Trojaner: TR/Dldr.Fraudload.xitk & Co.

Hab Probleme mit dem Laptop. Hab den System scannen lassen.Hier das rsit-Ergebnis: Kann mir jemand sagen ob noch der Laptop verseucht ist? durch Antivir sind die gefunden Funde in Quarantäne.



cLogfile of random's system information tool 1.08 (written by random/random)
Run by XXXXX at 2010-09-29 19:18:03
Microsoft® Windows Vista™ Home Premium Service Pack 2
System drive C: has 79 GB (55&#37 free of 144 GB
Total RAM: 2037 MB (45% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:19:58, on 29.09.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Users\XXXXX\Downloads\RSIT.exe
C:\Program Files\trend micro\XXXXX.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=73&bd=Pavilion&pf=laptop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=73&bd=Pavilion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=73&bd=Pavilion&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 7764 bytes

======Scheduled tasks folder======

C:\Windows\tasks\User_Feed_Synchronization-{7EBB527E-FE5D-4C66-A8DF-F8A1D6F67D15}.job
C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
Search Helper - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll [2009-05-19 137600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{74322BF9-DF26-493f-B0DA-6D2FC5E6429E}]
UrlHelper Class - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll [2008-09-02 398776]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2009-09-13 256112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll [2009-11-19 764912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}]
Google Dictionary Compression sdch - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll [2009-09-13 458736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
Ask Toolbar - C:\Program Files\Ask.com\GenericAskToolbar.dll [2009-05-06 1145736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-07-25 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]
Windows Live Toolbar Helper - C:\Program Files\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - BearShare MediaBar - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll [2008-09-02 529848]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2009-09-13 256112]
{D4027C7F-154A-4066-A1AD-4243D8127440} - Ask Toolbar - C:\Program Files\Ask.com\GenericAskToolbar.dll [2009-05-06 1145736]
{21FA44EF-376D-4D53-9B0F-8A89D3229068} - &Windows Live Toolbar - C:\Program Files\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-17 266497]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-07-25 149280]
"DivXUpdate"=C:\Program Files\DivX\DivX Update\DivXUpdate.exe [2010-03-05 1135912]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"=C:\Program Files\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840]
"TomTomHOME.exe"=C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe [2010-05-07 247144]
"swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2009-01-26 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\Windows\system32\igfxdev.dll [2007-05-31 200704]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"BindDirectlyToPropertySetStorage"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2010-09-29 19:18:16 ----D---- C:\Program Files\trend micro
2010-09-29 19:18:03 ----D---- C:\rsit
2010-09-28 20:33:44 ----A---- C:\Windows\system32\tzres.dll
2010-09-27 00:42:10 ----D---- C:\ProgramData\A320
2010-09-26 22:02:25 ----A---- C:\Windows\system32\drivers\wvtjztm.sys
2010-09-26 22:01:54 ----A---- C:\Users\XXXXX/AppData\Roaming\hgksfg.bat
2010-09-16 10:22:35 ----A---- C:\Windows\system32\usp10.dll
2010-09-16 10:22:28 ----A---- C:\Windows\system32\spoolsv.exe
2010-09-16 10:22:24 ----A---- C:\Windows\system32\MP4SDECD.DLL
2010-09-16 10:21:52 ----A---- C:\Windows\system32\inetcomm.dll

======List of files/folders modified in the last 1 months======

2010-09-29 19:18:16 ----RD---- C:\Program Files
2010-09-29 19:17:54 ----D---- C:\Windows\Temp
2010-09-29 19:15:53 ----D---- C:\Windows\rescache
2010-09-29 18:56:45 ----D---- C:\Windows\system32\Tasks
2010-09-29 18:56:43 ----D---- C:\Windows\Tasks
2010-09-29 03:01:50 ----D---- C:\Windows\winsxs
2010-09-29 03:01:50 ----D---- C:\Windows\system32\de-DE
2010-09-29 03:01:50 ----D---- C:\Windows\System32
2010-09-29 03:01:01 ----D---- C:\Program Files\Internet Explorer
2010-09-29 03:00:33 ----SHD---- C:\System Volume Information
2010-09-28 20:32:19 ----D---- C:\Windows\system32\catroot
2010-09-28 20:32:04 ----D---- C:\Windows\system32\catroot2
2010-09-28 18:58:08 ----D---- C:\Windows
2010-09-28 18:13:16 ----D---- C:\Windows\system32\drivers
2010-09-28 18:13:16 ----D---- C:\ProgramData\Norton
2010-09-28 18:13:16 ----D---- C:\Program Files\Norton Security Scan
2010-09-27 22:20:17 ----D---- C:\Windows\system32\wbem
2010-09-27 22:19:35 ----SHD---- C:\Windows\Installer
2010-09-27 22:19:35 ----D---- C:\Windows\system32\spool
2010-09-27 22:19:35 ----D---- C:\Windows\system32\Msdtc
2010-09-27 22:19:35 ----D---- C:\Windows\inf
2010-09-27 22:19:34 ----D---- C:\Program Files\Google
2010-09-27 22:19:31 ----D---- C:\Windows\registration
2010-09-27 21:44:12 ----D---- C:\Windows\Logs
2010-09-27 20:16:09 ----D---- C:\ProgramData\Google
2010-09-27 19:32:20 ----D---- C:\Windows\system32\WDI
2010-09-27 00:42:10 ----HD---- C:\ProgramData
2010-09-26 21:45:54 ----D---- C:\Windows\Prefetch
2010-09-21 18:54:05 ----D---- C:\Program Files\Mozilla Firefox
2010-09-17 01:56:00 ----D---- C:\ProgramData\Microsoft Help
2010-09-17 01:54:04 ----A---- C:\Windows\system32\mrt.exe
2010-09-17 01:53:57 ----D---- C:\Program Files\Windows Mail

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 iaStor;Intel AHCI Controller; C:\Windows\system32\DRIVERS\iaStor.sys [2007-03-22 304920]
R0 PxHelp20;PxHelp20; C:\Windows\System32\Drivers\PxHelp20.sys [2007-02-02 43528]
R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys [2009-05-28 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-05-28 75096]
R1 eabfiltr;eabfiltr; C:\Windows\system32\DRIVERS\eabfiltr.sys [2006-11-30 8192]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2008-04-26 21248]
R2 mdmxsdk;mdmxsdk; C:\Windows\system32\DRIVERS\mdmxsdk.sys [2006-06-19 12672]
R2 XAudio;XAudio; C:\Windows\system32\DRIVERS\xaudio.sys [2007-01-30 8704]
R3 ApfiltrService;Alps Pointing-device Filter Driver; C:\Windows\system32\DRIVERS\Apfiltr.sys [2006-11-17 143872]
R3 avgntflt;avgntflt; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [2009-05-28 52056]
R3 BCM43XX;Treiber für Broadcom 802.11-Netzwerkadapter; C:\Windows\system32\DRIVERS\bcmwl6.sys [2007-01-03 534016]
R3 CnxtHdAudService;Conexant UAA Function Driver for High Definition Audio Service; C:\Windows\system32\drivers\CHDRT32.sys [2008-03-04 188416]
R3 HBtnKey;HBtnKey; C:\Windows\system32\DRIVERS\cpqbttn.sys [2006-06-28 9472]
R3 HSF_DPV;HSF_DPV; C:\Windows\system32\DRIVERS\HSX_DPV.sys [2007-04-26 984064]
R3 HSXHWAZL;HSXHWAZL; C:\Windows\system32\DRIVERS\HSXHWAZL.sys [2007-04-26 208384]
R3 igfx;igfx; C:\Windows\system32\DRIVERS\igdkmd32.sys [2007-05-31 1774080]
R3 RTL8023xp;Realtek 10/100 NIC Family NDIS x86 Driver; C:\Windows\system32\DRIVERS\Rtnicxp.sys [2007-04-23 50176]
R3 winachsf;winachsf; C:\Windows\system32\DRIVERS\HSX_CNXT.sys [2007-04-26 660480]
S3 BCM43XV;Broadcom Extensible 802.11-Netzwerkadaptertreiber; C:\Windows\system32\DRIVERS\bcmwl6.sys [2007-01-03 534016]
S3 Dot4;MS IEEE-1284.4-Treiber; C:\Windows\system32\DRIVERS\Dot4.sys [2008-01-19 131584]
S3 Dot4Print;Druckerklassentreiber für IEEE-1284.4; C:\Windows\system32\DRIVERS\Dot4Prt.sys [2008-01-19 16384]
S3 Dot4Scan;Scannerklassentreiber für IEEE-1284.4; C:\Windows\system32\DRIVERS\Dot4Scan.sys [2008-01-19 10752]
S3 dot4usb;MS Dot4USB Filter Dot4USB Filter; C:\Windows\system32\DRIVERS\dot4usb.sys [2008-01-19 36864]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 E100B;Intel(R) PRO-Adaptertreiber; C:\Windows\system32\DRIVERS\e100b325.sys [2006-11-02 163328]
S3 HdAudAddService;Microsoft UAA Function Driver for High Definition Audio Service; C:\Windows\system32\drivers\CHDART.sys [2007-04-30 160768]
S3 HSFHWAZL;HSFHWAZL; C:\Windows\system32\DRIVERS\VSTAZL3.SYS [2006-11-02 200704]
S3 ialm;ialm; C:\Windows\system32\DRIVERS\igdkmd32.sys [2007-05-31 1774080]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 NETw3v32;Intel(R) PRO/Wireless 3945ABG-Adaptertreiber für Windows Vista 32 Bit; C:\Windows\system32\DRIVERS\NETw3v32.sys [2006-11-02 1781760]
S3 NETw4v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32 Bit; C:\Windows\system32\DRIVERS\NETw4v32.sys [2007-05-04 2219520]
S3 RTSTOR;USB Mass Storage Device; C:\Windows\system32\drivers\RTSTOR.SYS [2007-05-12 43520]
S3 usbaudio;USB-Audiotreiber (WDM); C:\Windows\system32\drivers\usbaudio.sys [2009-04-11 73216]
S3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-19 35328]
S3 VX3000;VX-3000; C:\Windows\system32\DRIVERS\VX3000.sys [2007-04-10 1966696]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2009-10-01 40448]
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-29 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-29 151297]
R2 HP Health Check Service;HP Health Check Service; C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe [2007-03-14 62984]
R2 hpqddsvc;HP CUE DeviceDiscovery Service; C:\Windows\system32\svchost.exe [2008-01-19 21504]
R2 hpqwmiex;hpqwmiex; C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe [2006-05-03 135168]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2007-04-19 75304]
R2 MSCamSvc;MSCamSvc; C:\Program Files\Microsoft LifeCam\MSCamS32.exe [2007-05-17 271720]
R2 Net Driver HPZ12;Net Driver HPZ12; C:\Windows\System32\svchost.exe [2008-01-19 21504]
R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\Windows\System32\svchost.exe [2008-01-19 21504]
R2 SeaPort;SeaPort; C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-05-19 240512]
R2 TomTomHOMEService;TomTomHOMEService; C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe [2010-05-07 92008]
R2 XAudioService;XAudioService; C:\Windows\system32\DRIVERS\xaudio.exe [2007-01-30 386560]
R3 hpqcxs08;hpqcxs08; C:\Windows\system32\svchost.exe [2008-01-19 21504]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86; C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S3 Boonty Games;Boonty Games; C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe []
S3 Com4Qlb;Com4Qlb; C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe [2007-03-05 110592]
S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-19 21504]
S3 gusvc;Google Software Updater; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-05-09 182768]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 RoxMediaDB9;RoxMediaDB9; C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe [2007-02-12 880640]
S3 stllssvr;stllssvr; C:\Program Files\Common Files\SureThing Shared\stllssvr.exe [2007-02-17 74656]
S3 WPFFontCache_v0400;@C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100; C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]

-----------------EOF-----------------

 

Hallo

Deinstalliere die ASK Toolbar und fixe folgenden Einträge:

• R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
• O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
• O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
• O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
• O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe (file missing)

Wie man Einträge fixt: http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

Gruß
Nevok

 

@Mausi2009
Kannst du mal posten, was Antivir in Quarantäne verschoben hat?
Das wird im Ereignisprotokoll gespeichert und lässt sich über die Zwischenablage hier einfügen.

 

Hallo Deoroller,

hier die gewünschten Daten:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 29. September 2010 18:59

Es wird nach 2885665 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir Personal - FREE Antivirus
Seriennummer: 0000149996-ADJIE-0000001
Plattform: Windows Vista
Windowsversion: (Service Pack 2) [6.0.6002]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: DREAMSPEZIAL-PC

Versionsinformationen:
BUILD.DAT : 8.2.0.354 17048 Bytes 23.10.2009 13:15:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 17:12:44
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 19:36:27
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 19:36:28
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 19:36:28
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 00:48:01
ANTIVIR1.VDF : 7.10.11.137 20185456 Bytes 13.09.2010 08:32:50
ANTIVIR2.VDF : 7.10.12.51 745888 Bytes 27.09.2010 21:07:18
ANTIVIR3.VDF : 7.10.12.61 110592 Bytes 28.09.2010 21:07:16
Engineversion : 8.2.4.66
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 20:31:16
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 19.09.2010 18:00:20
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 13:18:14
AESBX.DLL : 8.1.3.1 254324 Bytes 25.04.2010 15:16:52
AERDL.DLL : 8.1.9.2 635252 Bytes 21.09.2010 21:07:31
AEPACK.DLL : 8.2.3.7 471413 Bytes 19.09.2010 18:00:19
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 09:46:21
AEHEUR.DLL : 8.1.2.27 2933110 Bytes 24.09.2010 21:06:50
AEHELP.DLL : 8.1.13.4 242038 Bytes 24.09.2010 21:06:49
AEGEN.DLL : 8.1.3.22 401780 Bytes 19.09.2010 18:00:17
AEEMU.DLL : 8.1.2.0 393588 Bytes 25.04.2010 15:16:51
AECORE.DLL : 8.1.17.0 196982 Bytes 24.09.2010 21:06:48
AEBB.DLL : 8.1.1.0 53618 Bytes 25.04.2010 15:16:50
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 19:36:27
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 19:36:27
AVREP.DLL : 8.0.0.7 159784 Bytes 04.03.2010 18:48:42
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 19:36:27
AVARKT.DLL : 1.0.0.23 307457 Bytes 26.04.2008 18:03:20
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 19:36:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 26.04.2008 18:03:22
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 19:36:28
NETNT.DLL : 8.0.0.1 7937 Bytes 26.04.2008 18:03:22
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 19:36:24
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 19:36:24

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 29. September 2010 18:59

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wvtjztm\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wvtjztm\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wvtjztm\errorcontrol
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wvtjztm\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wvtjztm\xn3gt1o5p2
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wvtjztm\rf6g1p
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wvtjztm\m2flqm3cm8
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '115043' Objekte überprüft, '7' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcupdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPHC_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmiex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'XAudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSCamS32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMERunner.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Kb2.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\Users\DREAMS~1\AppData\Local\Temp\Kb2.exe'
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'Kb2.exe' wird beendet
C:\Users\DREAMS~1\AppData\Local\Temp\Kb2.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoad.xitk
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd57324.qua' verschoben!

Es wurden '62' Prozesse mit '61' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '37' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\$RECYCLE.BIN\S-1-5-21-2108397493-1759164076-3037633261-1000\$R2HIWOP.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.CodecPa.abf
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd57348.qua' verschoben!
C:\$RECYCLE.BIN\S-1-5-21-2108397493-1759164076-3037633261-1000\$R3H6WGP.exe
[FUND] Ist das Trojanische Pferd TR/PSW.LdPinch.apxl
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd6734a.qua' verschoben!
C:\$RECYCLE.BIN\S-1-5-21-2108397493-1759164076-3037633261-1000\$R7ATWW6.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoad.xitk
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cda734e.qua' verschoben!
C:\$RECYCLE.BIN\S-1-5-21-2108397493-1759164076-3037633261-1000\$RS31RUC.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.hkm
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf67364.qua' verschoben!
C:\$RECYCLE.BIN\S-1-5-21-2108397493-1759164076-3037633261-1000\$RTWI6VE.exe
[FUND] Ist das Trojanische Pferd TR/Renow.pbw.74
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf77366.qua' verschoben!
C:\$RECYCLE.BIN\S-1-5-21-2108397493-1759164076-3037633261-1000\$RTZTYZT.exe
[FUND] Ist das Trojanische Pferd TR/Drop.TDss.iob
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f67abc7.qua' verschoben!
C:\$RECYCLE.BIN\S-1-5-21-2108397493-1759164076-3037633261-1000\$RX8H1IV.exe
[FUND] Ist das Trojanische Pferd TR/PSW.LdPinch.apxx
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cfb7369.qua' verschoben!
C:\$RECYCLE.BIN\S-1-5-21-2108397493-1759164076-3037633261-1000\$RZ0QY12.exe
[FUND] Ist das Trojanische Pferd TR/Renow.pbw.74
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cfd736c.qua' verschoben!
C:\Windows\System32\drivers\wvtjztm.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <HP_RECOVERY>


Ende des Suchlaufs: Mittwoch, 29. September 2010 20:16
Benötigte Zeit: 1:17:36 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

25794 Verzeichnisse wurden überprüft
508797 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
9 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
508785 Dateien ohne Befall
3504 Archive wurden durchsucht
2 Warnungen
9 Hinweise
115043 Objekte wurden beim Rootkitscan durchsucht
7 Versteckte Objekte wurden gefunden

 

Hast du in letzter Zeit viel auf der Platte gel&#246;scht? Die "Trojaner" wurden ausschlie&#223;lich im Papierkorb gefunden. Leere den mal. Wenn nichts drin bleibt, sind die "Trojaner" nicht aktiv. Ob sie mal aktiv waren, l&#228;sst sich anhand der von dir geposteten &#220;bersicht und dem Hijackthis-Log nicht feststellen.

Das ist eine Datei, die Avira nicht lesen kann.
C:\Windows\System32\drivers\wvtjztm.sys
[WARNUNG] Die Datei konnte nicht ge&#246;ffnet werden!
Versuche mal an die Dateieigenschaften zu kommen. (Rechtsklick auf Datei->Eigenschaften), von wem die Datei ist.

 

Hallo Nevok,
habe gemacht was Du vorgeschlagen hast.

Gruß
Mausi

 

Hallo Deoroller,

hab den Papierkorb geleert in dem ich mit dem Sweep Slicer bereinigt.
Im Papierkorb sind keine Dateien mehr.

Hab mir die Eigenschaften von C:\Windows\Systems32\wvtjztm.sys angeschaut, hier sind die Daten:

Datei: wvtjztm.sys
Dateityp: Systemdatei (.sys)
öffnen mit: unbekannte Anwendung
Ort: C:\Windows\Systems32\drivers

Unter dem Tab: Sicherheit steht folgendes in Rot:
Die angeforderten Sichertsinformationen sind nicht verfügbar oder können nicht angezeigt werden.

Tab: Details:
Eigenschaft: Wert
Typ: Systemdatei
Größe: 823 KB
Änderungsdatum: 30.09.2010 15:31

Gruß
Mausi

 

Lasse die wvtjztm.sys bei www.virustotal.com/de überprüfen.
Erstelle einen Report mit mbam.
http://virus-protect.org/artikel/tools/malwarebytes.html

 

Dann mach bitte bei Gelegenheit nochmal einen Scan mit HijackThis und poste das Log hier. Es wäre allerdings prima, wenn du das Log als Textdatei an deinen nächsten Beitrag anhängen würdest. Wie das geht, kannst du hier nachlesen:

http://www.pcwelt.de/forum/sicherhe...r-rootkits/134046-posten-hijackthis-logs.html

Solltest du Probleme beim Hochladen der Datei haben, dann beachte bitte die rot geschriebenen Abschnitte in der Anleitung.

Gruß
Nevok

 

hallo,
C:\Windows\system32\drivers\wvtjztm.sys
dürfte nen spambot sein.

sollte es mit einer "regulären" virustotal-auswertung nicht klappen:
http://virus-protect.org/artikel/tools/avenger.html
mit folgendem skript

Code:

Drivers to delete:
wvtjztm

Files to move:
C:\Windows\system32\drivers\wvtjztm.sys | c:\spam.bot

anwenden, avenger.txt posten, c:\spam.bot bei virustotal auswerten lassen und die ergebnisse posten.

ein weiterer schädlingseintrag:
2010-09-26 22:01:54 ----A---- C:\Users\XXXXX/AppData\Roaming\hgksfg.bat

 

Hallo Nevok,

hier der Report vom Scan.

Hoffe alles ist jetzt gut,weil seit gestern habe ich keine Meldung von Antivir erhalten. Hab sogar nochmal Systemüberprüfung machen lassen und war kein Fund.

Gruss
Mausi

 

Auf der angebenen Seite kann ich wvtjztm.sys nicht analysieren lassen, weil ich ihn nicht runterladen kann. da komm eine Fehlermeldung: "Ein an das System angeschlossenes Gerät funktioniert nicht"

Wenn ich es suchen lasse kommt folgende Bemerkung:

#Redbook.sys located in the #system32 / #drivers directory. Detected by TDSSKiller as a #rootkit. From the #TDSSKiller log:

2010/09/21 14:30:43.0484 redbook (43f64dbb7296ce330d300b0ff1dc0cd1) C:\WINDOWS\system32\DRIVERS\redbook.sys
2010/09/21 14:30:43.0484 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\redbook.sys. Real md5: 43f64dbb7296ce330d300b0ff1dc0cd1, Fake md5: b31b4588e4086d8d84adbf9845c2402b
2010/09/21 14:30:50.0125 Backup copy found, using it..
2010/09/21 14:30:50.0125 C:\WINDOWS\system32\DRIVERS\redbook.sys - will be cured after reboot
2010/09/21 14:30:50.0125 Rootkit.Win32.TDSS.tdl3(redbook) - User select action: Cure
2010/09/21 14:30:58.0046 Deinitialize success

Removing this file and this file alone restored the system to proper functionality, so I'm calling this malware.
Tags: Malware, Redbook, system32, drivers, rootkit, TDSSKiller, patched, lookslike

BugBopper identifies this file as Trojan.Bat.Erro More info: http://BugBopper.com/MalwareInfo/MD5/83/83d0a4ef71406fce0fcd1924f70c8600.asp

Gruss

 

Hallo,

hier der Report von mbam. im Anhang.

Gruss

 

Hi,

habe nach dem Report die Daten gelöscht,die angegeben waren hier der das Endreport.
Gruss

 

cool. dann ist ja alles in butter.

 

Danke Euch Allen, die mir geholfen haben.

Liebe Grüße

Mausi

 

ich fürchte, du hast mich missverstanden.
http://www.pcwelt.de/forum/sicherhe...007-online-banking-problem-7.html#post2247879

dein system ist massiv kompromittiert.
das http://www.pcwelt.de/forum/sicherhe...-tr-dldr-fraudload-xitk-co-2.html#post2253420 hast du offensichtlich übersehen.

dass wir es hier mit einem verkorksten thread zu tun haben, ist aber sicher nicht deine alleinige schuld.
wenn man das http://www.pcwelt.de/forum/sicherhe...er-tr-dldr-fraudload-xitk-co.html#post2253261 z.b. berücksichtigt...

was nun zu tun ist, um vielleicht doch noch den bogen zu kriegen:
als erstes wäre sicher zu klären, ob das ein geschäftsrechner ist.

 

Hallo,

der laptop ist keine geschäftsrechner, wird überwiegend privat benützt.

 

ein konto trägt den namen einer firma aus ingolstadt, beim "computernamen" taucht diese ebenfalls auf. fünf mal X ?
naja, wie auch immer...

bei deinem system ist vom worst case auszugehen, soll heißen, dass relevante daten wie passwörter etc. als bekannt anzusehen sind.

und zum spambot:
da könnte man sich wünschen, dass provider schneller den saft abdrehen, als sie es bisher tun.
vielleicht mal darüber nachdenken, dass solche botnetze auch genutzt werden können, um schädlinge weiterzuverbreiten?