You are not logged in.

Friday, August 1st 2014, 11:48am

The Avira Forum will be moved to the new platform Avira Answers soon. We'll make the transition of existing user profiles and threads as smooth as possible.
New visitors are able to log in on Avira Answers with the existing Avira account directly or sign up with a new account.

  • "Connyko" started this thread

Date of registration:
Dec 5th 2009

Operating System:
Windows Vista

  • Send private message

1

Sunday, December 6th 2009, 9:11pm

Trojaner wsnpoem V6, wie finde ich ihn?

Meine Bank hat mein Konto gersperrt, weil angeblich wsnpoem V6 auf meinem Rechner ist und meinen Kontozugang herausgefunden hat. Antivir findet den Virus aber nicht. Wer weiß, welches Programm ihn findet und wie man ihn beseitigt? Mein Rechner läuft störungsfrei, ich habe ihn aber vorsichtshalber vom Netz genommen. :?:

2

Sunday, December 6th 2009, 9:20pm

Wenn Du einen Trojaner draufhast, der Bankdaten ausspähen kann, ist volle Formatierung incl. neuem MBR und Neuinstallation von Win angesagt. Alles Andere wäre Wahnsinn.
Aber erst nach Rücksprache mit der Bank (wg. eventl. Beweissicherung)!

Um sehen was drauf ist auf Deinem Rechner:

Poste bitte mal ein HiJackThis Log
Anleitung HijackThis von Mr.Tom -> HiJackThis - Organisation und Anwendung
(persönliche Daten in "HiJackThis Log" bitte vor dem Posten rauskürzen)

Bitte einen Scan mit MalwareBytes:
MalwareBytes + Anleitung von Ruby
Vor dem Scan unbedingt ein Update für MalwareBytes durchführen!
Eventl. Funde nicht löschen - Logfile dann hier posten...
Gruss, Jo :: :: Graduate of the WTT Classroom

Links :: Win-Downloads :: Tipps & Tricks :: neuestes Java

This post has been edited 1 times, last edit by "mp3jo" (Dec 6th 2009, 9:24pm)


  • "Connyko" started this thread

Date of registration:
Dec 5th 2009

Operating System:
Windows Vista

  • Send private message

3

Sunday, December 6th 2009, 10:08pm

Danke für die Hinweise

Ich werde das morgen durchführen, bin gespannt, ob diese Programme den virus finden. Vielleicht ist er gar nicht auf dem Rechner, könnte ja auch Fehlalarm von der Bank sein.

Nochmal vielen Dank an mp3jo
Gruß
Conny

  • "Connyko" started this thread

Date of registration:
Dec 5th 2009

Operating System:
Windows Vista

  • Send private message

4

Monday, December 7th 2009, 10:42pm

Logfile erstellt

Hallo mp3jo,

habe die Logfiles erstellt. Es wurde mit MalwareBytes wieder kein Virus gefunden. aber mit HijackThis ist das Logfile bei der umbenannten Programm-Version um eine Zeile länger. Dort ist unter running processes: C:\Windows\system32\NOTEPAD.EXE eingefügt. Kann das der Virus sein?

Ich würde gern beide Scans schicken, weiß aber nicht wie. Als Bild? Oder wie kann ich eine Datei anhängen?

Gruß
Conny

5

Monday, December 7th 2009, 10:53pm

Hi,

Datei anhängen geht leider nicht.

Wenn Du das HiJackThis Logfile erstellt hast - wie in der Anleitung
"2.1. System scannen/Log erstellen/Infos holen" beschrieben,
Klick auf „Save log“
...
Nun erscheint -nach ein paar Sek. das Log mit entsprechendem Inhalt.
...
Markiere den kompletten Inhalt, kopiere Ihn, dann hier in einen neuen Beitrag einfach einfügen.

Oder einfach die Logfiles mit einem Editor öffnen, Inhalt markieren und kopieren.
Dann hier jeweils in einen neuen Beitrag einfach einfügen.
Gruss, Jo :: :: Graduate of the WTT Classroom

Links :: Win-Downloads :: Tipps & Tricks :: neuestes Java

This post has been edited 1 times, last edit by "mp3jo" (Dec 7th 2009, 10:54pm)


  • "Connyko" started this thread

Date of registration:
Dec 5th 2009

Operating System:
Windows Vista

  • Send private message

6

Tuesday, December 8th 2009, 2:47pm

Log-file mit Original-HijackThis

Hier die LOG-files

Das erste ist mit Original-Namen erstellt, das zweite habe ich mit geändertem Namen: Prüfung.com erstellt. Es ist eine Zeile länger.

Original HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:46:44, on 07.12.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSD.exe
C:\Program Files\Launch Manager\WButton.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\avmwlanstick\WLanGUI.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\WISO\Sparbuch 2009\meinsparbuchheute.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
D:\Conny D\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Zahlungserinnerung] "C:\Program Files\Buhl\WISO Mein Geld 2008\Erinnerung.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: WISO Mein Sparbuch heute.lnk = C:\Program Files\WISO\Sparbuch 2009\meinsparbuchheute.exe
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O13 - Gopher Prefix:
O16 - DPF: {22492231-AEF0-49FC-9180-CE8969AB1273} (F-Secure Online Scanner Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - c:\program files\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\Windows\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Program Files\Common Files\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\ALDI Foto Service Nord\Common\Database\bin\fbserver.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: GnabService - Empolis GmbH - c:\program files\common files\gnab\service\servicecontroller.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Program Files\Sceneo\AbsolutTV\Services\PVR\PVRService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe

--
End of file - 10712 bytes

Das zweite passte nicht in die Nachricht. Findest du in der nächsten Nachricht.

  • "Connyko" started this thread

Date of registration:
Dec 5th 2009

Operating System:
Windows Vista

  • Send private message

7

Tuesday, December 8th 2009, 2:53pm

Log-file mit umbenanntem HijackThis

LOG-file 2:

Umbenannt in Prüfung.com

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:16:49, on 07.12.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSD.exe
C:\Program Files\Launch Manager\WButton.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\avmwlanstick\WLanGUI.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\WISO\Sparbuch 2009\meinsparbuchheute.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Windows\system32\NOTEPAD.EXE
D:\Conny D\HijackThis\Prüfung.com.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Zahlungserinnerung] "C:\Program Files\Buhl\WISO Mein Geld 2008\Erinnerung.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: WISO Mein Sparbuch heute.lnk = C:\Program Files\WISO\Sparbuch 2009\meinsparbuchheute.exe
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O13 - Gopher Prefix:
O16 - DPF: {22492231-AEF0-49FC-9180-CE8969AB1273} (F-Secure Online Scanner Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - c:\program files\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\Windows\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Program Files\Common Files\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\ALDI Foto Service Nord\Common\Database\bin\fbserver.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: GnabService - Empolis GmbH - c:\program files\common files\gnab\service\servicecontroller.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Program Files\Sceneo\AbsolutTV\Services\PVR\PVRService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe

--
End of file - 10746 bytes


Was denkst du? Kannst du etwas daran erkennen?

Vielen Dank für deine Mühe!

Gruß
Conny

8

Tuesday, December 8th 2009, 5:40pm

Hi,

kannst Du das Logfile von MalwareBytes hier noch posten?

Bez. HiJackThis Log:
Vorhaltlich weiterer / anderer Meinungen sehe ich zwar etliche überflüssige Einträge sowie eine alte Version von Acrobat, ein veraltetes Java etc.

Quoted

C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRunSidebar
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing)
O13 - Gopher Prefix:
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

Aber Malware wie Trojaner kann ich nicht erkennen.

Lass mal sicherheitshalber diese Datei scannen:
C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
Datei suchen und hochladen zu virustotal.com und NEU scannen lassen.
Ergebnis + Link dazu hier posten

@Community: Hab' ich was übersehen?
Gruss, Jo :: :: Graduate of the WTT Classroom

Links :: Win-Downloads :: Tipps & Tricks :: neuestes Java

9

Wednesday, December 9th 2009, 12:22pm

Hab jetzt diese Info gefunden:
http://www.sparkasse-offenbach.de/da361ef2701224d5/index.htm

Bitte folgendes ausführen:
1. Einstellung der Ordneroptionen: [Sicherheit] "Richtige" Einstellung der Ordneroptionen...
2. Benütze die Suchfunktion: Hast Du eine Datei "ntos.exe" :?:
Ist ggf. in c:\windows\system32\ oder c:\windows\system32\wsnpoem\ zu finden.
Gruss, Jo :: :: Graduate of the WTT Classroom

Links :: Win-Downloads :: Tipps & Tricks :: neuestes Java

This post has been edited 1 times, last edit by "mp3jo" (Dec 9th 2009, 12:28pm)


markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

10

Wednesday, December 9th 2009, 2:34pm

rootkitscanner wie blacklight werden auch nicht mehr weiter entwickelt, nicht stand alone zu mindest. ich würde aber trotzdem gern sehen, welche files auf dem pc sind, um sie evtl. avira zukommen zu lassen, falls du nichts dagegen hast.
1. lade gmer:
www.gmer.net
Bitte aktiviere auf dem tab rootkit alles, schalte alle laufenden Programme aus, trenne die Internetverbindung, in dem du das netzwerkkabel ziehst und starte den scan.
poste das log.
2. lade combofix:
http://virus-protect.org/artikel/tools/combofix.html
benenne die combofix.exe vor dem speichern in combo_fix.exe
um, folge den anweisungen, poste das log.

Atarianer

Community member

Date of registration:
Mar 8th 2006

Version:
none

Operating System:
Windows 8.1 Pro MC 64 Bit

  • Send private message

11

Wednesday, December 9th 2009, 2:47pm

Es ist möglich, das

Quoted

C:\Windows\system32\NOTEPAD.EXE

der gesuchte Trojaner ist - Notepad läuft in der Regel in c:\windows.

Lade die obige Datei doch mal bei Virus Total zur Prüfung hoch.
atarianer

Bitte keine PN oder Mails bei Problemen an mich senden. Fragen nur im Forum stellen.

This post has been edited 1 times, last edit by "Atarianer" (Dec 9th 2009, 2:48pm)


markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

12

Wednesday, December 9th 2009, 2:50pm

thx @Atarianer
da kann ich mir meinen edit ja sparen :-) trotzdem kann gmer und cf nicht schaden denke ich.

  • "Connyko" started this thread

Date of registration:
Dec 5th 2009

Operating System:
Windows Vista

  • Send private message

13

Saturday, December 12th 2009, 12:45pm

Antwort an Atarianer

Habe Notepad.exe mit Virus total überprüft, beim Ergebnis steht überall ein Strich. Ich hatte mich auch gewundert, dass Notepad.exe im Original-Scan nicht gelistet wurde und im umbenannten war sie plötzlich da. Ich habe gestern auch noch weitere Virenscanner probiert, aber ohne großen Erfolg. Ich fand nur "HTML.Silly!IK". Keine Ahnung, ob der was damit zu tun hat. Ich habe ihn gelöscht.

Manchmal habe ich das Gefühl, der berüchtigte wsnpoem war nie auf meinem Computer. Irgendein Programm müsste ihn doch finden.
Es war ja einfach nur so, dass meine Bank das behauptet hat und mein Konto gesperrt hat.

Ich habe langsam die Nase voll von der Suche. (Schon seit einer Woche).

Meint Ihr, dass ich einfach Windows Vista neu aufspielen sollte? Müsste dann eigentlich alles weg sein?
Muss ich etwas dabei beachten, dass bei der Neuinstallation auch wirklich alle Viren weg sind? Können die sich irgendwo verstecken?

Ich danke euch allen für eure HIlfe!

Gruß Conny

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

14

Saturday, December 12th 2009, 12:47pm

hättest du nach unseren anleitungen gesucht, währest du sicher schneller fündig geworden, den pc musst du auf jeden fall neu aufsetzen, da du ja online banking machst.

  • "Connyko" started this thread

Date of registration:
Dec 5th 2009

Operating System:
Windows Vista

  • Send private message

15

Saturday, December 12th 2009, 3:56pm

Gmer ausgeführt

Habe jetzt gmer ausgeführt, das LOG ist unten. Mit Combofix habe ich Probleme. Das Programm erwartet Eingaben von mir:

Es erscheint ein blaues Fenster: Administrator
"Der Befehl "SWSC" ist entweder falsch geschrieben oder konnte nicht gefunden werden". Darunter blinkt der Cursor. Keine Ahnung, was ich jetzt tun soll. Ich starte das Programm noch einmal.

Hier erst einmal das LOG von gmer:

GMER 1.0.15.15279 - http://www.gmer.net
Rootkit scan 2009-12-12 14:00:01
Windows 6.0.6002 Service Pack 2
Running: yrjhlugq.exe; Driver: C:\Users\Conny\AppData\Local\Temp\axdyraow.sys


---- System - GMER 1.0.15 ----

SSDT AA3C4124 ZwCreateThread
SSDT AA3C4110 ZwOpenProcess
SSDT AA3C4115 ZwOpenThread
SSDT AA3C411F ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 221 824EB964 4 Bytes [24, 41, 3C, AA] {AND AL, 0x41; CMP AL, 0xaa}
.text ntkrnlpa.exe!KeSetEvent + 3F1 824EBB34 4 Bytes [10, 41, 3C, AA] {ADC [ECX+0x3c], AL; STOSB }
.text ntkrnlpa.exe!KeSetEvent + 40D 824EBB50 4 Bytes [15, 41, 3C, AA]
.text ntkrnlpa.exe!KeSetEvent + 621 824EBD64 4 Bytes [1F, 41, 3C, AA] {POP DS; INC ECX; CMP AL, 0xaa}

---- User code sections - GMER 1.0.15 ----

.text D:\Programm-CDs\a-squared Free\a2service.exe[356] kernel32.dll!CreateThread + 1A 7695C928 4 Bytes CALL 0045495D D:\Programm-CDs\a-squared Free\a2service.exe (a-squared Service/Emsi Software GmbH)

---- User IAT/EAT - GMER 1.0.15 ----

IAT D:\Programm-CDs\a-squared Free\a2service.exe[356] @ C:\Windows\system32\shell32.dll [KERNEL32.dll!QueueUserWorkItem] [00454AB4] D:\Programm-CDs\a-squared Free\a2service.exe (a-squared Service/Emsi Software GmbH)
IAT D:\Programm-CDs\a-squared Free\a2service.exe[356] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!QueueUserWorkItem] [00454AB4] D:\Programm-CDs\a-squared Free\a2service.exe (a-squared Service/Emsi Software GmbH)
IAT C:\Windows\Explorer.EXE[3776] @ C:\Windows\system32\ole32.dll [msvcrt.dll!free] [6960F3FB] C:\Windows\AppPatch\AcSpecfc.DLL (Windows Compatibility DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@y!s!\24!r!s!`!\30!y!\24!\24!t!\30!c!y!s!d! 19583823

---- EOF - GMER 1.0.15 ----

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

16

Saturday, December 12th 2009, 3:59pm

mach mal einen rechtsklick auf combofix.exe und wähle als administrator ausführen.

  • "Connyko" started this thread

Date of registration:
Dec 5th 2009

Operating System:
Windows Vista

  • Send private message

17

Saturday, December 12th 2009, 6:21pm

Combofix

Jetzt hat auch ComboFix geklappt, danke für den Administratortipp!

Hier das Log:

ComboFix 09-12-11.05 - Conny 12.12.2009 17:56:34.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3062.1512 [GMT 1:00]
ausgeführt von:: c:\users\Conny\Desktop\Combo1Fix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\install.exe
c:\windows\system32\mydll.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-11-12 bis 2009-12-12 ))))))))))))))))))))))))))))))
.

2009-12-12 17:02 . 2009-12-12 17:02 -------- d-----w- c:\users\Tina\AppData\Local\temp
2009-12-12 17:02 . 2009-12-12 17:02 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-12-11 22:44 . 2009-11-09 12:31 24064 ----a-w- c:\windows\system32\nshhttp.dll
2009-12-11 22:44 . 2009-11-09 12:30 30720 ----a-w- c:\windows\system32\httpapi.dll
2009-12-11 22:44 . 2009-11-09 10:36 411648 ----a-w- c:\windows\system32\drivers\http.sys
2009-12-09 13:32 . 2009-12-09 13:32 -------- d-----w- c:\users\Conny\AppData\Local\MigWiz
2009-12-07 12:11 . 2009-12-07 12:11 -------- d-----w- c:\users\Conny\AppData\Roaming\Malwarebytes
2009-12-07 12:11 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-07 12:11 . 2009-12-07 12:11 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-07 12:11 . 2009-12-07 12:11 -------- d-----w- c:\programdata\Malwarebytes
2009-12-07 12:11 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-04 19:54 . 2009-12-04 19:54 -------- d-----w- c:\programdata\F-Secure
2009-12-04 16:29 . 2009-12-04 16:29 484976 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtb47AB.tmp.exe
2009-11-25 19:01 . 2009-10-29 09:17 2048 ----a-w- c:\windows\system32\tzres.dll
2009-11-25 14:09 . 2009-08-11 16:44 1401856 ----a-w- c:\windows\system32\msxml6.dll
2009-11-25 14:09 . 2009-08-11 16:44 1248768 ----a-w- c:\windows\system32\msxml3.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-12 14:34 . 2008-01-21 07:15 664282 ----a-w- c:\windows\system32\perfh007.dat
2009-12-12 14:34 . 2008-01-21 07:15 142622 ----a-w- c:\windows\system32\perfc007.dat
2009-12-12 11:24 . 2009-11-04 22:50 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-11 22:46 . 2008-11-03 20:30 -------- d-----w- c:\program files\OFFICE11
2009-12-11 22:44 . 2008-04-21 12:41 -------- d-----w- c:\programdata\Microsoft Help
2009-12-01 21:29 . 2008-08-09 07:12 926 ----a-w- c:\users\Conny\AppData\Roaming\wklnhst.dat
2009-11-26 14:07 . 2008-11-28 19:28 -------- d-----w- c:\program files\logs
2009-11-21 06:40 . 2009-12-11 11:53 916480 ----a-w- c:\windows\system32\wininet.dll
2009-11-21 06:34 . 2009-12-11 11:53 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-11-21 06:34 . 2009-12-11 11:53 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-11-21 04:59 . 2009-12-11 11:53 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-11-15 18:24 . 2008-08-08 20:11 100024 ----a-w- c:\users\Conny\AppData\Local\GDIPFONTCACHEV1.DAT
2009-11-15 16:36 . 2009-03-02 19:46 100024 ----a-w- c:\users\Tina\AppData\Local\GDIPFONTCACHEV1.DAT
2009-11-08 17:11 . 2008-09-03 13:04 -------- d-----w- c:\users\Conny\AppData\Roaming\Buhl Data Service GmbH
2009-11-08 17:04 . 2008-04-22 06:12 -------- d-----w- c:\program files\Buhl
2009-11-04 22:50 . 2009-11-04 22:50 -------- d-----w- c:\programdata\Avira
2009-11-04 22:50 . 2009-11-04 22:50 -------- d-----w- c:\program files\Avira
2009-11-03 19:41 . 2009-11-03 19:41 -------- d-----w- c:\users\Tina\AppData\Roaming\MAGIX
2009-11-02 19:42 . 2009-10-03 13:57 195456 ------w- c:\windows\system32\MpSigStub.exe
2009-10-23 16:18 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Calendar
2009-10-23 16:18 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-10-23 16:18 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar
2009-10-23 16:18 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Journal
2009-10-23 16:18 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Collaboration
2009-10-23 16:18 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Photo Gallery
2009-10-23 16:18 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Defender
2009-10-23 16:17 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-10-17 19:32 . 2008-04-21 08:33 -------- d-----w- c:\program files\Common Files\Adobe
2009-10-07 11:36 . 2009-12-11 11:53 243712 ----a-w- c:\windows\system32\rastls.dll
2009-09-25 08:10 . 2009-05-23 14:00 11120 ----a-r- c:\users\Conny\AppData\Roaming\Buhl Data Service\on4u3\plugins\IMetaClass.dll
2009-09-25 08:10 . 2009-02-13 15:05 157016 ----a-r- c:\users\Conny\AppData\Roaming\Buhl Data Service\on4u3\plugins\FirstPlugin.dll
2009-09-14 09:29 . 2009-10-17 08:25 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2008-11-28 19:29 . 2008-11-28 19:28 74937 ----a-w- c:\program files\WebUnins.isu
2008-09-01 20:35 . 2008-09-01 20:35 8 --sh--r- c:\windows\System32\E84954F730.sys
2009-06-26 11:56 . 2008-09-01 20:35 4546 --sha-w- c:\windows\System32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-23 39408]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-04-01 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-04-01 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-04-01 133656]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-01 6025216]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-08-31 102400]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2007-09-01 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-09-06 188416]
"LMgrOSD"="c:\program files\Launch Manager\OSD.exe" [2006-12-26 180224]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2007-09-07 86016]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-05-15 220160]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-09 57393]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-09 40960]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-08 622592]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2006-07-19 65536]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"AVMWlanClient"="c:\program files\avmwlanstick\wlangui.exe" [2005-10-18 1560576]
"Skytel"="Skytel.exe" [2007-11-20 1826816]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
WISO Mein Sparbuch heute.lnk - c:\program files\WISO\Sparbuch 2009\meinsparbuchheute.exe [2009-5-23 1135912]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"VistaSp2"=hex(b):a0,91,a8,53,fd,53,ca,01

R0 Si3531;SiI-3531 SATA Controller;c:\windows\System32\drivers\Si3531.sys [01.06.2007 09:29 210736]
R2 a2free;a-squared Free Service;d:\programm-cds\a-squared Free\a2service.exe [11.12.2009 14:29 1858144]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [04.11.2009 23:50 108289]
R2 GnabService;GnabService;c:\program files\Common Files\Gnab\Service\ServiceController.exe [22.04.2008 07:37 36864]
R2 regi;regi;c:\windows\System32\drivers\regi.sys [17.04.2007 19:09 11032]
R2 srvcPVR;Sceneo PVR Service;c:\program files\Sceneo\AbsolutTV\Services\PVR\pvrservice.exe [22.04.2008 07:30 1801216]
R3 netr28;Ralink 802.11n Wireless Driver for Windows Vista;c:\windows\System32\drivers\netr28.sys [21.04.2008 08:36 327168]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\ALDI Foto Service Nord\Common\Database\bin\fbserver.exe [14.05.2008 14:25 1527900]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\System32\drivers\fwlanusb.sys [28.11.2008 16:59 264704]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [21.04.2008 08:37 118784]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - AXDYRAOW
*Deregistered* - axdyraow
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Zahlungserinnerung - c:\program files\Buhl\WISO Mein Geld 2008\Erinnerung.exe
HKLM-Run-CtrlVol - c:\program files\Launch Manager\CtrlVol.exe
AddRemove-HijackThis - d:\conny d\HijackThis\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-12 18:04
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2009-12-12 18:05:50
ComboFix-quarantined-files.txt 2009-12-12 17:05

Vor Suchlauf: 7 Verzeichnis(se), 156.239.732.736 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 156.603.113.472 Bytes frei

- - End Of File - - 59B48C6909EC2F7D24BFA3BF69390446

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

18

Saturday, December 12th 2009, 6:44pm

bitte packe den ordner qoobox, zu finden auf c:\, mit winzip oder rar und sende ihn an avira:
http://analysis.avira.com/samples/
ergebniss posten, nun den pc formatieren.

  • "Connyko" started this thread

Date of registration:
Dec 5th 2009

Operating System:
Windows Vista

  • Send private message

19

Saturday, December 12th 2009, 7:19pm

Ordner hochladen nicht möglich

Der Ordner Qoobox läßt sich nicht hochladen, woran kann das liegen? Ich habe ihn Qoobox-zip genannt.

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

20

Saturday, December 12th 2009, 7:24pm

naja ob du ihn so benannt hast ist egal, hast du ihn gepackt mit winzip oder winrar? wenn ja, wie groß ist er?