Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? (https://www.trojaner-board.de/92940-trojaner-gefunden-anleitung-durchgefuehrt.html)

Veribul 17.11.2010 09:26
Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?
 
Hallo!
Lieben Dank für eure Anleitung. ICh hatte einige Probleme, zum einen hat im Firefox wenn ich auf Links geklickt habe, sich immer mal eine andere Website geöffnet (auch bei seriösen Links, z.B. von google zu Wikipedia) und manchmal hat dann angefangen sich was runterzuladen. Zum zweiten hat gestern dann auch mein Adobe PDF nicht mehr funktioniert und konnte keine PDFs mehr öffnen, Antivir hatte dazu einen Virus gefunden (pdfka.?)
nach eurer Anleitung hab ich alles gemacht, allerdings hatte ich tfx.exe vorzeitig abgebrochen, da das am nachdem es die temporären internetfiles von dem gast und weiterem user und all users dann auch bei mir gelöscht hatten noch irgendwas machen wollte und da ne halbe stunde oder so nicht weiter gemacht hat.
Dann alles nach vorschrift. Ich weiß jetzt nicht ob ich den defogger wieder en-ablen darf, ob ich sonst noch was machen muss, ob ich doch noch alles formatieren muss oder so.
Vielen Dank für eure Hilfe schonmal!

cosinus 17.11.2010 19:41
Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Veribul 21.11.2010 15:09
Ok, hab jetzt nochmal einen Vollscan mit einer aktualisierten Version von Malwarebytes gemacht (ändert doch vielleicht mal die Anleitung, da steht drin quickscan durchführen!). die älteren Logs, auch von den anderen Programmen laut Anleitung sind im Anhang zum letzten Post.

die logs kopier ich hier rein. das programm hat nochmal einen Virus gefunden und heute beim surfen hab ich auch gemerkt, dass bei einer google-suche beim klicken auf einen Link sich eine andere Seite als die gewünschte öffnen wollte.
soll ich die anderen Sachen auch nochmal machen?
was ist mit dem defogger? ist das ein problem, wenn ich surfe und das weiterhin disabled ist?
Lieben Dank!

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5162

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

21.11.2010 14:51:12
mbam-log-2010-11-21 (14-51-12).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 253722
Laufzeit: 59 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Veronika\Anwendungsdaten\download\svcnost.exe (Spyware.Passwords) -> Quarantined and deleted successfully.

cosinus 21.11.2010 18:38
Zitat:
(ändert doch vielleicht mal die Anleitung, da steht drin quickscan durchführen!)
Nö. Da steht dass ein Quicksan reicht, aber wenn angefordert soll ein Vollscan her.



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {92F02779-6D88-4958-8AD3-83C12D86ADC7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKLM..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.08.27 18:36:10 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{01c37af4-8904-11de-90ea-0015000cafda}\Shell\AutoPlay\cOMMaNd - "" = ibmn.exe
O33 - MountPoints2\{01c37af4-8904-11de-90ea-0015000cafda}\Shell\AutoRun\command - "" = ibmn.exe
O33 - MountPoints2\{01c37af4-8904-11de-90ea-0015000cafda}\Shell\expLore\coMmand - "" = ibmn.exe
O33 - MountPoints2\{01c37af4-8904-11de-90ea-0015000cafda}\Shell\Open\cOMMand - "" = ibmn.exe
O33 - MountPoints2\{053e2ba1-0625-11dd-909c-0015000cafda}\Shell\AutoRun\command - "" = nhbivui.exe
O33 - MountPoints2\{053e2ba1-0625-11dd-909c-0015000cafda}\Shell\explore\Command - "" = nhbivui.exe
O33 - MountPoints2\{053e2ba1-0625-11dd-909c-0015000cafda}\Shell\open\Command - "" = nhbivui.exe
O33 - MountPoints2\{36a636df-7840-11dc-9086-0015000cafda}\Shell\Auto\command - "" = I:\activexdebugger32.exe -- File not found
O33 - MountPoints2\{36a636df-7840-11dc-9086-0015000cafda}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{36a636df-7840-11dc-9086-0015000cafda}\Shell\explore\Command - "" = I:\activexdebugger32.exe -- File not found
O33 - MountPoints2\{36a636df-7840-11dc-9086-0015000cafda}\Shell\open\Command - "" = I:\activexdebugger32.exe -- File not found
O33 - MountPoints2\{5087c238-5df4-11dc-9082-0015000cafda}\Shell\Auto\command - "" = activexdebugger32.exe f
O33 - MountPoints2\{5087c238-5df4-11dc-9082-0015000cafda}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5087c238-5df4-11dc-9082-0015000cafda}\Shell\explore\Command - "" = activexdebugger32.exe f
O33 - MountPoints2\{5087c238-5df4-11dc-9082-0015000cafda}\Shell\open\Command - "" = activexdebugger32.exe f
O33 - MountPoints2\{8eb0a7c9-93ba-11dd-90c3-0015000cafda}\Shell\AutoRun\command - "" = I:\ov.cmd -- File not found
O33 - MountPoints2\{8eb0a7c9-93ba-11dd-90c3-0015000cafda}\Shell\explore\Command - "" = I:\ov.cmd -- File not found
O33 - MountPoints2\{8eb0a7c9-93ba-11dd-90c3-0015000cafda}\Shell\open\Command - "" = I:\ov.cmd -- File not found
O33 - MountPoints2\{994ba6ce-7484-11df-9117-0015000cafda}\Shell - "" = AutoRun
O33 - MountPoints2\{994ba6ce-7484-11df-9117-0015000cafda}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{994ba6ce-7484-11df-9117-0015000cafda}\Shell\AutoRun\command - "" = I:\LaunchU3.exe -- File not found
O33 - MountPoints2\{a863271e-a8ea-11dc-908e-0015000cafda}\Shell - "" = AutoRun
O33 - MountPoints2\{a863271e-a8ea-11dc-908e-0015000cafda}\Shell\1\Command - "" = I:\RECYCLER\RECYCLER\autorun.exe -- File not found
O33 - MountPoints2\{a863271e-a8ea-11dc-908e-0015000cafda}\Shell\2\Command - "" = I:\RECYCLER\RECYCLER\autorun.exe -- File not found
O33 - MountPoints2\{a863271e-a8ea-11dc-908e-0015000cafda}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{a863272d-a8ea-11dc-908e-0015000cafda}\Shell\Auto\command - "" = activexdebugger32.exe f
O33 - MountPoints2\{a863272d-a8ea-11dc-908e-0015000cafda}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{a863272d-a8ea-11dc-908e-0015000cafda}\Shell\explore\Command - "" = activexdebugger32.exe f
O33 - MountPoints2\{a863272d-a8ea-11dc-908e-0015000cafda}\Shell\open\Command - "" = activexdebugger32.exe f
O33 - MountPoints2\{a8632738-a8ea-11dc-908e-0015000cafda}\Shell\Auto\command - "" = activexdebugger32.exe f
O33 - MountPoints2\{a8632738-a8ea-11dc-908e-0015000cafda}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{a8632738-a8ea-11dc-908e-0015000cafda}\Shell\explore\Command - "" = activexdebugger32.exe f
O33 - MountPoints2\{a8632738-a8ea-11dc-908e-0015000cafda}\Shell\open\Command - "" = activexdebugger32.exe f
O33 - MountPoints2\{abf1df56-5773-11dd-90ab-0015000cafda}\Shell - "" = AutoRun
O33 - MountPoints2\{abf1df56-5773-11dd-90ab-0015000cafda}\Shell\1\Command - "" = I:\RECYCLER\RECYCLER\autorun.exe -- File not found
O33 - MountPoints2\{abf1df56-5773-11dd-90ab-0015000cafda}\Shell\2\Command - "" = I:\RECYCLER\RECYCLER\autorun.exe -- File not found
O33 - MountPoints2\{abf1df56-5773-11dd-90ab-0015000cafda}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{abf1df57-5773-11dd-90ab-0015000cafda}\Shell - "" = AutoRun
O33 - MountPoints2\{abf1df57-5773-11dd-90ab-0015000cafda}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{abf1df57-5773-11dd-90ab-0015000cafda}\Shell\AutoRun\command - "" = I:\start.exe -- File not found
O33 - MountPoints2\{c6a891a7-6141-11dd-90b0-0015000cafda}\Shell - "" = AutoRun
O33 - MountPoints2\{c6a891a7-6141-11dd-90b0-0015000cafda}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c6a891a7-6141-11dd-90b0-0015000cafda}\Shell\AutoRun\command - "" = I:\starter.exe -- File not found
O33 - MountPoints2\{f3c6c7a2-5d9b-11dd-90af-0015000cafda}\Shell\AutoRun\command - "" = I:\TrueCrypt\TrueCrypt.exe -- File not found
O33 - MountPoints2\{f3c6c7a2-5d9b-11dd-90af-0015000cafda}\Shell\dismount\command - "" = I:\TrueCrypt\TrueCrypt.exe -- File not found
O33 - MountPoints2\{f3c6c7a2-5d9b-11dd-90af-0015000cafda}\Shell\start\command - "" = I:\TrueCrypt\TrueCrypt.exe -- File not found
[2010.11.15 11:13:42 | 000,000,017 | -H-- | M] () -- C:\WINDOWS\System32\servdat.slm
[2010.11.15 10:52:49 | 000,000,087 | ---- | M] () -- C:\WINDOWS\System32\ssprs.tgz
[2010.11.15 10:52:49 | 000,000,073 | ---- | M] () -- C:\WINDOWS\System32\ssprs.dll
[2010.11.15 10:52:40 | 000,000,219 | ---- | M] () -- C:\WINDOWS\System32\lsprst7.tgz
[2010.11.15 10:52:40 | 000,000,205 | ---- | M] () -- C:\WINDOWS\System32\lsprst7.dll
@Alternate Data Stream - 133 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:ECE4A64B
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Veribul 21.11.2010 23:03
Danke!
hier das logfile:

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{47833539-D0C5-4125-9FA8-0819E2EAAC93} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47833539-D0C5-4125-9FA8-0819E2EAAC93}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{47833539-D0C5-4125-9FA8-0819E2EAAC93} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47833539-D0C5-4125-9FA8-0819E2EAAC93}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{855F3B16-6D32-4FE6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4FE6-8A56-BBB695989046}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{92F02779-6D88-4958-8AD3-83C12D86ADC7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92F02779-6D88-4958-8AD3-83C12D86ADC7}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Zshutdown deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{01c37af4-8904-11de-90ea-0015000cafda}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01c37af4-8904-11de-90ea-0015000cafda}\ not found.
File ibmn.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{01c37af4-8904-11de-90ea-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01c37af4-8904-11de-90ea-0015000cafda}\ not found.
File ibmn.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{01c37af4-8904-11de-90ea-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01c37af4-8904-11de-90ea-0015000cafda}\ not found.
File ibmn.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{01c37af4-8904-11de-90ea-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01c37af4-8904-11de-90ea-0015000cafda}\ not found.
File ibmn.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{053e2ba1-0625-11dd-909c-0015000cafda}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{053e2ba1-0625-11dd-909c-0015000cafda}\ not found.
File nhbivui.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{053e2ba1-0625-11dd-909c-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{053e2ba1-0625-11dd-909c-0015000cafda}\ not found.
File nhbivui.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{053e2ba1-0625-11dd-909c-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{053e2ba1-0625-11dd-909c-0015000cafda}\ not found.
File nhbivui.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{36a636df-7840-11dc-9086-0015000cafda}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36a636df-7840-11dc-9086-0015000cafda}\ not found.
File I:\activexdebugger32.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{36a636df-7840-11dc-9086-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36a636df-7840-11dc-9086-0015000cafda}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{36a636df-7840-11dc-9086-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36a636df-7840-11dc-9086-0015000cafda}\ not found.
File I:\activexdebugger32.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{36a636df-7840-11dc-9086-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36a636df-7840-11dc-9086-0015000cafda}\ not found.
File I:\activexdebugger32.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5087c238-5df4-11dc-9082-0015000cafda}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5087c238-5df4-11dc-9082-0015000cafda}\ not found.
File activexdebugger32.exe f not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5087c238-5df4-11dc-9082-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5087c238-5df4-11dc-9082-0015000cafda}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5087c238-5df4-11dc-9082-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5087c238-5df4-11dc-9082-0015000cafda}\ not found.
File activexdebugger32.exe f not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5087c238-5df4-11dc-9082-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5087c238-5df4-11dc-9082-0015000cafda}\ not found.
File activexdebugger32.exe f not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8eb0a7c9-93ba-11dd-90c3-0015000cafda}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8eb0a7c9-93ba-11dd-90c3-0015000cafda}\ not found.
File I:\ov.cmd not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8eb0a7c9-93ba-11dd-90c3-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8eb0a7c9-93ba-11dd-90c3-0015000cafda}\ not found.
File I:\ov.cmd not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8eb0a7c9-93ba-11dd-90c3-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8eb0a7c9-93ba-11dd-90c3-0015000cafda}\ not found.
File I:\ov.cmd not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{994ba6ce-7484-11df-9117-0015000cafda}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{994ba6ce-7484-11df-9117-0015000cafda}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{994ba6ce-7484-11df-9117-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{994ba6ce-7484-11df-9117-0015000cafda}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{994ba6ce-7484-11df-9117-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{994ba6ce-7484-11df-9117-0015000cafda}\ not found.
File I:\LaunchU3.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a863271e-a8ea-11dc-908e-0015000cafda}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a863271e-a8ea-11dc-908e-0015000cafda}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a863271e-a8ea-11dc-908e-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a863271e-a8ea-11dc-908e-0015000cafda}\ not found.
File I:\RECYCLER\RECYCLER\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a863271e-a8ea-11dc-908e-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a863271e-a8ea-11dc-908e-0015000cafda}\ not found.
File I:\RECYCLER\RECYCLER\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a863271e-a8ea-11dc-908e-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a863271e-a8ea-11dc-908e-0015000cafda}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a863272d-a8ea-11dc-908e-0015000cafda}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a863272d-a8ea-11dc-908e-0015000cafda}\ not found.
File activexdebugger32.exe f not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a863272d-a8ea-11dc-908e-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a863272d-a8ea-11dc-908e-0015000cafda}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a863272d-a8ea-11dc-908e-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a863272d-a8ea-11dc-908e-0015000cafda}\ not found.
File activexdebugger32.exe f not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a863272d-a8ea-11dc-908e-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a863272d-a8ea-11dc-908e-0015000cafda}\ not found.
File activexdebugger32.exe f not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a8632738-a8ea-11dc-908e-0015000cafda}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a8632738-a8ea-11dc-908e-0015000cafda}\ not found.
File activexdebugger32.exe f not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a8632738-a8ea-11dc-908e-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a8632738-a8ea-11dc-908e-0015000cafda}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a8632738-a8ea-11dc-908e-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a8632738-a8ea-11dc-908e-0015000cafda}\ not found.
File activexdebugger32.exe f not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a8632738-a8ea-11dc-908e-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a8632738-a8ea-11dc-908e-0015000cafda}\ not found.
File activexdebugger32.exe f not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{abf1df56-5773-11dd-90ab-0015000cafda}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{abf1df56-5773-11dd-90ab-0015000cafda}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{abf1df56-5773-11dd-90ab-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{abf1df56-5773-11dd-90ab-0015000cafda}\ not found.
File I:\RECYCLER\RECYCLER\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{abf1df56-5773-11dd-90ab-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{abf1df56-5773-11dd-90ab-0015000cafda}\ not found.
File I:\RECYCLER\RECYCLER\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{abf1df56-5773-11dd-90ab-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{abf1df56-5773-11dd-90ab-0015000cafda}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{abf1df57-5773-11dd-90ab-0015000cafda}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{abf1df57-5773-11dd-90ab-0015000cafda}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{abf1df57-5773-11dd-90ab-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{abf1df57-5773-11dd-90ab-0015000cafda}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{abf1df57-5773-11dd-90ab-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{abf1df57-5773-11dd-90ab-0015000cafda}\ not found.
File I:\start.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c6a891a7-6141-11dd-90b0-0015000cafda}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c6a891a7-6141-11dd-90b0-0015000cafda}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c6a891a7-6141-11dd-90b0-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c6a891a7-6141-11dd-90b0-0015000cafda}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c6a891a7-6141-11dd-90b0-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c6a891a7-6141-11dd-90b0-0015000cafda}\ not found.
File I:\starter.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3c6c7a2-5d9b-11dd-90af-0015000cafda}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f3c6c7a2-5d9b-11dd-90af-0015000cafda}\ not found.
File I:\TrueCrypt\TrueCrypt.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3c6c7a2-5d9b-11dd-90af-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f3c6c7a2-5d9b-11dd-90af-0015000cafda}\ not found.
File I:\TrueCrypt\TrueCrypt.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3c6c7a2-5d9b-11dd-90af-0015000cafda}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f3c6c7a2-5d9b-11dd-90af-0015000cafda}\ not found.
File I:\TrueCrypt\TrueCrypt.exe not found.
C:\WINDOWS\system32\servdat.slm moved successfully.
C:\WINDOWS\system32\ssprs.tgz moved successfully.
C:\WINDOWS\system32\ssprs.dll moved successfully.
C:\WINDOWS\system32\lsprst7.tgz moved successfully.
C:\WINDOWS\system32\lsprst7.dll moved successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:ECE4A64B deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: everyday
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Gast
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Veronika
->Temp folder emptied: 421447 bytes
->Temporary Internet Files folder emptied: 90111732 bytes
->Java cache emptied: 15909702 bytes
->FireFox cache emptied: 49029806 bytes
->Flash cache emptied: 1942973 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 41109606 bytes
RecycleBin emptied: 76801242 bytes

Total Files Cleaned = 263,00 mb


OTL by OldTimer - Version 3.2.17.3 log created on 11212010_225413

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Veribul 21.11.2010 23:22
hab jetzt auch nochmal einen quickscan mit malwarebytes gemacht:

www.malwarebytes.org

Datenbank Version: 5162

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

21.11.2010 23:14:34
mbam-log-2010-11-21 (23-14-34).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 165246
Laufzeit: 9 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 22.11.2010 09:31
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Veribul 22.11.2010 13:55
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo Arne!
habe den CCleaner ausgeführt, jetzt wollte ich cofi.exe starten aber der sagt immer, das avira nicht geschlossen ist, obwohl ich das eigentlich deaktiviert habe. kann man das noch mehr als deaktivieren?
meldung im Anhang.
lieben dank,
Veronika

cosinus 22.11.2010 15:32
Kannste ignorieren wenn der Regenschirm geschlossen ist.

Veribul 22.11.2010 21:35
neue Probleme!
ne Freundin war mit meinem infizierten Laptop im Internet und jetzt geht nichts mehr. So ein XP Antispywareprogramm läd sich immer und sagt system hijack! und möchte irgendeine Registrierung, damit es Viren löschen kann - ich kenne das programm nicht, kommt mir sehr spanisch vor.
HAbe malwarebytes nochmal ausführen wollen aber er führt es nicht aus. habe es nochmal runtergeladen aber er öffnet die .exe-datei auch nicht. kommt immer kurz eine sanduhr und dann passiert nichts.
mache mir jetzt sorgen! kann ich sonst noch was machen?
liebe Gruesse + Dank
Veronika

Veribul 22.11.2010 21:56
habe einen scan mit antivir ausführen können, der hat nur tr/patched.kl.219 gefunden und scannt jetzt nicht weiter.
wenn ich dieses angebliche XP antispy schließen möchte über den taskmanager will es immer nicht, dann sagt windows das programm vz.exe wurde geschlossen, ob ich den problembericht senden will. könnte also sein, dass das gar kein xp-programm ist sondern dieses vz.exe.
werde euer forum nochmal nach tipps dazu recherchieren, bin aber auch für jeden hinweis dankbar!
lg

cosinus 23.11.2010 09:06
Hallo?! Was ist denn mit CF? Warum geht deine Freundin mit dem Notebook ins Internet wenn wir hier noch nich durch sind?! :stirn:

Veribul 23.11.2010 09:29
ja... war gestern abend so: :headbang:
also cofix trotzdem versuchen auszuführen? da hab ich noch drauf geklickt, könnte sein, dass sich statt cofix dann auch wieder der pseudovirenscan von dem xp antivir unregistered version öffnet, der dann sagt, man soll die registrieren lassen dass er seine 25 viren die er findet, löschen kann... schönes theater. hab den pc gestern dann runtergefahren, was könnte ich tun?
lieben dank schonmal,
Veronika

cosinus 23.11.2010 10:33
Du solltest doch CF einfach ausführen und die Meldung über AntiVir ignorieren wenn der Regnschirm dicht ist! Wieso sagst du jetzt was ganz anderes??

Veribul 23.11.2010 15:31
Sorry! habs verzockt, der PC hat sich scheinbar was neues aus dem Internet runtergeladen. CF hatte ich gestern dann noch nicht gemacht, weil ich noch kein ok von dir hatte wegen antivir und als ich ihn das nächste Mal in der hand hatte, war er dann völlig am abdrehen mit diesem vz.exe und dem angeblichen xp antispy.
jetzt ist er aus, der pc.
kann ich denn da irgendwas machen? was macht man denn, wenn sich das virenscanprogramm nicht ausführen lässt? oder kann man das irgendwie noch anders ausführen als über doppelklick oder öffen?
lieben dank schonmal!
Veronika

cosinus 23.11.2010 15:57
Führ doch einfach CF aus :balla:

Veribul 23.11.2010 20:05
Hallo!
habe ct ausgeführt und dann hat das mit einem bluescreen aufgehört mit der Meldung:
STOP:C000021a
windows logon process wurde unerwartet beendet, status 0x80000007
system wurde heruntergefahren.

soll ich den einfach wieder hochfahren oder irgendwas besonderes (abgesicherter modus oder so)?
und was dann machen?
Danke!

cosinus 23.11.2010 20:59
Alte cofi löschen, CF neu als cofi herunterladen und bitte nochmal probieren

Veribul 23.11.2010 23:13
Habs noch ein zweites Mal durchgeführt, wieder der blue screen aber hier das logfile:
Combofix Logfile:
Code:
ComboFix 10-11-23.01 - Veronika 23.11.2010  22:51:09.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.611 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Veronika\Desktop\cofi.exe.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\winlogon.exe . . . ist infiziert!!

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe wurde wiederhergestellt

.
(((((((((((((((((((((((  Dateien erstellt von 2010-10-23 bis 2010-11-23  ))))))))))))))))))))))))))))))
.

2010-11-22 12:20 . 2010-11-23 17:36        --------        d-----w-        c:\programme\CCleaner
2010-11-21 22:42 . 1998-06-24 00:00        137000        ----a-w-        c:\windows\system32\MSMAPI32.OCX
2010-11-21 22:42 . 2001-10-28 16:42        116224        ----a-w-        c:\windows\system32\pdfcmnnt.dll
2010-11-21 22:42 . 2010-11-21 22:43        --------        d-----w-        c:\programme\PDFCreator
2010-11-21 22:42 . 1998-07-06 17:55        64512        ----a-w-        c:\windows\system32\MSCC2DE.DLL
2010-11-21 22:42 . 1998-07-06 00:00        23552        ----a-w-        c:\windows\system32\MSMPIDE.DLL
2010-11-21 21:54 . 2010-11-21 21:54        --------        d-----w-        C:\_OTL
2010-11-16 22:04 . 2010-11-16 22:04        --------        d-----w-        c:\programme\ERUNT
2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-11-16 20:22 . 2010-11-16 20:22        --------        d-----w-        c:\programme\Outlook Express Freebie Backup
2010-11-16 18:45 . 2010-11-21 23:20        --------        d-----w-        C:\program exe dateien
2010-11-16 18:43 . 2010-11-16 18:43        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Foxit Software
2010-11-16 18:42 . 2010-11-16 18:42        --------        d-----w-        c:\programme\Foxit Software
2010-11-16 14:49 . 2010-11-22 20:48        --------        d-----w-        c:\windows\system32\NtmsData
2010-11-16 14:48 . 2010-11-21 13:51        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\download
2010-11-14 22:23 . 2010-11-14 22:23        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Avira
2010-11-12 18:46 . 2010-11-12 18:46        4280320        ----a-w-        c:\windows\system32\GPhotos.scr
2010-11-02 14:56 . 2010-11-02 14:56        --------        d-----w-        c:\programme\OpenXML-ODF Translator
2010-11-02 14:52 . 2010-11-02 14:52        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Gutscheinmieze
2010-10-26 09:03 . 2010-10-26 09:03        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-22 20:38 . 2009-11-26 12:56        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2010-11-16 20:22 . 2008-12-03 15:07        249856        ------w-        c:\windows\Setup1.exe
2010-11-16 20:22 . 2009-01-25 20:24        73216        ----a-w-        c:\windows\ST6UNST.EXE
2010-11-15 23:09 . 2009-11-26 12:56        126856        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2009-01-13 09:30 . 2009-01-13 09:30        10522112        ----a-w-        c:\programme\vpnclient_setup.msi
2009-01-13 09:30 . 2009-01-13 09:30        56832        ----a-w-        c:\programme\vpnclient_setup.exe
2009-01-13 09:30 . 2009-01-13 09:30        1822520        ----a-w-        c:\programme\instmsiw.exe
2009-01-13 09:30 . 2009-01-13 09:30        1708856        ----a-w-        c:\programme\instmsi.exe
2009-01-13 09:28 . 2009-01-13 09:28        221315        ----a-w-        c:\programme\installservice.exe
2009-01-13 09:27 . 2009-01-13 09:27        16505        ----a-w-        c:\programme\DelayInst.exe
2007-11-21 17:57 . 2007-11-21 17:57        1440047        ----a-w-        c:\programme\wrar371d.exe
2007-07-04 13:00 . 2007-07-04 13:00        4313466        ----a-w-        c:\programme\folderaccess2_0freeware.exe
2006-09-28 18:49 . 2006-09-28 18:49        7129900        ----a-w-        c:\programme\z-dbackup.exe
2006-03-28 17:43 . 2006-03-28 17:43        11817800        ----a-w-        c:\programme\GoogleEarth.exe
2005-12-18 23:15 . 2005-12-18 23:15        12081716        ----a-w-        c:\programme\DM-Foto-Assistent.exe
2005-12-18 08:46 . 2005-12-18 08:45        34412848        ----a-w-        c:\programme\iTunesSetup.exe
2005-11-12 23:27 . 2005-11-12 23:27        613391        ----a-w-        c:\programme\outlook_repair.exe
.

------- Sigcheck -------

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe
[-] 2004-08-04 13:00 . !HASH: COULD NOT OPEN FILE !!!!! . 507392 . . [------] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe
[-] 2007-06-13 . B90B2D55C704E6BB1375D72635156FFC . 1036288 . . [6.00.2900.3156] . . c:\windows\explorer.exe
[7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-03-02 57344]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-25 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-10-15 10:27        110592        ----a-w-        c:\programme\Intel\Wireless\Bin\LgNotify.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Device Detector 3.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk
backup=c:\windows\pss\Device Detector 3.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=c:\windows\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 05:43        69632        ----a-w-        c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2010-11-15 23:09        281768        ----a-w-        c:\programme\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl]
2005-04-12 11:17        102400        ----a-r-        c:\windows\ATK0100\HControl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-07-13 12:03        292128        ----a-w-        c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2004-09-24 16:22        1916928        ----a-w-        c:\programme\nero\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50        155648        -c--a-w-        c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power_Gear]
2004-09-21 15:55        81920        ----a-w-        c:\programme\Asus\Power4 Gear\BatteryLife.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-01-12 01:01        32768        ----a-w-        c:\programme\CyberLink\PowrDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2005-05-25 02:37        14477312        ----a-w-        c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient]
2002-12-16 14:51        36864        ----a-w-        c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-01-25 20:37        136600        ----a-w-        c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2004-12-22 00:23        688218        ----a-w-        c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2004-12-22 00:23        98394        ----a-w-        c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomcatStartup]
2003-03-31 17:28        155648        ----a-w-        c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\V0470Mon.exe]
2007-04-11 17:00        32768        ----a-r-        c:\windows\V0470Mon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-02-13 18:29        35328        ----a-w-        c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
"DM1Service"=2 (0x2)
"usnjsvc"=3 (0x3)
"S24EventMonitor"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\SightSpeed\\SightSpeed.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Dokumente und Einstellungen\\Veronika\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 R592;R592;c:\windows\system32\drivers\R592.sys [15.10.2004 19:26 57088]
R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15.10.2004 19:26 27264]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [01.01.2006 17:26 81408]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 13:56 135336]
R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [01.11.2005 14:09 8768]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.12.2005 16:52 65536]
R2 NBSPortDriver;NBSPortDriver;c:\windows\system32\drivers\NBSPortDriver.sys [05.04.2007 13:02 21496]
S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [12.11.2005 18:56 5824]
S3 I80swebtindm;I80swebtindm; [x]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?]
S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [27.08.2008 18:37 146368]
.
Inhalt des "geplante Tasks" Ordners

2010-10-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.znout.org/index.php?color=black
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {96512D57-F751-4088-A689-5778FCC77F7A} - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab
DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
FF - ProfilePath - c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Mozilla\Firefox\Profiles\nsp64q0q.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.znout.org/index.php?color=black
FF - plugin: c:\programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-11-23 23:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1476)
c:\windows\system32\Ati2evxx.dll
c:\programme\Intel\Wireless\Bin\LgNotify.dll

- - - - - - - > 'explorer.exe'(1968)
c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\LckFldService.exe
c:\windows\system32\NMSAccessU.exe
c:\programme\Intel\Wireless\Bin\OProtSvc.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Intel\Wireless\Bin\ZcfgSvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-23  23:09:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-11-23 22:08
ComboFix2.txt  2010-11-23 21:35

Vor Suchlauf: 19 Verzeichnis(se), 18.536.435.200 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 18.516.918.272 Bytes frei

- - End Of File - - 16A61CC7AA6E558513C3E34F3ED9554A
--- --- ---

Veribul 23.11.2010 23:20
und hier häng ich dir noch das cf log vom ersten scan an, das hat er dann beim Hochfahren angezeigt.
Lieben Dank!

cosinus 24.11.2010 09:50
Ich hab Dir drei Dateien mal hochgeladen, die bei Dir infiziert sind => File-Upload.net - cosinus.zip
Bitte herunterladen, direkt auf C: speichern und entpacken zB nach c:\cosinus (Passwort der zip ist veribul )

Dann gehts so weiter:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 70 MB sein
2. Entpack die ZIP-Datei in einen beliebigen Pfad, es wird eine ISO-Datei (CD-Abbild) von PartedMagic entpackt
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://www.raiden.net/images/article...tedmagic40.jpg

4. Du müsstest ein Symbol Mount Devices finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
6. Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 sein sollte) folgende Dateien um, einfach ein .vir dranhängen:

Code:
/windows/system32/winlogon.exe.vir
/windows/system32/ctfmon.exe.vir
/windows/explorer.exe.vir
7. Kopiere die sauberen Dateien aus dem cosinus-Ordner in die entprechenden Pfade rein:

Code:
/cosinus/explorer.exe => /windows/explorer.exe
/cosinus/winlogon.exe => /windows/system32/winlogon.exe
/cosinus/ctfmon.exe => /windows/system32/ctfmon.exe
(müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)


8. Starte den Rechner neu und boote Windows

9. Die in Linux umbenannte Dateien (die mit .vir) bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

10. Wenn alles geschafft ist Beischeid geben :)

Veribul 24.11.2010 12:58
brennen von parted magic funktioniert nicht
 
Hallo!
Danke erstmal!
hab alles runtergeladen und erst mit nero 2x, dann mit imgburn versucht die datei zu brennen als image, aber der pc hat sich jedes mal aufgehängt. bei imgburn hat er von einem fehler gesprochen und es nochmal versucht aber dann ist er auch abgestürzt.
soll ich die datei nochmal neu runterladen? oder geht das auch mit usb-stick?
lg

cosinus 24.11.2010 17:24
Das was du runterlädst ist eine zip Datei! Die musst du vorher entpacken, dann kommt eine iso Datei die man als Image brennen kann!

Veribul 24.11.2010 23:52
Hab schon versucht das Iso zu brennen, hat an nem anderen PC auch geklappt aber danach hat mir ImgBurn sehr viele Read-errors angezeigt und das starten von der CD hat dann auch nicht geklappt: hat zwar kurz angefanen davon zu booten, aber dann gesagt: error und retry und dann hat er das ganze nochmal angefangen.
kann man das parted magic noch woanders runterladen?
lg

cosinus 25.11.2010 11:46
Du machst beim Brennen was flasch. Brenn mal langsamer, max. 16x!

Veribul 25.11.2010 15:25
ok, hab dir die Sachen übern den uploadchannel geschickt!
liebe Gruesse, Veronika

cosinus 25.11.2010 15:48
Dann jetzt bitte einen neuen Durchgang mit CF machen - die alte cofi vorher löschen und CF wieder als cofi.exe neu herunterladen, Rest wie gehabt.

Veribul 25.11.2010 16:10
hier die Logdatei vom neuen CF, lg, Veronika
Combofix Logfile:
Code:
ComboFix 10-11-24.04 - Veronika 25.11.2010  15:58:34.3.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.622 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Veronika\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((  Dateien erstellt von 2010-10-25 bis 2010-11-25  ))))))))))))))))))))))))))))))
.

2010-11-25 15:14 . 2008-04-14 12:00        513024        ----a-w-        c:\windows\system32\winlogon.exe
2010-11-25 15:12 . 2008-04-14 12:00        15360        ----a-w-        c:\windows\system32\ctfmon.exe
2010-11-25 15:11 . 2008-04-14 12:00        1036800        ----a-w-        c:\windows\explorer.exe
2010-11-25 14:17 . 2010-11-25 14:17        --------        d-----w-        c:\windows\system32\LogFiles
2010-11-24 16:17 . 2010-11-24 16:17        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\ImgBurn
2010-11-24 10:54 . 2010-11-24 10:54        --------        d-----w-        c:\programme\ImgBurn
2010-11-24 09:16 . 2010-11-24 09:39        --------        d-----w-        C:\cosinus
2010-11-22 12:20 . 2010-11-23 17:36        --------        d-----w-        c:\programme\CCleaner
2010-11-21 22:42 . 1998-06-24 00:00        137000        ----a-w-        c:\windows\system32\MSMAPI32.OCX
2010-11-21 22:42 . 2001-10-28 16:42        116224        ----a-w-        c:\windows\system32\pdfcmnnt.dll
2010-11-21 22:42 . 2010-11-21 22:43        --------        d-----w-        c:\programme\PDFCreator
2010-11-21 22:42 . 1998-07-06 17:55        64512        ----a-w-        c:\windows\system32\MSCC2DE.DLL
2010-11-21 22:42 . 1998-07-06 00:00        23552        ----a-w-        c:\windows\system32\MSMPIDE.DLL
2010-11-21 21:54 . 2010-11-21 21:54        --------        d-----w-        C:\_OTL
2010-11-16 22:04 . 2010-11-16 22:04        --------        d-----w-        c:\programme\ERUNT
2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-11-16 20:22 . 2010-11-16 20:22        --------        d-----w-        c:\programme\Outlook Express Freebie Backup
2010-11-16 18:45 . 2010-11-21 23:20        --------        d-----w-        C:\program exe dateien
2010-11-16 18:43 . 2010-11-16 18:43        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Foxit Software
2010-11-16 18:42 . 2010-11-16 18:42        --------        d-----w-        c:\programme\Foxit Software
2010-11-16 14:49 . 2010-11-22 20:48        --------        d-----w-        c:\windows\system32\NtmsData
2010-11-16 14:48 . 2010-11-21 13:51        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\download
2010-11-14 22:23 . 2010-11-14 22:23        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Avira
2010-11-12 18:46 . 2010-11-12 18:46        4280320        ----a-w-        c:\windows\system32\GPhotos.scr
2010-11-02 14:56 . 2010-11-02 14:56        --------        d-----w-        c:\programme\OpenXML-ODF Translator
2010-11-02 14:52 . 2010-11-02 14:52        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Gutscheinmieze

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-22 20:38 . 2009-11-26 12:56        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2010-11-16 20:22 . 2008-12-03 15:07        249856        ------w-        c:\windows\Setup1.exe
2010-11-16 20:22 . 2009-01-25 20:24        73216        ----a-w-        c:\windows\ST6UNST.EXE
2010-11-15 23:09 . 2009-11-26 12:56        126856        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2009-01-13 09:30 . 2009-01-13 09:30        10522112        ----a-w-        c:\programme\vpnclient_setup.msi
2009-01-13 09:30 . 2009-01-13 09:30        56832        ----a-w-        c:\programme\vpnclient_setup.exe
2009-01-13 09:30 . 2009-01-13 09:30        1822520        ----a-w-        c:\programme\instmsiw.exe
2009-01-13 09:30 . 2009-01-13 09:30        1708856        ----a-w-        c:\programme\instmsi.exe
2009-01-13 09:28 . 2009-01-13 09:28        221315        ----a-w-        c:\programme\installservice.exe
2009-01-13 09:27 . 2009-01-13 09:27        16505        ----a-w-        c:\programme\DelayInst.exe
2007-11-21 17:57 . 2007-11-21 17:57        1440047        ----a-w-        c:\programme\wrar371d.exe
2007-07-04 13:00 . 2007-07-04 13:00        4313466        ----a-w-        c:\programme\folderaccess2_0freeware.exe
2006-09-28 18:49 . 2006-09-28 18:49        7129900        ----a-w-        c:\programme\z-dbackup.exe
2006-03-28 17:43 . 2006-03-28 17:43        11817800        ----a-w-        c:\programme\GoogleEarth.exe
2005-12-18 23:15 . 2005-12-18 23:15        12081716        ----a-w-        c:\programme\DM-Foto-Assistent.exe
2005-12-18 08:46 . 2005-12-18 08:45        34412848        ----a-w-        c:\programme\iTunesSetup.exe
2005-11-12 23:27 . 2005-11-12 23:27        613391        ----a-w-        c:\programme\outlook_repair.exe
.

------- Sigcheck -------

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe
[7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe

[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\ERDNT\cache\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\ctfmon.exe
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-03-02 57344]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-25 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-10-15 10:27        110592        ----a-w-        c:\programme\Intel\Wireless\Bin\LgNotify.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Device Detector 3.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk
backup=c:\windows\pss\Device Detector 3.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=c:\windows\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 05:43        69632        ----a-w-        c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2010-11-15 23:09        281768        ----a-w-        c:\programme\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl]
2005-04-12 11:17        102400        ----a-r-        c:\windows\ATK0100\HControl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-07-13 12:03        292128        ----a-w-        c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2004-09-24 16:22        1916928        ----a-w-        c:\programme\nero\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50        155648        -c--a-w-        c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power_Gear]
2004-09-21 15:55        81920        ----a-w-        c:\programme\Asus\Power4 Gear\BatteryLife.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-01-12 01:01        32768        ----a-w-        c:\programme\CyberLink\PowrDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2005-05-25 02:37        14477312        ----a-w-        c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient]
2002-12-16 14:51        36864        ----a-w-        c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-01-25 20:37        136600        ----a-w-        c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2004-12-22 00:23        688218        ----a-w-        c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2004-12-22 00:23        98394        ----a-w-        c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomcatStartup]
2003-03-31 17:28        155648        ----a-w-        c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\V0470Mon.exe]
2007-04-11 17:00        32768        ----a-r-        c:\windows\V0470Mon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-02-13 18:29        35328        ----a-w-        c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
"DM1Service"=2 (0x2)
"usnjsvc"=3 (0x3)
"S24EventMonitor"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\SightSpeed\\SightSpeed.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Dokumente und Einstellungen\\Veronika\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 R592;R592;c:\windows\system32\drivers\R592.sys [15.10.2004 19:26 57088]
R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15.10.2004 19:26 27264]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [01.01.2006 17:26 81408]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 13:56 135336]
R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [01.11.2005 14:09 8768]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.12.2005 16:52 65536]
R2 NBSPortDriver;NBSPortDriver;c:\windows\system32\drivers\NBSPortDriver.sys [05.04.2007 13:02 21496]
S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [12.11.2005 18:56 5824]
S3 I80swebtindm;I80swebtindm; [x]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?]
S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [27.08.2008 18:37 146368]
.
Inhalt des "geplante Tasks" Ordners

2010-10-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.znout.org/index.php?color=black
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {96512D57-F751-4088-A689-5778FCC77F7A} - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab
DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
FF - ProfilePath - c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Mozilla\Firefox\Profiles\nsp64q0q.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.znout.org/index.php?color=black
FF - plugin: c:\programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-11-25 16:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1476)
c:\windows\system32\Ati2evxx.dll
c:\programme\Intel\Wireless\Bin\LgNotify.dll

- - - - - - - > 'explorer.exe'(1264)
c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
.
Zeit der Fertigstellung: 2010-11-25  16:08:20
ComboFix-quarantined-files.txt  2010-11-25 15:08
ComboFix2.txt  2010-11-23 22:09
ComboFix3.txt  2010-11-23 21:35

Vor Suchlauf: 20 Verzeichnis(se), 18.068.483.584 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 18.045.926.400 Bytes frei

- - End Of File - - 80C93B8310CB286C85AB9BE9CA84E660
--- --- ---

cosinus 26.11.2010 18:42
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Driver::
I80swebtindm
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Veribul 26.11.2010 19:36
Hallo! hier das neue Log-File:
Combofix Logfile:
Code:
ComboFix 10-11-25.06 - Veronika 26.11.2010  19:17:04.4.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.606 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Veronika\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Veronika\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_I80swebtindm


(((((((((((((((((((((((  Dateien erstellt von 2010-10-26 bis 2010-11-26  ))))))))))))))))))))))))))))))
.

2010-11-25 15:14 . 2008-04-14 12:00        513024        ----a-w-        c:\windows\system32\winlogon.exe
2010-11-25 15:12 . 2008-04-14 12:00        15360        ----a-w-        c:\windows\system32\ctfmon.exe
2010-11-25 15:11 . 2008-04-14 12:00        1036800        ----a-w-        c:\windows\explorer.exe
2010-11-25 14:17 . 2010-11-25 14:17        --------        d-----w-        c:\windows\system32\LogFiles
2010-11-24 16:17 . 2010-11-24 16:17        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\ImgBurn
2010-11-24 10:54 . 2010-11-24 10:54        --------        d-----w-        c:\programme\ImgBurn
2010-11-24 09:16 . 2010-11-24 09:39        --------        d-----w-        C:\cosinus
2010-11-22 12:20 . 2010-11-23 17:36        --------        d-----w-        c:\programme\CCleaner
2010-11-21 22:42 . 1998-06-24 00:00        137000        ----a-w-        c:\windows\system32\MSMAPI32.OCX
2010-11-21 22:42 . 2001-10-28 16:42        116224        ----a-w-        c:\windows\system32\pdfcmnnt.dll
2010-11-21 22:42 . 2010-11-21 22:43        --------        d-----w-        c:\programme\PDFCreator
2010-11-21 22:42 . 1998-07-06 17:55        64512        ----a-w-        c:\windows\system32\MSCC2DE.DLL
2010-11-21 22:42 . 1998-07-06 00:00        23552        ----a-w-        c:\windows\system32\MSMPIDE.DLL
2010-11-21 21:54 . 2010-11-21 21:54        --------        d-----w-        C:\_OTL
2010-11-16 22:04 . 2010-11-16 22:04        --------        d-----w-        c:\programme\ERUNT
2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-16 21:33 . 2010-04-29 14:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-11-16 21:33 . 2010-11-16 21:33        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-11-16 20:22 . 2010-11-16 20:22        --------        d-----w-        c:\programme\Outlook Express Freebie Backup
2010-11-16 18:45 . 2010-11-21 23:20        --------        d-----w-        C:\program exe dateien
2010-11-16 18:43 . 2010-11-16 18:43        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Foxit Software
2010-11-16 18:42 . 2010-11-16 18:42        --------        d-----w-        c:\programme\Foxit Software
2010-11-16 14:49 . 2010-11-22 20:48        --------        d-----w-        c:\windows\system32\NtmsData
2010-11-16 14:48 . 2010-11-21 13:51        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\download
2010-11-14 22:23 . 2010-11-14 22:23        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Avira
2010-11-12 18:46 . 2010-11-12 18:46        4280320        ----a-w-        c:\windows\system32\GPhotos.scr
2010-11-02 14:56 . 2010-11-02 14:56        --------        d-----w-        c:\programme\OpenXML-ODF Translator
2010-11-02 14:52 . 2010-11-02 14:52        --------        d-----w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Gutscheinmieze

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-22 20:38 . 2009-11-26 12:56        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2010-11-16 20:22 . 2008-12-03 15:07        249856        ------w-        c:\windows\Setup1.exe
2010-11-16 20:22 . 2009-01-25 20:24        73216        ----a-w-        c:\windows\ST6UNST.EXE
2010-11-15 23:09 . 2009-11-26 12:56        126856        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2009-01-13 09:30 . 2009-01-13 09:30        10522112        ----a-w-        c:\programme\vpnclient_setup.msi
2009-01-13 09:30 . 2009-01-13 09:30        56832        ----a-w-        c:\programme\vpnclient_setup.exe
2009-01-13 09:30 . 2009-01-13 09:30        1822520        ----a-w-        c:\programme\instmsiw.exe
2009-01-13 09:30 . 2009-01-13 09:30        1708856        ----a-w-        c:\programme\instmsi.exe
2009-01-13 09:28 . 2009-01-13 09:28        221315        ----a-w-        c:\programme\installservice.exe
2009-01-13 09:27 . 2009-01-13 09:27        16505        ----a-w-        c:\programme\DelayInst.exe
2007-11-21 17:57 . 2007-11-21 17:57        1440047        ----a-w-        c:\programme\wrar371d.exe
2007-07-04 13:00 . 2007-07-04 13:00        4313466        ----a-w-        c:\programme\folderaccess2_0freeware.exe
2006-09-28 18:49 . 2006-09-28 18:49        7129900        ----a-w-        c:\programme\z-dbackup.exe
2006-03-28 17:43 . 2006-03-28 17:43        11817800        ----a-w-        c:\programme\GoogleEarth.exe
2005-12-18 23:15 . 2005-12-18 23:15        12081716        ----a-w-        c:\programme\DM-Foto-Assistent.exe
2005-12-18 08:46 . 2005-12-18 08:45        34412848        ----a-w-        c:\programme\iTunesSetup.exe
2005-11-12 23:27 . 2005-11-12 23:27        613391        ----a-w-        c:\programme\outlook_repair.exe
.

------- Sigcheck -------

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe
[7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe

[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\ERDNT\cache\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\ctfmon.exe
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19        94208        ----a-w-        c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-03-02 57344]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-25 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-10-15 10:27        110592        ----a-w-        c:\programme\Intel\Wireless\Bin\LgNotify.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Device Detector 3.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk
backup=c:\windows\pss\Device Detector 3.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=c:\windows\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 05:43        69632        ----a-w-        c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2010-11-15 23:09        281768        ----a-w-        c:\programme\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl]
2005-04-12 11:17        102400        ----a-r-        c:\windows\ATK0100\HControl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-07-13 12:03        292128        ----a-w-        c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2004-09-24 16:22        1916928        ----a-w-        c:\programme\nero\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50        155648        -c--a-w-        c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power_Gear]
2004-09-21 15:55        81920        ----a-w-        c:\programme\Asus\Power4 Gear\BatteryLife.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-01-12 01:01        32768        ----a-w-        c:\programme\CyberLink\PowrDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2005-05-25 02:37        14477312        ----a-w-        c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient]
2002-12-16 14:51        36864        ----a-w-        c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-01-25 20:37        136600        ----a-w-        c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2004-12-22 00:23        688218        ----a-w-        c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2004-12-22 00:23        98394        ----a-w-        c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomcatStartup]
2003-03-31 17:28        155648        ----a-w-        c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\V0470Mon.exe]
2007-04-11 17:00        32768        ----a-r-        c:\windows\V0470Mon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-02-13 18:29        35328        ----a-w-        c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
"DM1Service"=2 (0x2)
"usnjsvc"=3 (0x3)
"S24EventMonitor"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\SightSpeed\\SightSpeed.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Dokumente und Einstellungen\\Veronika\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 R592;R592;c:\windows\system32\drivers\R592.sys [15.10.2004 19:26 57088]
R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15.10.2004 19:26 27264]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [01.01.2006 17:26 81408]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 13:56 135336]
R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [01.11.2005 14:09 8768]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.12.2005 16:52 65536]
R2 NBSPortDriver;NBSPortDriver;c:\windows\system32\drivers\NBSPortDriver.sys [05.04.2007 13:02 21496]
S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [12.11.2005 18:56 5824]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?]
S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [27.08.2008 18:37 146368]
.
Inhalt des "geplante Tasks" Ordners

2010-10-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.znout.org/index.php?color=black
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {96512D57-F751-4088-A689-5778FCC77F7A} - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab
DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
FF - ProfilePath - c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Mozilla\Firefox\Profiles\nsp64q0q.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.znout.org/index.php?color=black
FF - plugin: c:\programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-11-26 19:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1472)
c:\windows\system32\Ati2evxx.dll
c:\programme\Intel\Wireless\Bin\LgNotify.dll

- - - - - - - > 'explorer.exe'(740)
c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\LckFldService.exe
c:\windows\system32\NMSAccessU.exe
c:\programme\Intel\Wireless\Bin\OProtSvc.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Intel\Wireless\Bin\ZcfgSvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-26  19:32:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-11-26 18:32
ComboFix2.txt  2010-11-25 15:08
ComboFix3.txt  2010-11-23 22:09
ComboFix4.txt  2010-11-23 21:35

Vor Suchlauf: 20 Verzeichnis(se), 18.447.368.192 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 18.330.970.624 Bytes frei

- - End Of File - - 2F68DDACB16C0984ABA7AA52D5680E0E
--- --- ---

cosinus 26.11.2010 20:27
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Veribul 27.11.2010 11:30
Hallo!
die logs von gmer und osam gezippt, bei osam bin ich mir nicht so sicher, ob ich das ausreichend durchgeführt hab, das onlineding hab ich dann übersprungen aber vielmehr war da ja nicht, bei dem programm.
die mbrcheck.txt hängt auch an.
liebe Gruesse,
Veronika

cosinus 27.11.2010 15:22
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Veribul 28.11.2010 15:59
Hallo Arne!
das Malwarebytes log hab ich dir angehängt,
hier SASW:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/28/2010 at 03:23 PM

Application Version : 4.46.1000

Core Rules Database Version : 5921
Trace Rules Database Version: 3733

Scan type : Complete Scan
Total Scan Time : 01:57:37

Memory items scanned : 524
Memory threats detected : 0
Registry items scanned : 7404
Registry threats detected : 2
File items scanned : 86753
File threats detected : 6

Adware.Duden-Suche
HKU\S-1-5-21-4131601623-3453247717-2362076966-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{92F02779-6D88-4958-8AD3-83C12D86ADC7}
HKCR\CLSID\{92F02779-6D88-4958-8AD3-83C12D86ADC7}

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Veronika\Cookies\veronika@doubleclick[1].txt

Trojan.Agent/Gen
C:\QOOBOX\QUARANTINE\C\DOKUMENTE UND EINSTELLUNGEN\VERONIKA\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\VZ.EXE.VIR
C:\SYSTEM VOLUME INFORMATION\_RESTORE{C1C8FDFF-59C6-4BC8-A04E-AE83010FCC16}\RP18\A0012180.EXE

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{C1C8FDFF-59C6-4BC8-A04E-AE83010FCC16}\RP10\A0007263.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{C1C8FDFF-59C6-4BC8-A04E-AE83010FCC16}\RP16\A0009951.EXE

Rogue.Agent/Gen-Nullo[DLL]
C:\WINDOWS\PLXW32.DLL

cosinus 28.11.2010 21:26
Da wurden nur Überreste gefunden. Noch Probleme?

Veribul 28.11.2010 21:31
Ok. Probleme hab ich nicht mehr, auch beim Surfen scheint alles in Ordnung!!
soll ich den defogger jetzt wieder enablen?
und die Programme deinstallieren?
vielen Dank!
lg, Veronika

cosinus 28.11.2010 21:42
Zitat:
soll ich den defogger jetzt wieder enablen?
und die Programme deinstallieren?
Ja!! Ja! und nochmals ja...Veronika!! :knuddel: ;)



Ansonsten wären wir durch, liebe Veronika!! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Veribul 29.11.2010 12:17
Wow, sehr cool, ich bin total glücklich!
:dankeschoen: es ist einfach großartig, dass es solche Foren gibt und Leute wie dich, die da einfach helfen!
Werde meinen PC jetzt noch aufräumen und updaten und hoffe, dass ich mir dann nicht so schnell wieder was einfange!
Liebe Gruesse und großen Dank nochmal,
Veronika


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131