-Sticks gesehen.

Falls du nicht genügend Steckplätze hast, es gibt direkt im Anschluss einen zweiten ComboFix-Lauf. Da kommen die nächsten dran.
Die externen Datenträger müssen auch dann vorher gesäubert werden. Ansonsten wird es dir wie dem hier ergehen => http://www.trojaner-board.de/68318-r...-erhalten.html

Der durfte gleich dreimal Neuinstallieren.

ciao, andreas

So, hab alles angesteckt und das ComboFix laufen lassen.

Hier kommt das Log:

ComboFix 09-09-04.02 - ** 05.09.2009 14:16.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.267 [GMT 2:00]
ausgeführt von:: d:\desktop\cofi.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-05 bis 2009-09-05 ))))))))))))))))))))))))))))))
.

2009-09-03 21:22 . 2009-09-03 21:22 -------- d-----w- C:\rsit
2009-09-03 20:53 . 2009-09-03 20:53 -------- d-----w- c:\dokumente und einstellungen\**\Anwendungsdaten\Malwarebytes
2009-09-03 20:53 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-03 20:52 . 2009-09-03 20:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-03 20:52 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-03 20:52 . 2009-09-03 20:53 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-03 20:12 . 2009-09-03 20:12 -------- d-----w- c:\programme\CCleaner
2009-09-03 17:16 . 2009-09-03 17:16 23 --sha-w- c:\windows\system32\edacded0.dat
2009-09-03 17:15 . 2009-09-03 17:16 -------- d-----w- c:\programme\PowerTools Lite
2009-09-03 16:44 . 2009-09-03 16:44 -------- d-----w- c:\programme\Unlocker
2009-08-21 22:35 . 2009-08-28 18:03 -------- d-----w- c:\dokumente und einstellungen\**\Anwendungsdaten\Apple Computer
2009-08-21 22:34 . 2009-03-19 14:32 23400 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2009-08-21 22:34 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2009-08-21 22:34 . 2009-08-21 22:34 -------- d-----w- c:\programme\iPod
2009-08-21 22:33 . 2009-08-21 22:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-08-21 22:33 . 2009-08-26 20:26 -------- d-----w- c:\programme\iTunes
2009-08-21 22:31 . 2009-08-21 22:31 -------- d-----w- c:\programme\Bonjour
2009-08-21 22:30 . 2009-08-21 22:31 -------- d-----w- c:\programme\QuickTime
2009-08-21 22:30 . 2009-08-21 22:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-08-21 22:29 . 2009-08-21 22:29 -------- d-----w- c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Apple
2009-08-21 22:29 . 2009-08-21 22:29 -------- d-----w- c:\programme\Apple Software Update
2009-08-21 22:28 . 2009-08-21 22:34 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2009-08-21 22:28 . 2009-08-21 22:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-08-21 22:27 . 2009-08-21 22:35 -------- d-----w- c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2009-08-16 17:18 . 2009-08-16 17:18 552 ----a-w- c:\windows\system32\d3d8caps.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-01 16:13 . 2009-04-01 14:08 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-08-26 22:43 . 2009-04-02 19:01 -------- d-----w- c:\dokumente und einstellungen\**\Anwendungsdaten\Audacity
2009-08-17 09:19 . 2009-05-23 13:40 -------- d-----w- c:\dokumente und einstellungen\**\Anwendungsdaten\gtk-2.0
2009-08-05 11:41 . 2009-08-05 11:40 249856 ------w- c:\windows\Setup1.exe
2009-08-05 11:41 . 2009-08-05 11:40 73216 ----a-w- c:\windows\ST6UNST.EXE
2009-07-28 15:15 . 2009-07-28 14:37 -------- d-----w- c:\programme\Intel
2009-07-28 14:38 . 2009-07-28 14:38 17801 ----a-w- c:\windows\system32\drivers\AegisP.sys
2009-07-23 05:43 . 2009-07-23 05:43 -------- d-----w- c:\programme\Huawei technologies
2009-07-23 05:43 . 2009-03-29 19:31 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-23 05:42 . 2009-03-29 19:31 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-06-11 11:11 . 2009-03-29 17:57 76936 ----a-w- c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-12-13 17:31 . 2009-03-29 20:06 1660419 ----a-w- c:\programme\SmitfraudFix.exe
2008-09-16 19:17 . 2009-03-29 14:17 968704 ----a-w- c:\programme\WinRAR.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-03 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-04-02 198160]
"ZCfgSvc.exe"="c:\windows\system32\ZCfgSvc.exe" [2006-08-03 639040]
"PRONoMgr.exe"="c:\programme\Intel\NCS\PROSet\PRONoMgr.exe" [2005-07-07 135168]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-07-13 292128]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
2006-08-03 01:20 188482 ----a-w- c:\windows\system32\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=xgusb.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"11954:TCP"= 11954:TCP:BitComet 11954 TCP
"11954:UDP"= 11954:UDP:BitComet 11954 UDP

R3 NeroCd2k;NeroCd2k;c:\windows\system32\drivers\NeroCD2k.sys [16.04.2001 06:54 44227]
S3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\drivers\PFC027.SYS [14.05.2007 10:26 508288]
.
Inhalt des "geplante Tasks" Ordners

2009-09-04 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- c:\programme\Spybot - Search & Destroy\SpybotSD.exe [2009-04-22 13:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-09-05 14:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(864)
c:\windows\system32\LgNotify.dll
.
Zeit der Fertigstellung: 2009-09-05 14:28
ComboFix-quarantined-files.txt 2009-09-05 12:28

Vor Suchlauf: 3.465.428.992 Bytes frei
Nach Suchlauf: 3.452.440.576 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

136

Gut, dann waren die anderen Datenträger zum Glück sauber. Warum hast du mit Smitfraudfix gearbeitet?

ciao, andreas

Ich hatte einen vor einiger Zeit einen Befall, bei dem mir dieses Programm empfohlen wurde, und hab es (meines Wissens) auch gelöst bekommen. Ich weiß auch nicht mehr genau warum, nach dem letzten Neuaufsetzen hab ich es dann wieder abgespeichert, für den Fall der Fälle.

Ich wette es ist unnötig, aber aus den Augen, aus dem Sinn... ;)

Jetzt kannst du die Geräte anhängen, die beim ersten Lauf nicht angehängt waren. Die anderen kannst du abziehen.

Hast du Spybot nicht deinstalliert?

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Ist sich mit den Steckplätzen schon ausgegangen :)

Das mit Spybot hab ich übersehen, hab es aber vorhin gleich deinstalliert.

Log:

ComboFix 09-09-04.02 - ** 05.09.2009 15:19.2.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.251 [GMT 2:00]
ausgeführt von:: d:\desktop\cofi.exe
Benutzte Befehlsschalter :: d:\desktop\cfscript.txt

FILE ::
"c:\programme\SmitfraudFix.exe"
"c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Bonjour
c:\programme\Bonjour\About Bonjour.rtf
c:\programme\Bonjour\mdnsNSP.dll
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\SmitfraudFix.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-05 bis 2009-09-05 ))))))))))))))))))))))))))))))
.

2009-09-03 21:22 . 2009-09-03 21:22 -------- d-----w- C:\rsit
2009-09-03 20:53 . 2009-09-03 20:53 -------- d-----w- c:\dokumente und einstellungen\**\Anwendungsdaten\Malwarebytes
2009-09-03 20:53 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-03 20:52 . 2009-09-03 20:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-03 20:52 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-03 20:52 . 2009-09-03 20:53 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-03 20:12 . 2009-09-03 20:12 -------- d-----w- c:\programme\CCleaner
2009-09-03 17:16 . 2009-09-03 17:16 23 --sha-w- c:\windows\system32\edacded0.dat
2009-09-03 17:15 . 2009-09-03 17:16 -------- d-----w- c:\programme\PowerTools Lite
2009-09-03 16:44 . 2009-09-05 13:13 -------- d-----w- c:\programme\Unlocker
2009-08-21 22:35 . 2009-08-28 18:03 -------- d-----w- c:\dokumente und einstellungen\**\Anwendungsdaten\Apple Computer
2009-08-21 22:34 . 2009-03-19 14:32 23400 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2009-08-21 22:34 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2009-08-21 22:34 . 2009-08-21 22:34 -------- d-----w- c:\programme\iPod
2009-08-21 22:33 . 2009-08-21 22:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-08-21 22:33 . 2009-08-26 20:26 -------- d-----w- c:\programme\iTunes
2009-08-21 22:30 . 2009-08-21 22:31 -------- d-----w- c:\programme\QuickTime
2009-08-21 22:30 . 2009-08-21 22:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-08-21 22:29 . 2009-08-21 22:29 -------- d-----w- c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Apple
2009-08-21 22:28 . 2009-08-21 22:34 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2009-08-21 22:28 . 2009-08-21 22:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-08-21 22:27 . 2009-08-21 22:35 -------- d-----w- c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2009-08-16 17:18 . 2009-08-16 17:18 552 ----a-w- c:\windows\system32\d3d8caps.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-05 13:13 . 2009-04-22 14:11 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-09-05 13:13 . 2009-04-22 14:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-01 16:13 . 2009-04-01 14:08 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-08-26 22:43 . 2009-04-02 19:01 -------- d-----w- c:\dokumente und einstellungen\**\Anwendungsdaten\Audacity
2009-08-17 09:19 . 2009-05-23 13:40 -------- d-----w- c:\dokumente und einstellungen\**\Anwendungsdaten\gtk-2.0
2009-08-05 11:41 . 2009-08-05 11:40 249856 ------w- c:\windows\Setup1.exe
2009-08-05 11:41 . 2009-08-05 11:40 73216 ----a-w- c:\windows\ST6UNST.EXE
2009-07-28 15:15 . 2009-07-28 14:37 -------- d-----w- c:\programme\Intel
2009-07-28 14:38 . 2009-07-28 14:38 17801 ----a-w- c:\windows\system32\drivers\AegisP.sys
2009-07-23 05:43 . 2009-07-23 05:43 -------- d-----w- c:\programme\Huawei technologies
2009-07-23 05:43 . 2009-03-29 19:31 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-23 05:42 . 2009-03-29 19:31 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-06-11 11:11 . 2009-03-29 17:57 76936 ----a-w- c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-09-16 19:17 . 2009-03-29 14:17 968704 ----a-w- c:\programme\WinRAR.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-09-05_12.26.49 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-05 13:34 . 2009-09-05 13:34 16384 c:\windows\temp\Perflib_Perfdata_18c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZCfgSvc.exe"="c:\windows\system32\ZCfgSvc.exe" [2006-08-03 639040]
"PRONoMgr.exe"="c:\programme\Intel\NCS\PROSet\PRONoMgr.exe" [2005-07-07 135168]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
2006-08-03 01:20 188482 ----a-w- c:\windows\system32\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=xgusb.cpl

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R3 NeroCd2k;NeroCd2k;c:\windows\system32\drivers\NeroCD2k.sys [16.04.2001 06:54 44227]
S3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\drivers\PFC027.SYS [14.05.2007 10:26 508288]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-05 15:35
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(872)
c:\windows\system32\LgNotify.dll

- - - - - - - > 'explorer.exe'(3360)
c:\progra~1\WINDOW~2\wmpband.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\S24EvMon.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\RegSrvc.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\1XConfig.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-05 15:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-05 13:42
ComboFix2.txt 2009-09-05 12:28

Vor Suchlauf: 3.594.731.520 Bytes frei
Nach Suchlauf: 3.565.912.064 Bytes frei

133

Das sieht gut aus. Also verdächtige Dateien sind in jüngster Zeit nicht dazugekommen, es ist auch nichts zu sehen, das automatisch gestartet wird und da nicht hingehört.

Ändere trotzdem sicherheitshalber alle deine Kennwörter.

1.) Lösche den Ordner c:\rsit und poste neue RSIT-Logs.

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

3.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

bis jetzt ist nur das hier bei Prevx gekommen:

http://npshare.de/files/6223849b/prevx%20screenshot.bmp

Okay, hier die RSIT-Logs:

zweiter Log:

Bei Prevx auf Ja klicken.

ciao, andreas

:eek: Du hast hier Punkt 1-3 nicht ausgeführt. http://www.trojaner-board.de/462452-post7.html

Ich hab jetzt die drei Schritte nachgeholt, wobei ich sagen muss, dass der KMPlayer nicht funktioniert hat und das mit dem SP3 auch irgendwie nicht hinhaut... Werd ich nach dem Scan nochmal probieren müssen.

Ist das normal, das der so lang braucht? Ich hab den schon seit mehreren Stunden laufen und erst 25% durch... knappe 110000 Dateien. Bisher wurden 13 infizierte Dateien und 77 Schwachstellen erkannt. Muss ich mir Sorgen machen?

Lese ich das erste Mal. Bei mir läuft er vorzüglich. Der kann im Gegensatz zu VLC auch rmvb-Videos abspielen.
Das holen wir nach.
Ja.
Die Schwachstellen werden deine Sicherheitslücken durch nicht aktuell gepatchtes Windows sein. Bei den infizierten Dateien entscheidet, was er wo findet.

Teste, ob itunes noch funktioniert.

ciao, andreas

Naja, er hat nicht direkt nicht funktioniert, er ließ sich nämlich nicht installieren. Ich bekomme die Meldung:

Ich versteh zwar nicht jedes Wort, aber das sagt mir das ich mit dieser Datei keine Chance hab ;)

Scheint so als würde iTunes noch funktionieren, auch wenn ich anfangs die Fehlermeldung wegen Bonjour bekomme.

Liebe Grüße, freakout

Richtig. Du musst die nochmal runterladen. Nimm am Besten einen Downloadmanager wie http://www.flashget.com/en/download.htm

Da der Server gerade nicht erreichbar ist, kannst du auch einen Mirror nehmen => Flashget 2.0 in Download-Manager - Internet - Windows | Downloads | ZDNet.de
Falls die dich nervt, dann musst du itunes deinstallieren und nochmal installieren.

ciao, andreas

So, der Scan ist endlich fertig... Und hier kommt der Log:


EDIT: okay, ist nur die Hälfte davon. Die andere Hälfte besteht zum Großteil aus Leerzeichen, die ich erst entfernen müsste, falls ich es posten sollte...

Die Leerzeichen interessieren nicht, nur der Text. Sieht aber überraschend gut aus.

ciao, andreas

Das klingt doch mal erfreulich :)

und hier der Rest des Logs:

Das sieht aber gar nicht gut aus. :(

Alles, was zuerst gefunden wurde, war in der Quarantäne von ComboFix und in der Systemwiederherstellung. Darum muss man sich keine Sorgen machen. Aber das nächste Post zeigt überdeutlich, dass du eines der "Grundgesetze", die du lesen kannst, wenn du auf die letzten beiden Links in meiner Signatur klickst, nicht eingehalten hast, und dadurch grundsätzlich gefährdet bist.

Du musst deine Software aktuell halten. Zumindest wöchentlich schauen, was habe ich installiert, gibt es Updates? Gegen diese Regel hast du verstoßen.

Von dem Auslöser, sprich der Autoplayfunktion von Windows hat dich ComboFix befreit, das kann dir nicht wieder passieren. Trotzdem musst du die Regeln beachten. Immer!

Installiere:

• Downloaddetails: Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler
• Downloaddetails: Windows Internet Explorer 8 für Windows XP

Poste ein aktuelles HJT-Log.

ciao, andreas

Je mehr ich mache, desto mehr Probleme scheine ich zu bekommen :confused:

Ich hab das SP3 installiert, Automatische Updates zugelassen, IE8 ist grade in der Installation, und während ich mit FlashGet versuche, den KMPlayer zu bekommen, tut sich ein Fensterchen mit folgendem Inhalt auf:

Darauf reagieren kann ich entweder mit "????" oder "??", was mein Gehirn jetzt etwas überfordert. Was hat das schon wieder zu bedeuten? :confused:

Auch wenn Windows vorgibt, Multitasking zu beherrschen, so stimmt das in der Realität nicht immer. Eines nach dem Anderen. :)

ciao, andreas

Okay, werd ich mir merken ;)
IE8 ist fertig und will neustarten, also lass ich das FlashGet Fensterchen einfach und warte, ob es nach einem Neustart wiederkommt? :D

Und dann wollte ich noch fragen: Du hast ja gesagt, ich war mit den Updates faul (was ja stimmt). Reicht es, einfach Windows das alles automatisch machen zu lassen, oder muss ich selbst auch noch die Augen danach offenhalten?

Nach Neustart muss das Programm wieder gestartet werden. Der Download beginnt allerdings nicht von vorne, sondern an der Stelle, an der unterbrochen wurde.
Windows macht leider gar nichts automatisch. Die automatischen Updates finden (in der Standardeinstellung) nachts von 2-3 Uhr statt, nur da hat kein Mensch (oder nur die wenigsten) seinen Rechner an. Dazu kommen noch alle anderen Programme, besonders gefährdet sind Java und Acrobat Reader, aber eigentlich gilt das für alle Programme. Unterstützung bietet => Download - Personal (PSI) - Vulnerability Scanning - Secunia.com

1.) Start => Ausführen => combofix /u => OK

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

3.) Wie geht es dem Rechner? Gibt es noch irgendwelche Auffälligkeiten oder Meldungen?

ciao, andreas

Okay, KMPlayer ist jetzt drauf und funktioniert, IE8 ist in Benutzung (auch wenn noch alles ein wenig gewöhnungsbedürftig für mich ist, er funktioniert einwandfrei), ComboFix ist runter.

Meiner Meinung nach ist der Laptop ein kleines Bisschen langsamer geworden, was für mich aber kein Problem darstellt, ansonsten scheint alles okay. Die Systemwiderherstellung musste ich nicht selbst wieder aktivieren (ist das denn normal?) und das Fensterchen kam auch nicht wieder.

Sollte ich die Schutzprogramme, die ich im Laufe der Behandlung heruntergeladen habe, behalten?

Aktuelles HJT-Log:

Lg, freakout

Missverständnis. Er muss zwar installiert sein, ich würde aber niemandem raten, damit zu surfen. Lade dir einen vernünftigen Browser wie Firefox oder Opera.
Das werden wir noch ändern. :)
Nein, alle deinstallieren/löschen. Das ist ein Grund, warum es jetzt langsamer ist. ;)

Starte HJT => Do a system scan only => Markiere:
=> Fix checked => Neustart

Poste ein letztes HJT-Log.

ciao, andreas

So, alles deinstalliert, gefixt und neugestartet.

Wieso brauche ich zwar die neueste IE Version, soll sie aber nicht benutzen?

Hier das kürzeste HJT-Log, das ich je gesehen hab:

Das der Rechner z.Z. langsamer ist liegt auch daran:
Wenn die Updates alle geladen und installiert sind, dann ist er wieder schneller. ;)
Gegenüber anderslautender Aussagen lässt sich der MSIE komplett deinstallieren. Damit habe ich auch mehrere Jahre gelebt. Es hat sich nur herausgestellt, dass einige Programme darauf vertrauen, dass er da ist und die funktionieren dann nicht. Du brauchst ihn in jedem Fall, falls du die Windowsupdates manuell installieren möchtest. Einige Onlinevirenscanner funktionieren nur mit dem MSIE.

Gegen den MSIE spricht vor Allem der Sicherheitsaspekt. Da er immer noch der verbreiteste Browser ist, wird er von Schädlingsprogrammierern gezielt angegriffen und dessen Schwachstellen genutzt.

Du bist entlassen. :)

ciao, andreas

Achso... klingt irgendwie logisch ;)

Wow... super :)

Vielen Dank für deine Hilfe, jetzt bin ich auch um einiges schlauer geworden, was die Sicherheit anbetrifft ;) Danke!