Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hidden Files Trojaner? (HJt Logfile)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 02.02.2008, 18:17   #1
Spinz
 
Hidden Files Trojaner? (HJt Logfile) - Standard

Hidden Files Trojaner? (HJt Logfile)



Hallo zusammen

Ich denke ich habe mir einen ziemlich miesen Trojaner eingefangen.

Ich habe das Problem, das ich meine Hidden Files nicht mehr sehen kann. Sobald ich "Alle Dateien und Ordner anzeigen." aktiviere - apply & ok klicke. Versucht der PC die Files sichtbar zu machen, schafft es aber nicht und wenn ich dann wieder in die Ordneroptionen gehe, ist wieder "Versteckte Dateien und Ordner ausblenden." aktiv.

Ich habe jetzt schon einiges probiert. Habe etliche Virenscanner etc. über das System laufen lassen, leider ohne Erfolg.

Lediglich der McAfee zeigt mir ab und an, eine meldung er hätte eine VAnti.sys Datei als Virus erkannt & gelöscht. Leider kommt diese meldung so oft das man kaum von "löschen" ausgehen kann.

Ich hoffe nun, das jemand von Euch eine Lösung für mein Problem kennt. Ich poste hier mal meinen HJt Log.

---------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 18:11:38, on 02.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\****\Desktop\This.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.daemonsearch.com/ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: (no name) - _{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {54FB08D2-4C43-0861-797C-41888FD86A46} - (no file)
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [PrevxOne] "C:\Programme\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.05\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.05\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\****\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by21fd.bay21.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - h**p://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe


---------------------------------------------------------------------------

Wäre echt klasse wenn mir jemand helfen kann und ich bedanke mich schon mal im vornherein.

Alt 02.02.2008, 18:37   #2
TrojanHunter
 
Hidden Files Trojaner? (HJt Logfile) - Standard

Hidden Files Trojaner? (HJt Logfile)



moin,
unter HijackThis fixen

O2 - BHO: (no name) - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)

O2 - BHO: (no name) - {54FB08D2-4C43-0861-797C-41888FD86A46} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe (file missing)

9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\****\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)



Bei Virustotal.com testen lassen

C:\WINDOWS\system32\amvo.exe

Bitte das ERgebnis dann posten.

Danach bitte einen Scan mit Blacklight durchführen und das Log ebenfalls hier posten.
__________________


Alt 02.02.2008, 18:57   #3
Spinz
 
Hidden Files Trojaner? (HJt Logfile) - Standard

Hidden Files Trojaner? (HJt Logfile)



Erstmal danke für die superschnelle Antowort

Ich habe jetzt die von Dir genannten HJt Einträge gefixt.

Ausserdem habe ich bei Virustotal die - C:\WINDOWS\system32\amvo.exe - testen wollen. Nur leider lässt sich die Datei nicht finden. Ich nehme an sie ist auf hidden & diese Files kann ich ja wie erwähnt nicht anzeigen lassen. Gibt es eine andere möglichkeit dieses File zu testen?

Mit Blacklight meinst du den F-Secure BlackLight (Online Scanner) nehme ich an? Diesen lasse ich gerade laufen.

Edit: Der Blacklight Scanner will nicht richtig funktionieren. Leider gibt es eine Fehlermeldung und der Scann beginnt von neuem. Gibt es einen anderen Online Scanner den ich benutzen könnte um dir ein Logfile zu posten?

Gruss
__________________

Geändert von Spinz (02.02.2008 um 19:05 Uhr)

Alt 02.02.2008, 20:00   #4
TrojanHunter
 
Hidden Files Trojaner? (HJt Logfile) - Standard

Hidden Files Trojaner? (HJt Logfile)



öhm Blacklight kann man sich als Programm runterladen.

http://www.f-secure.com/security_center/ ganz unten auf Blacklight klicken
Dann runterladen und ein einen Ordner packen ( Desktop/Blacklight)
Dort das Tool starten und einen Scan durchführen.

Alt 02.02.2008, 21:04   #5
Spinz
 
Hidden Files Trojaner? (HJt Logfile) - Standard

Hidden Files Trojaner? (HJt Logfile)



Ahh...ja hab es. Scan auch schon durch. 2 mal...

Blacklight findet aber nichts.

Eine Frage zu "C:\WINDOWS\system32\amvo.exe".

Soll ich diesen Eintrag auch fixen mit dem HJt? Falls ja, habe ich dich vorhin falsch verstanden...


Alt 02.02.2008, 21:28   #6
BataAlexander
> MalwareDB
 
Hidden Files Trojaner? (HJt Logfile) - Standard

Hidden Files Trojaner? (HJt Logfile)



Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Alt 02.02.2008, 21:57   #7
Spinz
 
Hidden Files Trojaner? (HJt Logfile) - Standard

Hidden Files Trojaner? (HJt Logfile)



Danke auch dir erstmal für deine Hilfe BataAlexander!

Ich habe deine Anweisungen befolgt. Hier sind die Logfiles:

----------------------------------Combofix----------------------------------

ComboFix 08-02.03.1 - **** 2008-02-02 21:32:33.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.971 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\Programme\MyWay
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\wpcap.dll
F:\Autorun.inf
G:\Autorun.inf
H:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_NPF
-------\NPF


((((((((((((((((((((((( Dateien erstellt von 2008-01-02 bis 2008-02-02 ))))))))))))))))))))))))))))))
.

2008-02-02 13:52 . 2008-02-02 13:52 <DIR> d-------- C:\Programme\Lavasoft
2008-02-02 13:52 . 2008-02-02 13:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-02 13:42 . 2002-12-29 01:14 81,920 --a------ C:\WINDOWS\system32\Startup.cpl
2008-02-02 13:40 . 2008-02-02 13:40 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-02 13:40 . 2008-02-02 13:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-02 13:22 . 2008-02-02 13:22 <DIR> d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Prevx
2008-02-02 13:22 . 2006-11-23 17:04 9,728 --a------ C:\WINDOWS\system32\drivers\pxscinst.dll
2008-02-02 13:22 . 2006-11-23 17:04 7,680 --a------ C:\WINDOWS\system32\drivers\pxinst.dll
2008-02-02 13:21 . 2008-02-02 21:37 <DIR> d-------- C:\Programme\Prevx1
2008-02-02 13:21 . 2008-02-02 21:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2008-02-02 13:09 . 2008-02-02 13:07 104,644 -r-hs---- C:\i.cmd
2008-02-02 02:47 . 2008-02-02 03:00 <DIR> d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\PrevxCSI
2008-01-31 18:57 . 2008-02-02 03:36 103,574 -r-hs---- C:\h.cmd
2008-01-29 23:27 . 2008-01-29 23:27 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-29 23:27 . 2008-01-29 23:27 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-22 23:49 . 2008-01-23 00:11 24,176 --a------ C:\bar.emf
2008-01-22 21:04 . 2008-01-22 21:04 <DIR> d-------- C:\Programme\Microsoft Works
2008-01-22 21:03 . 2008-01-22 21:03 <DIR> d-------- C:\Programme\Microsoft.NET
2008-01-22 21:01 . 2008-01-22 21:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-01-22 21:00 . 2008-01-22 21:00 <DIR> dr-h----- C:\MSOCache
2008-01-14 19:03 . 2008-01-14 19:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-01-14 18:04 . 2008-01-14 18:04 <DIR> d-------- C:\Programme\Intuwave Ltd
2008-01-03 17:59 . 2008-01-03 17:59 86,016 --ahs---- C:\WINDOWS\Thumbs.db
2008-01-03 17:59 . 2008-01-03 17:59 5,120 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-01-02 20:02 . 2007-10-25 17:42 8,501,248 -----c--- C:\WINDOWS\system32\dllcache\shell32.dll
2008-01-02 01:24 . 2008-01-02 01:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-01-02 01:24 . 2008-01-02 01:24 <DIR> d-------- C:\Programme\DVDVideoSoft

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-02 12:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-02 01:32 --------- d-----w C:\Programme\WinZix
2008-01-15 15:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-01-14 17:41 --------- d-----w C:\Programme\Yahoo!
2008-01-14 17:06 --------- d-----w C:\Programme\NCH Swift Sound
2008-01-14 17:06 --------- d-----w C:\Programme\DynDNS Updater
2008-01-14 17:05 --------- d-----w C:\Programme\SQLyog Enterprise Trial
2008-01-14 17:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-14 17:04 --------- d-----w C:\Programme\Zattoo
2008-01-14 17:04 --------- d-----w C:\Programme\LimeWire
2008-01-14 16:59 --------- d-----w C:\Programme\Sony Ericsson
2008-01-14 16:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-01-14 16:55 --------- d-----w C:\Programme\xampp
2007-12-23 01:25 --------- d-----w C:\Programme\WinCustomize
2007-12-23 01:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Stardock
2007-12-20 09:18 --------- d-----w C:\Programme\Spyware Doctor
2007-12-08 15:28 --------- d-----w C:\Programme\SiSoftware
2007-09-02 20:25 132,242 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2006-10-12 15:08 36 ----a-w C:\Dokumente und Einstellungen\****\klextlock.dat
2006-06-28 17:37 36 ----a-w C:\Dokumente und Einstellungen\****\klextlock.dat
2005-03-13 11:22 76 ---ha-w C:\Programme\Desktop.ini
2005-01-29 01:08 56 -csh--r C:\WINDOWS\system32\BF96F460ED.sys
2005-01-29 01:25 848 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"LogitechSoftwareUpdate"="C:\Programme\Logitech\Video\ManifestEngine.exe" [2004-06-01 11:46 196608]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-17 18:53 67128]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2006-06-06 09:07 40960]
"msnmsgr"="~C:\Programme\MSN Messenger\msnmsgr.exe" [ ]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-09-18 15:16 171464]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShStatEXE"="C:\Programme\Network Associates\VirusScan\SHSTAT.exe" [2003-03-06 06:00 90182]
"McAfeeUpdaterUI"="C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" [2003-02-25 11:00 139347]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_02\bin\jusched.exe" [2005-03-04 02:36 36975]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-05-21 19:11 221184]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2004-06-01 11:09 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2004-06-01 11:03 217088]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 23:43 8466432]
"nwiz"="nwiz.exe" [2007-06-28 23:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-05-02 00:38 180269]
"SoundMan"="SOUNDMAN.EXE" [2004-04-28 17:19 66048 C:\WINDOWS\SOUNDMAN.EXE]
"Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2005-08-23 14:36 1110079]
"Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2005-08-23 14:22 188416]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2006-06-06 09:07 40960]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 10:54 282624]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 23:43 81920]
"H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-23 00:00 385024]
"LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 18:38 987187]
"PrevxOne"="C:\Programme\Prevx1\PXConsole.exe" [2006-12-02 17:43 1507328]
"Run StartupMonitor"="StartupMonitor.exe" [2000-05-20 17:23 86016 C:\WINDOWS\StartupMonitor.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AceGain LiveUpdate]
C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager]
c:\program files\altnet\points manager\points manager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CherryKeyman]
C:\Programme\Cherry\KeyMan\KeyMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\system32\\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PRONoMgr.exe]
--a--c--- 2003-03-11 15:24 86016 C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-04-28 17:19 66048 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vcdplayx]
C:\WINDOWS\vcdplayx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualDrive]
C:\Programme\FarStone\VirtualDrive\VDTask.exe

R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 19:08]
S3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys []
S3 Ch2kPS2;Cherry PS/2 Tastatur Treiber (CDI);C:\WINDOWS\system32\DRIVERS\Ch2kPS2.sys [2003-09-04 08:25]
S3 FTLUND;Lundinova Filter Driver;C:\WINDOWS\system32\drivers\ftlund.sys [2004-01-19 16:27]
S3 gsplittm;gsplittm;C:\DOKUME~1\manu\LOKALE~1\Temp\gsplittm.sys []
S3 PhilCam8116_XP;Logitech QuickCam Pro 3000(PID_08B1);C:\WINDOWS\system32\DRIVERS\CamDrL20.sys [2004-05-21 20:16]
S4 cdawdm;CDAWDM;C:\WINDOWS\system32\DRIVERS\CDAWDM.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10b6371c-d046-11dc-a888-000a5e43ef50}]
\Shell\AutoRun\command - I:\h.cmd
\Shell\explore\Command - I:\h.cmd
\Shell\open\Command - I:\h.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86f90f2c-12b3-11dc-a76f-000a5e43ef50}]
\Shell\AutoRun\command - I:\xo8wr9.exe
\Shell\explore\Command - I:\xo8wr9.exe
\Shell\open\Command - I:\xo8wr9.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10CF7B8F-81BB-E266-0604-040103040506}]
C:\WINDOWS\server007.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-02-02 20:00:00 C:\WINDOWS\Tasks\ACA3058291308026.job"
- c:\dokume~1\manu\anwend~1\drvdas~1\win road axis.exe
"2008-01-20 15:18:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2007-02-06 20:43:43 C:\WINDOWS\Tasks\MTR_Tab.job"
- C:\Programme\Recorder\Recorder.exeDC:\Dokumente und Einstellungen\****\Eigene Dateien\Recorder\Tab.krc
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-02-02 21:37:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Prevx1\PXAgent.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-02 21:41:40 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-02 20:41:37
.
2008-01-02 21:38:28 --- E O F ---


----------------------------------HJt-------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 21:52:00, on 02.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\WINDOWS\StartupMonitor.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Desktop\This.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.daemonsearch.com/ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: (no name) - _{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [PrevxOne] "C:\Programme\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.05\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.05\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - h**p://support.f-secure.com/ols/fscax.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by21fd.bay21.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - h**p://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

--------------------------------------------------------------------------

Ausserdem habe ich den StartupMonitor heute installiert. Nachdem Spybot nach dem Combofix neustart eine Meldung angezeigt hat, ob ich amva erlauben will einen registry Eintrag zu ändern und ich diesen verweigert habe, zeigt mir der StartupMonitor nun durchgehend eine Meldung an:

The Program

amva

has registered the executable

C:\WINDOWS\system32\amvo.exe

to run at system startup.

Do you wish to allow this change?

Klicke ich hier [Nein] an, dauert es ca. 5Sek. und die Meldung erscheint erneut.

Alt 02.02.2008, 22:25   #8
BataAlexander
> MalwareDB
 
Hidden Files Trojaner? (HJt Logfile) - Standard

Hidden Files Trojaner? (HJt Logfile)



0. Deaktivere den Tea Timer

1. Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\WINDOWS\server007.exe
I:\xo8wr9.exe
C:\i.cmd
C:\h.cmd
C:\bar.emf
C:\DOKUME~1\manu\LOKALE~1\Temp\gsplittm.sys
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen.
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!)


2. Combofix Script erstellen und nochmal ausführen

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein.

Zitat:
File::
C:\i.cmd
C:\h.cmd
C:\bar.emf
C:\WINDOWS\Tasks\ACA3058291308026.job
I:\xo8wr9.exe
C:\WINDOWS\server007.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{10b6371c-d046-11dc-a888-000a5e43ef50}]
[-HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{86f90f2c-12b3-11dc-a76f-000a5e43ef50}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10CF7B8F-81BB-E266-0604-040103040506}]
3. Speichere im Notepad als CFScript.txt auf dem Dektop.

4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.


5. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Scipt ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

3. Löschen verschiedener Programme

Gehe zu Start / Einstellungen / Systemsteuerung / Software und deinstallier dort

SweetIm -> Adware Toolbar
Spyware Doctor -> Programm mit seltsamen Ergebnissen und KaufMich Faktor
LimeWire -> Verwendungszweck?

4. Updaten von Prgrammen

Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!


Die Version Deines Acrobat Reader ist veraltet, aktualisiere Deine Version hier.

Generell gilt: Halte immer alle Anwendung auf einem akutellem Stand!

5. Logs posten

Poste dann das neue Combofix Log und ein neues HJT Log.

Ich werde es heute nicht mehr schaffen drüberzusehen, vlt. jemand anders.

Alt 03.02.2008, 03:16   #9
Spinz
 
Hidden Files Trojaner? (HJt Logfile) - Standard

Hidden Files Trojaner? (HJt Logfile)



--------------------C:\WINDOWS\server007.exe------------------------

Datei server007 empfangen 2008.02.02 22:47:24 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.3.10 2008.02.02 -
AntiVir 7.6.0.61 2008.02.01 -
Authentium 4.93.8 2008.02.01 -
Avast 4.7.1098.0 2008.02.02 -
AVG 7.5.0.516 2008.02.02 -
BitDefender 7.2 2008.02.02 -
CAT-QuickHeal 9.00 2008.02.01 -
ClamAV 0.92 2008.02.02 -
DrWeb 4.44.0.09170 2008.02.02 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5504 2008.02.01 -
Ewido 4.0 2008.02.02 -
FileAdvisor 1 2008.02.02 -
Fortinet 3.14.0.0 2008.02.02 -
F-Prot 4.4.2.54 2008.02.01 -
F-Secure 6.70.13260.0 2008.02.01 -
Ikarus T3.1.1.20 2008.02.02 -
Kaspersky 7.0.0.125 2008.02.02 -
McAfee 5221 2008.02.01 -
Microsoft 1.3204 2008.02.02 -
NOD32v2 2845 2008.02.02 -
Norman 5.80.02 2008.02.01 -
Panda 9.0.0.4 2008.02.02 -
Prevx1 V2 2008.02.02 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.02 -
Sunbelt 2.2.907.0 2008.02.02 -
Symantec 10 2008.02.02 -
TheHacker 6.2.9.206 2008.02.02 -
VBA32 3.12.6.0 2008.02.02 -
VirusBuster 4.3.26:9 2008.02.02 -
Webwasher-Gateway 6.6.2 2008.02.02 -

weitere Informationen
File size: 1194 bytes
MD5: ca758a7f37c5d8edc3319103a7c9f0c3
SHA1: ec090d3fc311ab38682433ec7dfe1ecb6568ee5b
PEiD: -

-----------------------------------------------------------------------

------------------------------I:\xo8wr9.exe----------------------------

Das Laufwerk I: existiert bei mir auf dem PC nicht. Ich denke das wird ein externes Speichermedium gewesen sein?

-----------------------------------------------------------------------

---------------------------------C:\i.cmd------------------------------

Datei i.cmd empfangen 2008.02.03 02:07:19 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.3.10 2008.02.02 -
AntiVir 7.6.0.61 2008.02.01 TR/Crypt.NSPM.Gen
Authentium 4.93.8 2008.02.01 -
Avast 4.7.1098.0 2008.02.02 -
AVG 7.5.0.516 2008.02.02 Worm/AutoRun.Y
BitDefender 7.2 2008.02.03 Packer.Malware.NSAnti.K
CAT-QuickHeal 9.00 2008.02.01 Win32.Packed.NSAnti.r
ClamAV 0.92 2008.02.03 -
DrWeb 4.44.0.09170 2008.02.02 -
eSafe 7.0.15.0 2008.01.28 suspicious Trojan/Worm
eTrust-Vet 31.3.5504 2008.02.01 -
Ewido 4.0 2008.02.02 -
FileAdvisor 1 2008.02.03 -
Fortinet 3.14.0.0 2008.02.02 -
F-Prot 4.4.2.54 2008.02.02 -
F-Secure 6.70.13260.0 2008.02.01 Suspicious:W32/Malware!Gemini
Ikarus T3.1.1.20 2008.02.03 Packer.Malware.NSAnti.K
Kaspersky 7.0.0.125 2008.02.03 Worm.Win32.AutoRun.cin
McAfee 5221 2008.02.01 -
Microsoft 1.3204 2008.02.03 VirTool:Win32/Obfuscator!Mal
NOD32v2 2845 2008.02.02 -
Norman 5.80.02 2008.02.01 -
Panda 9.0.0.4 2008.02.02 Suspicious file
Prevx1 V2 2008.02.03 Worm/AutoRun.Y
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.02 Mal/EncPk-CE
Sunbelt 2.2.907.0 2008.02.02 -
Symantec 10 2008.02.02 -
TheHacker 6.2.9.206 2008.02.02 -
VBA32 3.12.6.0 2008.02.02 -
VirusBuster 4.3.26:9 2008.02.02 Trojan.Lineage.Gen!Pac.3
Webwasher-Gateway 6.6.2 2008.02.03 Trojan.Crypt.NSPM.Gen

weitere Informationen
File size: 104644 bytes
MD5: a6975fefb239484cfc4265310749329e
SHA1: 23a94beb1ac4b75bb121dbc2fdbf16a3ffcfa762
PEiD: -
Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=CE0AC5F5C425A0C898420158736126006544C83D

-----------------------------------------------------------------------

---------------------------------C:\h.cmd------------------------------

Datei h.cmd empfangen 2008.02.03 02:08:02 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.3.10 2008.02.02 -
AntiVir 7.6.0.61 2008.02.01 TR/Crypt.NSPM.Gen
Authentium 4.93.8 2008.02.01 -
Avast 4.7.1098.0 2008.02.02 -
AVG 7.5.0.516 2008.02.02 Worm/AutoRun.Y
BitDefender 7.2 2008.02.03 Packer.Malware.NSAnti.K
CAT-QuickHeal 9.00 2008.02.01 Win32.Packed.NSAnti.r
ClamAV 0.92 2008.02.03 -
DrWeb 4.44.0.09170 2008.02.02 Trojan.MulDrop.6474
eSafe 7.0.15.0 2008.01.28 suspicious Trojan/Worm
eTrust-Vet 31.3.5504 2008.02.01 -
Ewido 4.0 2008.02.02 -
FileAdvisor 1 2008.02.03 -
Fortinet 3.14.0.0 2008.02.02 -
F-Prot 4.4.2.54 2008.02.02 -
F-Secure 6.70.13260.0 2008.02.01 Suspicious:W32/Malware!Gemini
Ikarus T3.1.1.20 2008.02.03 Trojan-PWS.Win32.OnLineGames.qip
Kaspersky 7.0.0.125 2008.02.03 Trojan-PSW.Win32.OnLineGames.qip
McAfee 5221 2008.02.01 New Malware.hw
Microsoft 1.3204 2008.02.03 VirTool:Win32/Obfuscator!Mal
NOD32v2 2845 2008.02.02 -
Norman 5.80.02 2008.02.01 -
Panda 9.0.0.4 2008.02.02 Suspicious file
Prevx1 V2 2008.02.03 KAVKOP:Trojan-A
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.02 Mal/EncPk-CE
Sunbelt 2.2.907.0 2008.02.02 -
Symantec 10 2008.02.02 W32.Gammima.AG
TheHacker 6.2.9.206 2008.02.02 Trojan/NSAntir.gen
VBA32 3.12.6.0 2008.02.02 -
VirusBuster 4.3.26:9 2008.02.02 Trojan.Lineage.Gen!Pac.3
Webwasher-Gateway 6.6.2 2008.02.03 Trojan.Crypt.NSPM.Gen

weitere Informationen
File size: 103574 bytes
MD5: ede492bdc48e58787ea1337b403ca3ff
SHA1: fb22b6dbe69fffd04b635631505d37ef8cc0e9f9
PEiD: -
Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=1097D6A19674FFD7948901AF74E8470072C9E279

-----------------------------------------------------------------------

---------------------------------C:\bar.emf----------------------------

Datei bar.emf empfangen 2008.02.03 01:49:23 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.3.10 2008.02.02 -
AntiVir 7.6.0.61 2008.02.01 -
Authentium 4.93.8 2008.02.01 -
Avast 4.7.1098.0 2008.02.02 -
AVG 7.5.0.516 2008.02.02 -
BitDefender 7.2 2008.02.03 -
CAT-QuickHeal 9.00 2008.02.01 -
ClamAV 0.92 2008.02.03 -
DrWeb 4.44.0.09170 2008.02.02 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5504 2008.02.01 -
Ewido 4.0 2008.02.02 -
FileAdvisor 1 2008.02.03 -
Fortinet 3.14.0.0 2008.02.02 -
F-Prot 4.4.2.54 2008.02.02 -
F-Secure 6.70.13260.0 2008.02.01 -
Ikarus T3.1.1.20 2008.02.03 -
Kaspersky 7.0.0.125 2008.02.03 -
McAfee 5221 2008.02.01 -
Microsoft 1.3204 2008.02.03 -
NOD32v2 2845 2008.02.02 -
Norman 5.80.02 2008.02.01 -
Panda 9.0.0.4 2008.02.02 -
Prevx1 V2 2008.02.03 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.02 -
Sunbelt 2.2.907.0 2008.02.02 -
Symantec 10 2008.02.02 -
TheHacker 6.2.9.206 2008.02.02 -
VBA32 3.12.6.0 2008.02.02 -
VirusBuster 4.3.26:9 2008.02.02 -
Webwasher-Gateway 6.6.2 2008.02.03 -

weitere Informationen
File size: 24176 bytes
MD5: c0f1e569b43b4f234f324a880773c013
SHA1: fb7dcabd5c8fd0fdf7f87aaaf0beb3f18dbf7027
PEiD: -

-----------------------------------------------------------------------

---------------C:\DOKUME~1\****\LOKALE~1\Temp\gsplittm.sys-------------

Lässt sich auf dem System nicht finden.

-----------------------------------------------------------------------


ComboFix 08-02.03.1 - **** 2008-02-03 2:53:18.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.931 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\****\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE
C:\bar.emf
C:\h.cmd
C:\i.cmd
C:\WINDOWS\server007.exe
C:\WINDOWS\Tasks\ACA3058291308026.job
I:\xo8wr9.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\bar.emf
C:\h.cmd
C:\i.cmd
C:\WINDOWS\Tasks\ACA3058291308026.job

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-03 bis 2008-02-03 ))))))))))))))))))))))))))))))
.

2008-02-03 02:48 . 2008-02-03 02:51 <DIR> d-------- C:\Programme\Google
2008-02-03 02:46 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-02-03 02:22 . 2008-02-03 02:22 <DIR> d-------- C:\Programme\Windows Defender
2008-02-02 13:52 . 2008-02-02 13:52 <DIR> d-------- C:\Programme\Lavasoft
2008-02-02 13:52 . 2008-02-02 13:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-02 13:42 . 2002-12-29 01:14 81,920 --a------ C:\WINDOWS\system32\Startup.cpl
2008-02-02 13:40 . 2008-02-03 02:28 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-02 13:40 . 2008-02-03 02:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-02 02:47 . 2008-02-02 03:00 <DIR> d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\PrevxCSI
2008-01-29 23:27 . 2008-01-29 23:27 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-29 23:27 . 2008-01-29 23:27 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-22 21:04 . 2008-01-22 21:04 <DIR> d-------- C:\Programme\Microsoft Works
2008-01-22 21:03 . 2008-01-22 21:03 <DIR> d-------- C:\Programme\Microsoft.NET
2008-01-22 21:01 . 2008-01-22 21:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-01-22 21:00 . 2008-01-22 21:00 <DIR> dr-h----- C:\MSOCache
2008-01-14 18:04 . 2008-01-14 18:04 <DIR> d-------- C:\Programme\Intuwave Ltd
2008-01-03 17:59 . 2008-01-03 17:59 86,016 --ahs---- C:\WINDOWS\Thumbs.db
2008-01-03 17:59 . 2008-01-03 17:59 5,120 --ahs---- C:\WINDOWS\system32\Thumbs.db

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-03 01:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-03 01:46 --------- d-----w C:\Programme\Java
2008-02-03 01:39 --------- d-----w C:\Programme\Yahoo!
2008-02-03 01:39 --------- d-----w C:\Programme\NCH Swift Sound
2008-02-03 01:38 --------- d-----w C:\Programme\Quick Screenshot Maker
2008-02-03 01:38 --------- d-----w C:\Programme\Poker Clock
2008-02-02 12:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-02 01:32 --------- d-----w C:\Programme\WinZix
2008-01-15 15:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-01-14 17:06 --------- d-----w C:\Programme\DynDNS Updater
2008-01-14 17:05 --------- d-----w C:\Programme\SQLyog Enterprise Trial
2008-01-14 17:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-14 17:04 --------- d-----w C:\Programme\Zattoo
2008-01-14 16:59 --------- d-----w C:\Programme\Sony Ericsson
2008-01-14 16:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-01-14 16:55 --------- d-----w C:\Programme\xampp
2008-01-02 00:24 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-01-02 00:24 --------- d-----w C:\Programme\DVDVideoSoft
2007-12-23 01:34 1,015,296 ----a-w C:\WINDOWS\system32\logonuiX.exe
2007-12-23 01:25 --------- d-----w C:\Programme\WinCustomize
2007-12-23 01:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Stardock
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-08 15:28 --------- d-----w C:\Programme\SiSoftware
2007-11-11 12:36 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2007-11-11 12:36 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2007-11-11 12:36 12,067 -c--atw C:\WINDOWS\system32\SIntf16.dll
2007-09-02 20:25 132,242 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2006-10-12 15:08 36 ----a-w C:\Dokumente und Einstellungen\****\klextlock.dat
2006-06-28 17:37 36 ----a-w C:\Dokumente und Einstellungen\****\klextlock.dat
2005-03-13 11:22 76 ---ha-w C:\Programme\Desktop.ini
2005-01-29 01:08 56 -csh--r C:\WINDOWS\system32\BF96F460ED.sys
2005-01-29 01:25 848 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"LogitechSoftwareUpdate"="C:\Programme\Logitech\Video\ManifestEngine.exe" [2004-06-01 11:46 196608]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-17 18:53 67128]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:54 5674352]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-09-18 15:16 171464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShStatEXE"="C:\Programme\Network Associates\VirusScan\SHSTAT.exe" [2003-03-06 06:00 90182]
"McAfeeUpdaterUI"="C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" [2003-02-25 11:00 139347]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-05-21 19:11 221184]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2004-06-01 11:09 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2004-06-01 11:03 217088]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 23:43 8466432]
"nwiz"="nwiz.exe" [2007-06-28 23:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-05-02 00:38 180269]
"SoundMan"="SOUNDMAN.EXE" [2004-04-28 17:19 66048 C:\WINDOWS\SOUNDMAN.EXE]
"Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2005-08-23 14:36 1110079]
"Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2005-08-23 14:22 188416]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 10:54 282624]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 23:43 81920]
"H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-23 00:00 385024]
"LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 18:38 987187]
"Run StartupMonitor"="StartupMonitor.exe" [2000-05-20 17:23 86016 C:\WINDOWS\StartupMonitor.exe]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-02-17 18:53:18 67128]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 09:15:54 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AceGain LiveUpdate]
C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager]
c:\program files\altnet\points manager\points manager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CherryKeyman]
C:\Programme\Cherry\KeyMan\KeyMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\system32\\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PRONoMgr.exe]
--a--c--- 2003-03-11 15:24 86016 C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-04-28 17:19 66048 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vcdplayx]
C:\WINDOWS\vcdplayx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualDrive]
C:\Programme\FarStone\VirtualDrive\VDTask.exe


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10b6371c-d046-11dc-a888-000a5e43ef50}]
\Shell\AutoRun\command - I:\h.cmd
\Shell\explore\Command - I:\h.cmd
\Shell\open\Command - I:\h.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86f90f2c-12b3-11dc-a76f-000a5e43ef50}]
\Shell\AutoRun\command - I:\xo8wr9.exe
\Shell\explore\Command - I:\xo8wr9.exe
\Shell\open\Command - I:\xo8wr9.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-01-20 15:18:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-02-03 01:29:41 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
"2007-02-06 20:43:43 C:\WINDOWS\Tasks\MTR_Tab.job"
- C:\Programme\Recorder\Recorder.exeDC:\Dokumente und Einstellungen\****\Eigene Dateien\Recorder\Tab.krc
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-02-03 02:56:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
msnmsgr = "C:\Programme\MSN Messenger\msnmsgr.exe" /background?r

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-03 2:57:30
ComboFix-quarantined-files.txt 2008-02-03 01:57:16
ComboFix2.txt 2008-02-02 20:41:41
.
2008-01-02 21:38:28 --- E O F ---

Alt 03.02.2008, 03:21   #10
Spinz
 
Hidden Files Trojaner? (HJt Logfile) - Standard

Hidden Files Trojaner? (HJt Logfile)



Logfile of HijackThis v1.99.1
Scan saved at 03:10:00, on 03.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\StartupMonitor.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Dokumente und Einstellungen\****\Desktop\This.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.daemonsearch.com/ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: (no name) - _{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.05\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.05\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - h**p://support.f-secure.com/ols/fscax.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by21fd.bay21.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - h**p://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe


-------------------------------------------------------------------------------------------------------

So, ich denke ich habe soweit alle Schritte die Du mir genannt hast ausgeführt.

Ich bekommen keine Meldungen mehr von Search & Destroy und ich kann meine hidden Files wieder sehen, soweit schon mal ein Erflog und ich bedanke mich bei Euch für die super Hilfe!!!!!! Echt spitze

Alt 04.02.2008, 10:50   #11
BataAlexander
> MalwareDB
 
Hidden Files Trojaner? (HJt Logfile) - Standard

Hidden Files Trojaner? (HJt Logfile)



Und ich hab mal wieder die CodeBox vergessen.

Daher

1. Combofix Script erstellen und nochmal ausführen

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein.

Code:
ATTFilter
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10b6371c-d046-11dc-a888-000a5e43ef50}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86f90f2c-12b3-11dc-a76f-000a5e43ef50}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10CF7B8F-81BB-E266-0604-040103040506}]
         
3. Speichere im Notepad als CFScript.txt auf dem Dektop.

4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.


5. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Scipt ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

2. Mit HJT arbeiten

Gehe wiefolgt vor

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

R3 - URLSearchHook: (no name) - _{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

dann Klicke Fix Checked. Schließe HiJackThis.

Soweit sollten alle sichtbaren Probleme behoben sein.
Was mir Sorgen macht oder Fragen stellt ist, warum die Server007 nicht erkannt wurde.

Daher bitte ich Dich einen Online Scan (mit ActiveX Modul9 durchzuführen
Link

Poste dann alle Ergebnisse ( Combofix / HJT / Online Scan Log).

Wichtig: Die Infektion weißt auf einen Laufwerksinfector hin. Prüfe daher alle USB Sticks / Festplatten etc die Du an dem Rechner verwandt hast auf Befall.

Geändert von BataAlexander (04.02.2008 um 10:55 Uhr)

Alt 05.02.2008, 22:24   #12
Spinz
 
Hidden Files Trojaner? (HJt Logfile) - Standard

Hidden Files Trojaner? (HJt Logfile)



Logfile of HijackThis v1.99.1
Scan saved at 15:48:51, on 04.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\StartupMonitor.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\****\Desktop\This.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.daemonsearch.com/ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.05\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.05\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - h**p://support.f-secure.com/ols/fscax.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by21fd.bay21.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - h**p://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe


--------------------------------------------------------------------------------------------------------------------------------------------------------

--------------------------------------------------------------------------------------------------------------------------------------------------------


ComboFix 08-02.03.1 - **** 2008-02-04 15:42:35.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.901 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\****\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-04 bis 2008-02-04 ))))))))))))))))))))))))))))))
.

2008-02-03 02:48 . 2008-02-03 12:03 <DIR> d-------- C:\Programme\Google
2008-02-03 02:46 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-02-03 02:22 . 2008-02-03 02:22 <DIR> d-------- C:\Programme\Windows Defender
2008-02-02 13:52 . 2008-02-02 13:52 <DIR> d-------- C:\Programme\Lavasoft
2008-02-02 13:52 . 2008-02-02 13:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-02 13:42 . 2002-12-29 01:14 81,920 --a------ C:\WINDOWS\system32\Startup.cpl
2008-02-02 13:40 . 2008-02-03 02:28 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-02 13:40 . 2008-02-03 02:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-02 02:47 . 2008-02-02 03:00 <DIR> d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\PrevxCSI
2008-01-29 23:27 . 2008-01-29 23:27 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-29 23:27 . 2008-01-29 23:27 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-22 21:04 . 2008-01-22 21:04 <DIR> d-------- C:\Programme\Microsoft Works
2008-01-22 21:03 . 2008-01-22 21:03 <DIR> d-------- C:\Programme\Microsoft.NET
2008-01-22 21:01 . 2008-01-22 21:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-01-22 21:00 . 2008-01-22 21:00 <DIR> dr-h----- C:\MSOCache
2008-01-14 18:04 . 2008-01-14 18:04 <DIR> d-------- C:\Programme\Intuwave Ltd

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-03 01:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-03 01:46 --------- d-----w C:\Programme\Java
2008-02-03 01:39 --------- d-----w C:\Programme\Yahoo!
2008-02-03 01:39 --------- d-----w C:\Programme\NCH Swift Sound
2008-02-03 01:38 --------- d-----w C:\Programme\Quick Screenshot Maker
2008-02-03 01:38 --------- d-----w C:\Programme\Poker Clock
2008-02-02 12:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-02 01:32 --------- d-----w C:\Programme\WinZix
2008-01-15 15:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-01-14 17:06 --------- d-----w C:\Programme\DynDNS Updater
2008-01-14 17:05 --------- d-----w C:\Programme\SQLyog Enterprise Trial
2008-01-14 17:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-14 17:04 --------- d-----w C:\Programme\Zattoo
2008-01-14 17:04 --------- d-----w C:\Programme\LimeWire
2008-01-14 16:59 --------- d-----w C:\Programme\Sony Ericsson
2008-01-14 16:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-01-14 16:55 --------- d-----w C:\Programme\xampp
2008-01-02 00:24 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-01-02 00:24 --------- d-----w C:\Programme\DVDVideoSoft
2007-12-23 01:34 1,015,296 ----a-w C:\WINDOWS\system32\logonuiX.exe
2007-12-23 01:25 --------- d-----w C:\Programme\WinCustomize
2007-12-23 01:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Stardock
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-08 15:28 --------- d-----w C:\Programme\SiSoftware
2007-11-11 12:36 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2007-11-11 12:36 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2007-11-11 12:36 12,067 -c--atw C:\WINDOWS\system32\SIntf16.dll
2007-09-02 20:25 132,242 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2006-10-12 15:08 36 ----a-w C:\Dokumente und Einstellungen\****\klextlock.dat
2006-06-28 17:37 36 ----a-w C:\Dokumente und Einstellungen\****\klextlock.dat
2005-03-13 11:22 76 ---ha-w C:\Programme\Desktop.ini
2005-01-29 01:08 56 -csh--r C:\WINDOWS\system32\BF96F460ED.sys
2005-01-29 01:25 848 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"LogitechSoftwareUpdate"="C:\Programme\Logitech\Video\ManifestEngine.exe" [2004-06-01 11:46 196608]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-17 18:53 67128]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:54 5674352]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-09-18 15:16 171464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShStatEXE"="C:\Programme\Network Associates\VirusScan\SHSTAT.exe" [2003-03-06 06:00 90182]
"McAfeeUpdaterUI"="C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" [2003-02-25 11:00 139347]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-05-21 19:11 221184]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2004-06-01 11:09 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2004-06-01 11:03 217088]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 23:43 8466432]
"nwiz"="nwiz.exe" [2007-06-28 23:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-05-02 00:38 180269]
"SoundMan"="SOUNDMAN.EXE" [2004-04-28 17:19 66048 C:\WINDOWS\SOUNDMAN.EXE]
"Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2005-08-23 14:36 1110079]
"Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2005-08-23 14:22 188416]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 10:54 282624]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 23:43 81920]
"H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-23 00:00 385024]
"LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 18:38 987187]
"Run StartupMonitor"="StartupMonitor.exe" [2000-05-20 17:23 86016 C:\WINDOWS\StartupMonitor.exe]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-02-17 18:53:18 67128]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 09:15:54 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AceGain LiveUpdate]
C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager]
c:\program files\altnet\points manager\points manager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CherryKeyman]
C:\Programme\Cherry\KeyMan\KeyMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\system32\\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PRONoMgr.exe]
--a--c--- 2003-03-11 15:24 86016 C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-04-28 17:19 66048 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vcdplayx]
C:\WINDOWS\vcdplayx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualDrive]
C:\Programme\FarStone\VirtualDrive\VDTask.exe

R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 19:08]
S3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys []
S3 Ch2kPS2;Cherry PS/2 Tastatur Treiber (CDI);C:\WINDOWS\system32\DRIVERS\Ch2kPS2.sys [2003-09-04 08:25]
S3 FTLUND;Lundinova Filter Driver;C:\WINDOWS\system32\drivers\ftlund.sys [2004-01-19 16:27]
S3 gsplittm;gsplittm;C:\DOKUME~1\****\LOKALE~1\Temp\gsplittm.sys []
S3 PhilCam8116_XP;Logitech QuickCam Pro 3000(PID_08B1);C:\WINDOWS\system32\DRIVERS\CamDrL20.sys [2004-05-21 20:16]
S4 cdawdm;CDAWDM;C:\WINDOWS\system32\DRIVERS\CDAWDM.sys []

.
Inhalt des "geplante Tasks" Ordners
"2008-01-20 15:18:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-02-04 14:09:34 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
"2007-02-06 20:43:43 C:\WINDOWS\Tasks\MTR_Tab.job"
- C:\Programme\Recorder\Recorder.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-02-04 15:45:45
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
msnmsgr = "C:\Programme\MSN Messenger\msnmsgr.exe" /background?r

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-04 15:46:43
ComboFix-quarantined-files.txt 2008-02-04 14:46:39
ComboFix2.txt 2008-02-03 01:57:31
ComboFix3.txt 2008-02-02 20:41:41
.
2008-01-02 21:38:28 --- E O F ---

Alt 05.02.2008, 22:27   #13
Spinz
 
Hidden Files Trojaner? (HJt Logfile) - Standard

Hidden Files Trojaner? (HJt Logfile)



Und der Activescan noch:


Incident Status Location

Adware:adware/atlas Not disinfected c:\windows\switpc.dat
Adware:adware/toprebates Not disinfected c:\programme\WebRebates4
Adware:adware/abox Not disinfected Windows Registry
Adware:adware/quicksearch Not disinfected Windows Registry
Adware:adware/keenvalue Not disinfected Windows Registry
Potentially unwanted tool:application/myway Not disinfected HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}
Spyware:Cookie/TopRebates.com Not disinfected C:\Dokumente und Einstellungen\****\Cookies\****@toprebates[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\****\Cookies\****@atdmt[2].txt
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\****\Cookies\****@atwola[1].txt
Potentially unwanted tool:Application/NirCmd.A Not disinfected C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe[327882R2FWJFW\nircmd.com]
Potentially unwanted tool:Application/NirCmd.A Not disinfected C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe[327882R2FWJFW\nircmd.cfexe]
Spyware:Spyware/BetterInet Not disinfected C:\Programme\Common files\SearchUpgrader\system.cfg
Virus:W32/Lineage.HHP.worm Disinfected C:\QUARANTINE\A0309418.dll
Virus:W32/Lineage.HHP.worm Disinfected C:\QUARANTINE\A0309449.dll
Virus:W32/Lineage.HHP.worm Disinfected C:\QUARANTINE\A0309522.dll
Potentially unwanted tool:Application/NirCmd.A Not disinfected C:\WINDOWS\Nircmd.exe
Potentially unwanted tool:Application/CloseApp Not disinfected C:\WINDOWS\system32\closeapp.exe


Der hat auch noch einiges gefunden.

Zu den Externen Speichermedien eine Frage:

Wie kann ich diese reinigen ohne das ich den Tojander gleich wieder auf meinen PC bekomme? Da ja anscheinend der installer im MBR ist bzw. beim Autostart direkt ausgeführt wird. Gibt es eine möglichkeit die Externen Speichermedien zu reinigen ohne meinen PC wieder zu infizieren?

Gruss & Danke

Alt 05.02.2008, 23:10   #14
BataAlexander
> MalwareDB
 
Hidden Files Trojaner? (HJt Logfile) - Standard

Hidden Files Trojaner? (HJt Logfile)



Die "Infektionen" sind nun nicht weiter schlimm.

Über Start / Einstellungen / Systemsteuereung / Software
die Programme
Zitat:
WebRates
SearchUpgrader
deinstallieren. Falls eines der Programme nicht zu finden ist, mach Dir keine Gedanken.
Lösche händisch

c:\windows\switpc.dat (Datei)
c:\programme\WebRebates4 (Ordner)
C:\Programme\Common files\SearchUpgrader (Ordner)

Zitat:
Wie kann ich diese reinigen ohne das ich den Tojander gleich wieder auf meinen PC bekomme?
Hier eine Anleitung dazu.

Dann sollte der Rechner erst mal wieder sauber sein.

Alt 05.02.2008, 23:29   #15
Spinz
 
Hidden Files Trojaner? (HJt Logfile) - Standard

Hidden Files Trojaner? (HJt Logfile)



Perfekt!

Allerbesten Dank und "Hut ab". Der Support hier im Forum ist einsame Spitze!!!!!

Antwort

Themen zu Hidden Files Trojaner? (HJt Logfile)
ad-aware, adobe, ausgehen, bho, confused, desktop, einstellungen, firefox, helper, hijack, hijackthis, internet, internet explorer, launch, logfile, mozilla, mozilla firefox, mp3, pop-up-blocker, problem, rundll, scan, software, spyware, studio, sweetim, system, trojaner, trojaner?, urlsearchhook, virus, windows, windows xp



Ähnliche Themen: Hidden Files Trojaner? (HJt Logfile)


  1. VISTA IE TEMP FILES verdächtige hidden folders FIREFOX URLS blockiert RU connections
    Plagegeister aller Art und deren Bekämpfung - 28.05.2015 (1)
  2. Log Files Beurteilung: insb. Vorgehen bei Meldung in Log Files "Files to move or delete:..."
    Log-Analyse und Auswertung - 20.05.2014 (15)
  3. Hidden Files bei Sophos
    Plagegeister aller Art und deren Bekämpfung - 07.04.2014 (9)
  4. Was sind die Hidden Programme bl und ph ?
    Log-Analyse und Auswertung - 15.03.2014 (8)
  5. Hilfe: Avast hat Rootkit hidden files in WinSxS Ordner gefunden
    Log-Analyse und Auswertung - 17.01.2014 (5)
  6. C:\Program Files(x86)\HomeTab\TBUpdater.dll bekomme ständig diese meldung ,ich poste mal die 2 logfile
    Log-Analyse und Auswertung - 28.07.2013 (21)
  7. PUM.Hijack.System.Hidden
    Plagegeister aller Art und deren Bekämpfung - 14.07.2012 (1)
  8. O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSetting
    Mülltonne - 02.07.2012 (0)
  9. C:\Program Files (x86)\Intel\Intel(R) Management\LMS\LMS.exe | OLT Logfile auswertung
    Log-Analyse und Auswertung - 02.05.2012 (3)
  10. HijackThis Logfile O4 - HKCU\..\Run: [AV] C:\Program Files\AV\Antivir.exe
    Log-Analyse und Auswertung - 18.01.2010 (1)
  11. Fehlende Files im Logfile erkannt
    Log-Analyse und Auswertung - 12.09.2009 (1)
  12. Hidden Drivers...
    Plagegeister aller Art und deren Bekämpfung - 09.08.2009 (4)
  13. Hidden Object
    Plagegeister aller Art und deren Bekämpfung - 30.03.2009 (3)
  14. Hidden Files
    Mülltonne - 27.11.2008 (0)
  15. Hidden Files (OS WIN XP PRO SP3)
    Log-Analyse und Auswertung - 02.11.2008 (1)
  16. About:Blank, Hidden.DLL?
    Log-Analyse und Auswertung - 16.03.2005 (1)
  17. logfile/unbekannte files...bitte hilfe
    Log-Analyse und Auswertung - 25.02.2005 (1)

Zum Thema Hidden Files Trojaner? (HJt Logfile) - Hallo zusammen Ich denke ich habe mir einen ziemlich miesen Trojaner eingefangen. Ich habe das Problem, das ich meine Hidden Files nicht mehr sehen kann. Sobald ich "Alle Dateien und - Hidden Files Trojaner? (HJt Logfile)...
Archiv
Du betrachtest: Hidden Files Trojaner? (HJt Logfile) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.