Ergebnis 1 bis 8 von 8
  1. #1
    Micky94 Micky94 ist offline

    Trojaner und deren Entfernung

    Hallo,
    wieder mal ein Spinner, der Hilfe für die Beseitigung eines Trojaners braucht

    Folgendes:
    Heute Mittag kam die Meldung von Avira Antivirus, dass ein Trojaner gefunden wurde. "Datei löschen" wurde angeklickt, dann war das Thema erstmal erledigt.

    Doch was sehe ich da im Taskmanager? b.exe und msa.exe. Ich hab mich schon ein wenig informiert (auch hier im Forum, wo es schon Erfahrung mit dem Trojaner gibt^^) und hab nun schon eine HijackThis-Datei angefertigt, die weiter unten folgt.

    Nun hab ich im Forum schon nach Löschmöglichkeiten gesucht, aber ich will nicht irgendwas mit HijackThis löschen, deshalb bitte ich euch hier um eine Extra-Wurst für mich^^

    Also: Wie werde ich den Trojaner komplett los? Mit verständlicher Anleitung bitte, ist mein erster Trojaner^^

    Hier die Datei:
    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:03:08, on 14.11.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\system32\csrcs.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe
    C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    C:\Programme\Microsoft Office\Office\OSA.EXE
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Tobit ClipInc\Player\ClipInc-Player.exe
    C:\Programme\ICQ6.5\ICQ.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\Programme\Avira\AntiVir Desktop\avscan.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [HDD Observer] C:\Programme\HDD Observer\HDD Observer.exe
    O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
    O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
    O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
    O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
    O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
    O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
    O4 - HKCU\..\Run: [MailBlocker] C:\DOKUME~1\User\LOKALE~1\Temp\b.exe
    O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: phase6_18_erinnerung.lnk = C:\Programme\phase6\phase6_18\WinStart\WinStart.exe
    O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207681315609
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1221293264828
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe
    O23 - Service: Google Update Service (gupdate1c987035edd15ae) (gupdate1c987035edd15ae) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
    
    --
    End of file - 8176 bytes
    Vielen Dank im Voraus
    Micky94

  2. Anzeige

    Trojaner und deren Entfernung

    Schau dir mal diesen Bereich an. Dort ist für jeden was dabei!
  3. #2
    bLacK_dRaSanG bLacK_dRaSanG ist offline
    Avatar von bLacK_dRaSanG

    AW: Trojaner und deren Entfernung

    Moin

    Einstellungen anpassen, damit Dateien sichtbar sind:
    Start --> Systemsteurung (klassische Ansicht) --> Ordneroption --> Reiter "Ansicht"

    prüfe ob folgende Einträge markiert oder gegebenfalls nicht markiert sind:

    markierte Einträge:

    • Inhalte von Systemordnern anzeigen
    • Alle Dateien und Ordnern anzeigen


    nicht markierte Einträge:
    • Erweiterung bei bekannten Dateitypen ausblenden
    • Geschützte Systemdateien ausblenden (empfohlen)



    Hochladen auf VirusTotal - Free Online Virus and Malware Scan
    Code:
    C:\WINDOWS\system32\csrcs.exe
    Nach ein paar Minuten erscheint dann ein vollständiges Ergebnis, das hier dann bitte reinkopieren .

    Fixen:
    Code:
    F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    O2 - BHO: XML module -  {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
    O4 - HKCU\..\Run: [MailBlocker]  C:\DOKUME~1\User\LOKALE~1\Temp\b.exe
    O4 - HKLM\..\Policies\Explorer\Run: [csrcs]  C:\WINDOWS\system32\csrcs.exe
    Man fixt, indem man Hijackthis startet und auf "Do a system scan only klickt.
    Nun sucht man den oben angegebende Eintrag und markiert, das leere weiße Kästchen mit einen Haken, neben den entsprechenden Eintrag.
    Schließlich klickt man auf "Fix checked


    Lasse folgende Programme nach Anleitung durchlaufen:
    Combofix
    Malwarebytes

    Poste danach das Ergebnis von VirusTotal und die Logs von Combofix und Malwarebytes, sowie ein erneutes Hijackthis-Logfile

    mfg
    bLacK_dRaSanG

  4. #3
    Micky94 Micky94 ist offline

    AW: Trojaner und deren Entfernung

    Was für eine Geburt^^ Die Scans sind wirklich Zeitraubend gewesen.
    Folgendermaßen bin ich vorgegangen:
    1: Mit Hijackthis gefixt
    2: Datei nach Virustotal geschickt
    2: Combofix
    3: Malwarebytes
    4: Hijackthis Scan

    Hier die Files:

    1)
    Combofix:
    Code:
    ComboFix 09-11-14.03 - User 14.11.2009 16:01..2 - FAT32x86
    Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2047.1417 [GMT 1:00]
    ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
     * Neuer Wiederherstellungspunkt wurde erstellt
    
    Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
    .
    
    ((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    
    c:\programme\INSTALL.LOG
    c:\windows\msa.exe
    c:\windows\system32\AutoRun.inf
    c:\windows\system32\csrcs.exe
    
    .
    (((((((((((((((((((((((   Dateien erstellt von 2009-10-14 bis 2009-11-14  ))))))))))))))))))))))))))))))
    .
    
    2009-11-14 14:02 . 2009-11-14 14:02	--------	d-----w-	c:\programme\Trend Micro
    2009-11-14 14:01 . 2009-11-14 14:01	812344	----a-w-	c:\dokumente und einstellungen\Download\abc.exe
    2009-11-14 13:11 . 2009-11-14 13:11	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Total Eclipse
    2009-11-14 11:37 . 2009-11-14 11:37	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
    2009-11-14 09:36 . 2009-11-14 09:37	--------	d-----w-	c:\programme\The Clockwork Man
    2009-11-12 17:10 . 2009-11-12 17:10	--------	d-----w-	c:\dokumente und einstellungen\User\Saved Games
    2009-11-10 08:16 . 2009-11-10 08:16	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Island
    2009-11-09 08:23 . 2009-11-09 08:23	--------	d-----w-	c:\windows\Logs
    2009-11-07 14:57 . 2009-11-07 14:57	--------	d-----w-	c:\programme\Stellarium
    2009-11-06 12:55 . 2009-11-06 12:56	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\HideAndSecret3
    2009-11-04 13:39 . 2009-11-04 13:39	152576	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
    2009-11-04 08:52 . 2009-11-04 08:52	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Azuaz Games
    2009-11-03 13:09 . 2009-11-03 13:10	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\SprillRichiGerman
    2009-10-31 16:59 . 2009-10-31 16:59	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Batovi
    2009-10-31 08:24 . 2009-10-31 08:24	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\PoBros
    2009-10-31 08:24 . 2009-10-31 08:24	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PoBros
    2009-10-29 17:57 . 2009-10-29 17:57	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\IronCode
    2009-10-26 07:21 . 2009-10-26 07:25	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Burdaloo
    2009-10-17 16:30 . 2009-10-17 16:30	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\she_is_a_shadow
    2009-10-16 07:46 . 2009-10-16 07:46	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\SulusGames
    2009-10-16 07:46 . 2009-10-16 07:46	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SulusGames
    
    .
    ((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-11-14 14:00 . 2009-07-09 13:20	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Skype
    2009-11-14 13:18 . 2008-04-18 15:16	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
    2009-11-14 13:10 . 2008-07-08 11:37	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\BigFishGamesCache
    2009-11-13 18:44 . 2008-10-25 13:34	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\gtk-2.0
    2009-11-13 15:41 . 2008-06-16 12:22	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
    2009-11-13 10:56 . 2009-08-16 14:24	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\ERS G-Studio
    2009-11-12 19:09 . 2009-02-21 18:51	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\FileZilla
    2009-11-12 19:09 . 2009-06-26 13:01	--------	d-----w-	c:\programme\FileZilla FTP Client
    2009-11-12 13:57 . 2008-04-18 13:45	5	----a-w-	c:\programme\Gemeinsame Dateien\updkor.sys
    2009-11-09 14:27 . 2009-07-22 18:47	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\vlc
    2009-11-07 17:58 . 2008-12-18 18:09	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Artogon
    2009-11-04 13:40 . 2008-04-15 13:57	--------	d-----w-	c:\programme\Java
    2009-11-01 19:56 . 2009-07-09 13:19	--------	d-----r-	c:\programme\Skype
    2009-11-01 17:31 . 2008-08-21 07:35	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\PlayFirst
    2009-11-01 17:31 . 2008-08-21 07:35	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PlayFirst
    2009-10-31 08:36 . 2008-04-27 18:22	409600	----a-w-	c:\windows\system32\wrap_oal.dll
    2009-10-31 08:36 . 2008-04-27 18:22	114688	----a-w-	c:\windows\system32\OpenAL32.dll
    2009-10-30 17:01 . 2008-08-23 11:47	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Big Fish Games
    2009-10-27 12:50 . 2009-08-26 11:04	--------	d-----w-	c:\programme\Purplehills
    2009-10-25 07:51 . 2006-02-28 12:00	84326	----a-w-	c:\windows\system32\perfc007.dat
    2009-10-25 07:51 . 2006-02-28 12:00	458822	----a-w-	c:\windows\system32\perfh007.dat
    2009-10-16 18:19 . 2008-04-09 12:56	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
    2009-10-14 11:33 . 2009-10-14 11:33	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Magic Academy 2
    2009-10-11 17:58 . 2008-07-07 14:08	--------	d-----w-	c:\programme\No23 Recorder
    2009-10-11 03:17 . 2008-11-24 18:42	411368	----a-w-	c:\windows\system32\deploytk.dll
    2009-10-09 07:17 . 2009-10-09 07:17	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Merscom
    2009-10-09 07:17 . 2009-10-09 07:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Merscom
    2009-10-06 07:25 . 2009-10-06 07:24	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Becky Brogan
    2009-10-05 18:07 . 2008-04-11 12:19	--------	d-----w-	c:\programme\Canon
    2009-10-03 16:58 . 2009-10-03 16:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Princess Isabella
    2009-10-03 08:40 . 2009-10-03 08:39	--------	d-----w-	c:\programme\DEUTSCHLAND SPIELT
    2009-10-03 08:35 . 2009-10-03 08:35	--------	d-----w-	c:\programme\OXXOGames
    2009-09-30 07:57 . 2009-01-08 10:01	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Alawar Stargaze
    2009-09-28 11:39 . 2009-09-28 11:38	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Hidden Island Data
    2009-09-28 07:57 . 2008-07-08 11:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Awem
    2009-09-28 07:53 . 2008-07-08 11:38	--------	d-----w-	c:\programme\bfgclient
    2009-09-25 07:57 . 2009-09-25 07:57	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\V-Games
    2009-09-23 17:07 . 2008-04-10 12:34	--------	d-----w-	c:\programme\Google
    2009-09-21 08:46 . 2009-09-21 07:04	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Babylonia
    2009-09-18 07:29 . 2009-09-18 07:29	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Aisle 5 Games, Inc
    2009-09-11 14:17 . 2006-02-28 12:00	136192	----a-w-	c:\windows\system32\msv1_0.dll
    2009-09-10 17:34 . 2009-09-10 17:34	152576	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\jre1.6.0_16\lzma.dll
    2009-09-10 17:28 . 2009-09-10 17:28	1925024	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe
    2009-09-04 21:03 . 2006-02-28 12:00	58880	----a-w-	c:\windows\system32\msasn1.dll
    2009-08-29 07:54 . 2006-02-28 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
    2009-08-26 08:00 . 2006-02-28 12:00	247326	----a-w-	c:\windows\system32\strmdll.dll
    2008-07-07 12:09 . 2008-07-07 12:09	0	----a-w-	c:\programme\temp01
    2004-03-11 11:27 . 2008-04-11 12:59	40960	----a-w-	c:\programme\Uninstall_CDS.exe
    .
    
    ((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
    REGEDIT4
    
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
    "ClipIncSrvTray"="c:\programme\Tobit ClipInc\Player\ClipIncTray.exe" [2009-03-16 668424]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-12 8466432]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-07-12 81920]
    "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
    "PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]
    "IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]
    "PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
    "BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2008-02-19 1089536]
    "ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
    "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
    "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
    "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
    "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-07-12 1626112]
    "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-05-10 16342528]
    
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
    
    c:\dokumente und einstellungen\User\Startmen\Programme\Autostart\
    Microsoft-Indexerstellung.lnk - c:\programme\Microsoft Office\Office\FINDFAST.EXE [1996-12-13 111376]
    Office-Start.lnk - c:\programme\Microsoft Office\Office\OSA.EXE [1996-12-13 51984]
    
    c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
    Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
    phase6_18_erinnerung.lnk - c:\programme\phase6\phase6_18\WinStart\WinStart.exe [2006-5-5 49152]
    
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)
    
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Programme\\Tobit ClipInc\\Server\\ClipInc-Server.exe"=
    "c:\\Programme\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Programme\\S.A.D\\RadioJack 2008\\RadioJack2008.exe"=
    "c:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
    "c:\\Programme\\Mozilla Firefox\\firefox.exe"=
    "c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
    "c:\\Programme\\Java\\jre6\\bin\\java.exe"=
    "c:\\Programme\\ICQ6.5\\ICQ.exe"=
    "c:\\Programme\\Skype\\Phone\\Skype.exe"=
    
    R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.05.2009 14:44 108289]
    R2 ClipInc001;ClipInc 001;c:\programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 --> c:\programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 [?]
    S2 gupdate1c987035edd15ae;Google Update Service (gupdate1c987035edd15ae);c:\programme\Google\Update\GoogleUpdate.exe [04.02.2009 21:01 133104]
    S3 ElgTaDrv;XI420 USB System Driver;c:\windows\system32\drivers\ElgTaDrv.sys [24.09.2008 15:17 75525]
    S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;e:\common\Database\bin\fbserver.exe [18.01.2009 16:24 1527900]
    S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [18.01.2009 16:25 544768]
    
    --- Andere Dienste/Treiber im Speicher ---
    
    *NewlyCreated* - MBR
    *NewlyCreated* - PROCEXP113
    *Deregistered* - mbr
    *Deregistered* - PROCEXP113
    .
    Inhalt des "geplante Tasks" Ordners
    
    2009-11-14 c:\windows\Tasks\Google Software Updater.job
    - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-04-10 19:19]
    
    2009-11-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 20:01]
    
    2009-11-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 20:01]
    .
    .
    ------- Zusätzlicher Suchlauf -------
    .
    uStart Page = hxxp://www.t-online.de/
    mWindow Title = Microsoft Internet Explorer
    IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\jm1cwpld.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
    FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de
    FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
    FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
    FF - plugin: c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Yahoo!\BrowserPlus\2.4.17\Plugins\npybrowserplus_2.4.17.dll
    FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
    FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
    FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
    FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    
    ---- FIREFOX Richtlinien ----
    FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
    .
    - - - - Entfernte verwaiste Registrierungseinträge - - - -
    
    HKLM-Run-HDD Observer - c:\programme\HDD Observer\HDD Observer.exe
    
    
    
    **************************************************************************
    
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-11-14 16:05
    Windows 5.1.2600 Service Pack 3 NTFS
    
    Scanne versteckte Prozesse... 
    
    Scanne versteckte Autostarteinträge... 
    
    Scanne versteckte Dateien... 
    
    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0
    
    **************************************************************************
    .
    --------------------- Gesperrte Registrierungsschluessel ---------------------
    
    [HKEY_USERS\S-1-5-21-484763869-1454471165-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
    "??"=hex:23,d7,4d,a3,43,a2,cb,b9,e6,ce,8f,14,27,9a,8d,46,e8,35,70,ff,74,47,70,
       51,d5,dd,f2,55,26,98,88,c9,b4,13,d3,8c,04,c6,8e,06,0d,38,ec,e6,10,33,03,f2,\
    "??"=hex:63,9a,d4,37,c5,28,48,bf,c8,93,f0,4e,c6,d7,a4,ed
    .
    Zeit der Fertigstellung: 2009-11-14 16:07
    ComboFix-quarantined-files.txt  2009-11-14 15:07
    
    Vor Suchlauf: 9 Verzeichnis(se), 64.249.524.224 Bytes frei
    Nach Suchlauf: 11 Verzeichnis(se), 64.656.293.888 Bytes frei
    
    - - End Of File - - C62CB1ABF1491B484E65934493BA7E62
    Virus Total:
    Code:
    Datei csrcs.exe empfangen 2009.11.14 14:48:50 (UTC)
    Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
    Ergebnis: 8/41 (19.52%)
    Laden der Serverinformationen...
    Ihre Datei wartet momentan auf Position: 3.
    Geschätzte Startzeit ist zwischen 61 und 87 Sekunden.
    Dieses Fenster bis zum Abschluss des Scans nicht schließen.
    Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
    Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
    Ihre Datei wird momentan von VirusTotal überprüft,
    Ergebnisse werden sofort nach der Generierung angezeigt.
    Filter Filter
    Drucken der Ergebnisse Drucken der Ergebnisse
    Datei existiert nicht oder dessen Lebensdauer wurde überschritten
    Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
    
    SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
    Email: 	
    	
    Antivirus 	Version 	letzte aktualisierung 	Ergebnis
    a-squared	4.5.0.41	2009.11.14	-
    AhnLab-V3	5.0.0.2	2009.11.13	-
    AntiVir	7.9.1.65	2009.11.13	-
    Antiy-AVL	2.0.3.7	2009.11.13	-
    Authentium	5.2.0.5	2009.11.14	-
    Avast	4.8.1351.0	2009.11.14	AutoIt:Balero-B
    AVG	8.5.0.425	2009.11.14	-
    BitDefender	7.2	2009.11.14	-
    CAT-QuickHeal	10.00	2009.11.13	Win32.Packed.Klone.bj.4
    ClamAV	0.94.1	2009.11.14	-
    Comodo	2954	2009.11.14	-
    DrWeb	5.0.0.12182	2009.11.14	-
    eSafe	7.0.17.0	2009.11.12	-
    eTrust-Vet	35.1.7121	2009.11.14	-
    F-Prot	4.5.1.85	2009.11.13	-
    F-Secure	9.0.15370.0	2009.11.11	-
    Fortinet	3.120.0.0	2009.11.14	-
    GData	19	2009.11.14	-
    Ikarus	T3.1.1.74.0	2009.11.14	-
    Jiangmin	11.0.800	2009.11.12	-
    K7AntiVirus	7.10.896	2009.11.13	-
    Kaspersky	7.0.0.125	2009.11.14	-
    McAfee	5801	2009.11.13	W32/Renocide.gen
    McAfee+Artemis	5801	2009.11.13	W32/Renocide.gen
    McAfee-GW-Edition	6.8.5	2009.11.14	Heuristic.BehavesLike.Win32.Spyware.J
    Microsoft	1.5202	2009.11.14	-
    NOD32	4607	2009.11.14	-
    Norman	6.03.02	2009.11.14	-
    nProtect	2009.1.8.0	2009.11.14	-
    Panda	10.0.2.2	2009.11.14	-
    PCTools	7.0.3.5	2009.11.13	-
    Prevx	3.0	2009.11.14	Medium Risk Malware
    Rising	22.21.05.04	2009.11.14	-
    Sophos	4.47.0	2009.11.14	-
    Sunbelt	3.2.1858.2	2009.11.12	-
    Symantec	1.4.4.12	2009.11.14	-
    TheHacker	6.5.0.2.070	2009.11.14	Trojan/Autorun.gen
    TrendMicro	9.0.0.1003	2009.11.14	-
    VBA32	3.12.10.11	2009.11.13	suspected of Trojan.Autoit.ITN
    ViRobot	2009.11.14.2037	2009.11.14	-
    VirusBuster	4.6.5.0	2009.11.13	-
    weitere Informationen
    File size: 695717 bytes
    MD5...: d22e97ab00a26ab56c6296830dd44034
    SHA1..: fb318b804e2886f1153c385778037c0f2f90e4c6
    SHA256: cf030b7cf78dc7b9359895d300573067f660c7df5216fa2bab9cda68ef3a81aa
    ssdeep: 12288:C6SKqT31T6WpJY6V765jKqostkm3ObxajMwIts:PxqT31T6WE6I5jKqosO
    m+bxmNcs
    PEiD..: -
    PEInfo: PE Structure information
    
    ( base data )
    entrypointaddress.: 0x54d3d
    timedatestamp.....: 0x4850e379 (Thu Jun 12 08:51:05 2008)
    machinetype.......: 0x14c (I386)
    
    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x65f57 0x66000 6.69 3acda4623a0e3d29e47286c5ce656b86
    .rdata 0x67000 0xe534 0xe600 5.02 f5ea2b2f886fbb9eaf7f19883bd5f07b
    .data 0x76000 0x16ad8 0x2a00 3.89 85ce1e4957f76b29bd9a747a6ce443cc
    .rsrc 0x8d000 0x21368 0x21400 4.68 2074ae8940d5bf255ef64c3f1e25d6fb
    
    ( 13 imports )
    > WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
    > VERSION.dll: GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueW
    > WINMM.dll: waveOutSetVolume, mciSendStringW, timeGetTime
    > COMCTL32.dll: ImageList_DragMove, ImageList_EndDrag, ImageList_DragLeave, ImageList_DragEnter, ImageList_BeginDrag, ImageList_SetDragCursorImage, ImageList_Destroy, ImageList_ReplaceIcon, ImageList_Create, InitCommonControlsEx, ImageList_Remove
    > MPR.dll: WNetUseConnectionW, WNetGetConnectionW, WNetAddConnection2W, WNetCancelConnection2W
    > KERNEL32.dll: UnmapViewOfFile, OpenProcess, CreateFileMappingW, MapViewOfFile, WriteProcessMemory, ReadProcessMemory, CreateFileW, ReadFile, SetFilePointer, SetFileTime, FindResourceW, LoadResource, GetFileAttributesW, LockResource, FindFirstFileW, SizeofResource, FindClose, EnumResourceNamesW, DeleteFileW, FindNextFileW, lstrcmpiW, MoveFileW, OutputDebugStringW, CopyFileW, CreateDirectoryW, RemoveDirectoryW, TerminateProcess, SetSystemPowerState, GetLocalTime, MultiByteToWideChar, WideCharToMultiByte, CompareStringW, InterlockedIncrement, InterlockedDecrement, WriteFile, CreatePipe, GetStdHandle, InterlockedExchange, EnterCriticalSection, TerminateThread, LeaveCriticalSection, DeleteCriticalSection, GetTempPathW, GetTempFileNameW, VirtualFree, FormatMessageW, GetExitCodeProcess, GetDriveTypeW, QueryPerformanceFrequency, GetVolumeInformationW, SetVolumeLabelW, DeviceIoControl, SetErrorMode, GetPrivateProfileStringW, WritePrivateProfileStringW, GetPrivateProfileSectionW, SetFileAttributesW, WritePrivateProfileSectionW, GetShortPathNameW, GetPrivateProfileSectionNamesW, FileTimeToLocalFileTime, FileTimeToSystemTime, SystemTimeToFileTime, LocalFileTimeToFileTime, GetEnvironmentVariableW, GetFileSize, SetEnvironmentVariableW, GlobalFree, GlobalLock, GlobalUnlock, GlobalAlloc, SetProcessWorkingSetSize, GlobalMemoryStatus, Beep, GetComputerNameW, GetWindowsDirectoryW, GetSystemDirectoryW, GetCurrentProcessId, GetCurrentThread, CreateProcessW, SetPriorityClass, VirtualAlloc, LoadLibraryExW, GetModuleHandleA, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, UnhandledExceptionFilter, SetUnhandledExceptionFilter, RaiseException, GetModuleFileNameA, HeapSize, HeapReAlloc, HeapDestroy, HeapCreate, RtlUnwind, QueryPerformanceCounter, GetModuleHandleW, GetSystemInfo, GetVersionExW, GetCurrentThreadId, Sleep, WaitForSingleObject, CreateThread, DuplicateHandle, GetLastError, HeapAlloc, GetProcessHeap, HeapFree, CloseHandle, GetCurrentProcess, LoadLibraryA, GetModuleFileNameW, GetFullPathNameW, SetCurrentDirectoryW, GetConsoleCP, GetConsoleMode, SetHandleCount, GetCurrentDirectoryW, FreeLibrary, InitializeCriticalSection, GetProcAddress, LoadLibraryW, GetStartupInfoW, GetVersionExA, ExitProcess, ExitThread, GetSystemTimeAsFileTime, GetFileType, GetStartupInfoA, SetStdHandle, ResumeThread, FlushFileBuffers, LCMapStringA, LCMapStringW, GetTimeZoneInformation, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, GetCommandLineW, GetTickCount, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, SetEndOfFile, CompareStringA, GetDiskFreeSpaceW, SetEnvironmentVariableA
    > USER32.dll: SetWindowLongW, FlashWindow, GetActiveWindow, InflateRect, CharNextW, DrawFocusRect, wsprintfW, DrawTextW, RedrawWindow, FrameRect, DrawFrameControl, FillRect, DrawMenuBar, PtInRect, DestroyMenu, SetMenu, DestroyAcceleratorTable, CreateAcceleratorTableW, GetWindowTextLengthW, SetCursor, GetWindowDC, TranslateAcceleratorW, GetSystemMetrics, IsDialogMessageW, CreateMenu, IsDlgButtonChecked, GetSysColor, DefDlgProcW, ReleaseCapture, SetCapture, SetActiveWindow, FindWindowExW, EnumThreadWindows, LoadImageW, CreateIconFromResourceEx, mouse_event, SetMenuDefaultItem, InsertMenuItemW, IsMenu, TrackPopupMenuEx, GetCursorPos, DeleteMenu, CheckMenuRadioItem, GetMenuItemID, GetMenuItemCount, IsZoomed, GetMenuItemInfoW, SetForegroundWindow, IsIconic, FindWindowW, SystemParametersInfoW, GetAsyncKeyState, SetKeyboardState, GetKeyboardState, GetKeyState, DispatchMessageW, GetDC, GetKeyboardLayoutNameA, LoadStringW, DialogBoxParamW, MessageBeep, EndDialog, SendDlgItemMessageW, GetDlgItem, SetWindowTextW, DestroyWindow, GetMenu, GetClientRect, CopyRect, EndPaint, BeginPaint, EnumWindows, GetDesktopWindow, IsWindow, IsWindowEnabled, IsWindowVisible, EnableWindow, InvalidateRect, GetWindowLongW, GetWindowThreadProcessId, AttachThreadInput, SendMessageTimeoutW, GetFocus, GetWindowTextW, ScreenToClient, EnumChildWindows, CharUpperBuffW, GetClassNameW, GetParent, GetDlgCtrlID, SendMessageW, MapVirtualKeyW, GetCaretPos, GetSubMenu, GetMenuStringW, IsCharUpperW, IsCharLowerW, IsCharAlphaNumericW, IsCharAlphaW, GetKeyboardLayoutNameW, ClientToScreen, RegisterHotKey, ReleaseDC, SetMenuItemInfoW, GetCursor, PostMessageW, GetWindowRect, MessageBoxW, GetForegroundWindow, DefWindowProcW, MoveWindow, SetFocus, PostQuitMessage, KillTimer, CreatePopupMenu, MessageBoxA, RegisterWindowMessageW, DestroyIcon, SetTimer, ShowWindow, CreateWindowExW, RegisterClassExW, LoadIconW, LoadCursorW, GetSysColorBrush, TranslateMessage, PeekMessageW, WindowFromPoint, SetClipboardData, EmptyClipboard, CountClipboardFormats, SetWindowPos, CopyImage, CloseClipboard, GetClipboardData, IsClipboardFormatAvailable, OpenClipboard, AdjustWindowRectEx, SetRect, CharLowerBuffW, GetMessageW, VkKeyScanA, LockWindowUpdate, UnregisterHotKey, keybd_event, ExitWindowsEx, CharUpperW
    > GDI32.dll: LineTo, AngleArc, MoveToEx, Ellipse, PolyDraw, BeginPath, SetTextColor, GetObjectW, SetBkMode, RoundRect, SetBkColor, CloseFigure, SetPixel, EndPath, StrokePath, StrokeAndFillPath, ExtCreatePen, PolyBezierTo, SetViewportOrgEx, Rectangle, CreatePen, CreateSolidBrush, CreateCompatibleBitmap, GetPixel, DeleteDC, GetDIBits, BitBlt, SelectObject, CreateDIBSection, CreateCompatibleDC, CreateFontW, GetDeviceCaps, GetTextFaceW, GetStockObject, CreateDCW, GetTextExtentPoint32W, DeleteObject
    > comdlg32.dll: GetSaveFileNameW, GetOpenFileNameW
    > ADVAPI32.dll: RegEnumValueW, RegDeleteValueW, RegDeleteKeyW, RegSetValueExW, RegCreateKeyExW, GetUserNameW, RegConnectRegistryW, RegEnumKeyExW, AdjustTokenPrivileges, LookupPrivilegeValueW, OpenProcessToken, CloseServiceHandle, UnlockServiceDatabase, LockServiceDatabase, OpenSCManagerW, RegCloseKey, RegQueryValueExW, RegOpenKeyExW
    > SHELL32.dll: DragQueryPoint, ShellExecuteExW, DragQueryFileW, SHBrowseForFolderW, SHFileOperationW, SHGetPathFromIDListW, SHGetDesktopFolder, SHGetMalloc, ExtractIconExW, Shell_NotifyIconW, ShellExecuteW, DragFinish
    > ole32.dll: OleSetMenuDescriptor, MkParseDisplayName, OleSetContainedObject, CoInitialize, CoUninitialize, CoCreateInstance, CreateStreamOnHGlobal, CoTaskMemAlloc, CoTaskMemFree, IIDFromString, StringFromIID, CLSIDFromString, OleInitialize, CreateBindCtx, CLSIDFromProgID, CoInitializeSecurity, CoCreateInstanceEx, CoSetProxyBlanket, StringFromCLSID, OleUninitialize
    > OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
    
    ( 0 exports )
    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    trid..: Windows Screen Saver (51.1%)
    Win32 Executable Generic (33.2%)
    Generic Win/DOS Executable (7.8%)
    DOS Executable Generic (7.8%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    sigcheck:
    publisher....: n/a
    copyright....: d4g
    product......: n/a
    description..: glp
    original name: n/a
    internal name: n/a
    file version.: 559.892.470.982
    comments.....: TREG
    signers......: -
    signing date.: -
    verified.....: Unsigned
    <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=BCA6C454A521B3E09D620A61DAB4F700A3741650' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=BCA6C454A521B3E09D620A61DAB4F700A3741650</a>
    Malwarebytes:
    Code:
    Malwarebytes' Anti-Malware 1.41
    Datenbank Version: 3169
    Windows 5.1.2600 Service Pack 3
    
    14.11.2009 16:46:57
    mbam-log-2009-11-14 (16-46-51).txt
    
    Scan-Methode: Vollständiger Scan (C:\|E:\|)
    Durchsuchte Objekte: 190210
    Laufzeit: 37 minute(s), 0 second(s)
    
    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 1
    
    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateien:
    C:\System Volume Information\_restore{B8F34D2A-0F39-46ED-B507-383A41520F2A}\RP139\A0067996.sys (Rootkit.Agent) -> No action taken.
    und zu guter letzt die Hijackthis file:
    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:50:00, on 14.11.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe
    C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    C:\Programme\Microsoft Office\Office\OSA.EXE
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wscntfy.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
    O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
    O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
    O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
    O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
    O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: phase6_18_erinnerung.lnk = C:\Programme\phase6\phase6_18\WinStart\WinStart.exe
    O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207681315609
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1221293264828
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe
    O23 - Service: Google Update Service (gupdate1c987035edd15ae) (gupdate1c987035edd15ae) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
    
    --
    End of file - 7400 bytes
    Es ist keine Fehlermeldung aufgetaucht (außer bei Combofix, wegen der Windows-Wiederherstellungskonsole. hab ich einfach ignoriert, bevor mir da wieder was installiert wird) und aktuell sind im Taskmanager keine der im ersten Post genannten Prozesse mehr zu finden.

    Letzte Fragen:
    Ist mein Rechner wieder clean?
    und
    Warum ist der Prozess csrcs.exe von dir in Verdacht genommen worden und später auch von einem Programm gelöscht worden? Der Prozess läuft auch auf meinem Laptop und ich hab immer gedacht, die Datei ist unschädlich.
    Micky94

  5. #4
    bLacK_dRaSanG bLacK_dRaSanG ist offline
    Avatar von bLacK_dRaSanG

    AW: Trojaner und deren Entfernung

    Zitat Micky94 Beitrag anzeigen
    Was für eine Geburt^^ Die Scans sind wirklich Zeitraubend gewesen.
    Folgendermaßen bin ich vorgegangen:
    1: Mit Hijackthis gefixt
    2: Datei nach Virustotal geschickt
    2: Combofix
    3: Malwarebytes
    4: Hijackthis Scan

    Es ist keine Fehlermeldung aufgetaucht (außer bei Combofix, wegen der Windows-Wiederherstellungskonsole. hab ich einfach ignoriert, bevor mir da wieder was installiert wird) und aktuell sind im Taskmanager keine der im ersten Post genannten Prozesse mehr zu finden.

    Letzte Fragen:
    Ist mein Rechner wieder clean?
    und
    Warum ist der Prozess csrcs.exe von dir in Verdacht genommen worden und später auch von einem Programm gelöscht worden? Der Prozess läuft auch auf meinem Laptop und ich hab immer gedacht, die Datei ist unschädlich.
    Micky94
    Die b.exe wurde nicht gelöscht....
    Gehe in den Ordner
    Code:
    C:\Dokumente und Einstellungen\User\LOKALE Einstellungen\Temp
    " und lösche die b.exe und auch andere .exe Dateien, die einen Buchstaben haben .
    Anschließend lasse dein System mit CCleaner reinigen.
    CCleaner

    Ob es nun sauber ist, wird sich nach einem Neustart zeigen:
    Wurde der Hijackthis-Scan nach einem Neustart erstellt? Falls nicht mache es mal und poste es wieder. Und achte darauf, ob sich wieder einige Dateien finden lassen.

    Die "csrcs.exe" benutzt eine leicht falsche Schreibweise um sich als angeblicher Systemprozess zu tarnen, das ist eine gängige Methode. Auf deinen Laptop sollte die "csrss.exe" laufen, falls es auch statt einen s ein c hat, dürfte dort auch eine Infektion vorliegen .

    mfg
    bLacK_dRaSanG

  6. #5
    Micky94 Micky94 ist offline

    AW: Trojaner und deren Entfernung

    Die b.exe lies sich in dem angegebenen Ordner nicht finden und auch die Suche dort ergab nichts.

    Hab gerade noch mal neu gestartet, hier die File:
    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:23:41, on 14.11.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    C:\Programme\Microsoft Office\Office\OSA.EXE
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
    O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
    O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
    O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
    O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
    O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: phase6_18_erinnerung.lnk = C:\Programme\phase6\phase6_18\WinStart\WinStart.exe
    O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207681315609
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1221293264828
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe
    O23 - Service: Google Update Service (gupdate1c987035edd15ae) (gupdate1c987035edd15ae) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
    
    --
    End of file - 7420 bytes
    Mist, der Laptop ist auch infiziert^^ Ich geh da später auch mal drüber. Der Hauptrechner ist jetzt wichtiger.

    Also, was sagt die LogFile? PC clean?
    Micky94

  7. #6
    bLacK_dRaSanG bLacK_dRaSanG ist offline
    Avatar von bLacK_dRaSanG

    AW: Trojaner und deren Entfernung

    Zitat Micky94 Beitrag anzeigen
    Also, was sagt die LogFile? PC clean?
    Micky94
    Joa, das würde ich jetzt glatt so unterschreiben .

    Dann mal auf zum Laptop .

    mfg
    bLacK_dRaSanG

  8. #7
    Micky94 Micky94 ist offline

    AW: Trojaner und deren Entfernung

    Klasse, vielen Dank für deine Hilfe Ohne dich würde ich nun dumm dastehen^^

    Nur was hatte das mit der b.exe auf sich? Sie wurde nicht gelöscht, ist aber nicht vorzufinden? Fürs nächste mal wäre es interesant zu wissen warum.
    Micky94

  9. #8
    bLacK_dRaSanG bLacK_dRaSanG ist offline
    Avatar von bLacK_dRaSanG

    AW: Trojaner und deren Entfernung

    Zitat Micky94 Beitrag anzeigen
    Klasse, vielen Dank für deine Hilfe Ohne dich würde ich nun dumm dastehen^^

    Nur was hatte das mit der b.exe auf sich? Sie wurde nicht gelöscht, ist aber nicht vorzufinden? Fürs nächste mal wäre es interesant zu wissen warum.
    Micky94
    Das weiß ich jetzt auch nicht so genau .

    Vielleicht wurde sie ja von deinem Antivirenprogramm gelöscht ^^.

    mfg
    bLacK_dRaSanG

Ähnliche Themen


  1. Weihnachten, die PS3 und deren Preis: Hallo, stimmt es das die PS3 gen Weihnachten vom Preis her runtergesetzt werden soll, bzw das Spezialpakete ect. rauskommen werden? Wenn ja, dann...

  2. Entfernung / Abstand zum Fernseher: Hi. Ich weiß, es gibt schon 20000 Threads hier zum Thema: "Welcher TV ist am besten für mich geeignet". Trotzdem mach ich jetzt mal nen neuen Thread...

  3. Sind Emulatoren und deren Spiele legal?: Hey Leute! :D Würde gerne aufm Nintendo 64 Banjo Kazooie spielen aber hab kb mein Spiel rauszukramen und die Konsole anzuschliessen. Meine Frage...

  4. Entfernung zur Sensorbar?: Suche habe ich benutzt, aber nix gefunden. Falls es sowas schon gibt, schreibt es einfach und schreibt den Link rein. Mein Signal von der...