Trojanische Pferd TR/Agent.VB.CB

myrtille · 03.02.2008, 17:54

Wie siehts denn nu mit USB-Sticks und ähnlichem aus? Wie hast du dich infiziert?

Lade dir mal Combofix und lasse es über dein System laufen.
Während des Scans bitte nichts anderes tun! Wenn der Rechner neustarten will, dies zulassen.

Poste das Log dann hier.

lg myrtille

snooptb · 03.02.2008, 18:23

Zitat:

Zitat von myrtille

Wie siehts denn nu mit USB-Sticks und ähnlichem aus? Wie hast du dich infiziert?

Lade dir mal Combofix und lasse es über dein System laufen.
Während des Scans bitte nichts anderes tun! Wenn der Rechner neustarten will, dies zulassen.

Poste das Log dann hier.

lg myrtille

Geht leider nicht! Habe alles deaktiviert aber es kommt immer:

"kmd.exe" konnte nicht gefunden werden!

myrtille · 03.02.2008, 18:43

Ist das eine Meldung von Combofix? Ich geh mal davon aus....

Versuch es erneut. Eigentlich gibt es keinen trifftigen Grund, dass es nicht funktionieren sollte. Lade dir Combofix erneut runter und speichere es aufm Desktop. Führe es von dort aus.

Sollte das auch nicht gehen, dann versuch es im abgesicherten Modus.

lg myritlle

snooptb · 03.02.2008, 19:29

so, es hat geklappt im abgesicherten Modus! Danke

Hier der Bericht:

ComboFix 08-02.03.1 - Administrator 2008-02-03 19:16:20.1 - NTFSx86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1754 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
D:\Autorun.inf
E:\Autorun.inf

----- BITS: Possible infected sites -----

hxxp://www.download.windowsupdate.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-01-03 bis 2008-02-03 ))))))))))))))))))))))))))))))
.

2008-02-03 19:14 . 2008-02-03 19:14 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-02-03 19:13 . 2007-12-30 14:49 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-03 19:13 . 2007-12-30 14:41 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-02-03 19:13 . 2007-12-30 14:41 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-03 19:13 . 2007-12-30 14:41 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-03 19:13 . 2007-12-30 14:41 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-03 19:13 . 2007-12-30 14:41 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-03 19:13 . 2008-02-03 19:14 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-02-02 18:38 . 2008-02-02 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\DivX
2008-02-02 18:37 . 2008-02-03 19:10 106 --a------ C:\WINDOWS\system32\KillAll.bat
2008-02-02 12:59 . 2008-02-02 12:59 <DIR> d-------- C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\Flickr
2008-01-30 22:54 . 2008-02-02 21:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-30 22:54 . 2008-01-30 22:54 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-27 15:54 . 2008-01-27 15:54 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-01-27 15:54 . 2008-01-27 15:54 <DIR> d-------- C:\Programme\eBay
2008-01-27 15:54 . 2008-01-27 15:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\eBay
2008-01-25 18:16 . 2008-01-25 18:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DataDesign
2008-01-20 13:38 . 2008-01-20 13:38 <DIR> d-------- C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\InstallShield
2008-01-20 12:58 . 2008-01-20 13:24 134 --a------ C:\WINDOWS\LXfoIn54.INI
2008-01-17 00:57 . 2008-01-17 00:57 <DIR> d-------- C:\WINDOWS\Sun
2008-01-17 00:05 . 2008-01-17 00:05 <DIR> d-------- C:\Programme\Windows Live Favorites
2008-01-17 00:04 . 2008-01-17 00:05 <DIR> d-------- C:\Programme\Windows Live Toolbar
2008-01-16 18:26 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-16 18:25 . 2008-01-16 18:26 <DIR> d-------- C:\Programme\DivX
2008-01-16 18:08 . 2008-01-16 18:08 <DIR> d-------- C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\Apple Computer
2008-01-16 18:07 . 2008-01-16 18:07 <DIR> d-------- C:\Programme\QuickTime
2008-01-16 18:07 . 2008-01-16 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-16 18:06 . 2008-01-16 18:06 <DIR> d-------- C:\Programme\Apple Software Update
2008-01-16 18:06 . 2008-01-16 18:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-01-13 10:37 . 2008-01-13 10:37 <DIR> d-------- C:\Programme\phase5
2008-01-10 19:22 . 2008-01-10 19:22 <DIR> d--h----- C:\WINDOWS\PIF
2008-01-10 18:30 . 2008-01-10 18:33 <DIR> d-------- C:\Programme\Powerbullet
2008-01-10 18:30 . 2008-01-10 18:30 <DIR> d-------- C:\Programme\Common Files
2008-01-10 15:27 . 2008-01-10 15:27 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-01-10 15:27 . 2008-01-10 15:27 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-01-08 18:40 . 2008-01-08 18:40 345,378 --a------ C:\8182.jpg
2008-01-08 18:38 . 2008-01-08 18:38 421,987 --a------ C:\8159.jpg
2008-01-08 18:37 . 2008-01-08 18:37 432,081 --a------ C:\8151.jpg
2008-01-08 18:36 . 2008-01-08 18:36 431,858 --a------ C:\8145.jpg
2008-01-08 18:36 . 2008-01-08 18:36 385,021 --a------ C:\8143.jpg
2008-01-08 18:36 . 2008-01-08 18:36 380,561 --a------ C:\8135.jpg
2008-01-08 18:36 . 2008-01-08 18:36 352,086 --a------ C:\8142.jpg
2008-01-08 18:36 . 2008-01-08 18:36 341,360 --a------ C:\8137.jpg
2008-01-08 18:36 . 2008-01-08 18:36 341,360 --a------ C:\8136.jpg
2008-01-08 18:36 . 2008-01-08 18:36 331,060 --a------ C:\8139.jpg
2008-01-08 18:36 . 2008-01-08 18:36 330,359 --a------ C:\8140.jpg
2008-01-08 18:36 . 2008-01-08 18:36 326,856 --a------ C:\8141.jpg
2008-01-08 18:36 . 2008-01-08 18:36 321,196 --a------ C:\8138.jpg
2008-01-08 18:36 . 2008-01-08 18:36 308,450 --a------ C:\8144.jpg
2008-01-08 18:34 . 2008-01-08 18:34 720,251 --a------ C:\8116.jpg
2008-01-08 18:33 . 2008-01-08 18:33 696,761 --a------ C:\8110.jpg
2008-01-08 18:33 . 2008-01-08 18:33 538,318 --a------ C:\8109.jpg
2008-01-08 18:33 . 2008-01-08 18:33 537,075 --a------ C:\8108.jpg
2008-01-08 18:33 . 2008-01-08 18:33 482,136 --a------ C:\8100.jpg
2008-01-08 18:33 . 2008-01-08 18:33 455,066 --a------ C:\8105.jpg
2008-01-08 18:33 . 2008-01-08 18:33 455,065 --a------ C:\8107.jpg
2008-01-08 18:33 . 2008-01-08 18:33 454,985 --a------ C:\8106.jpg
2008-01-08 18:33 . 2008-01-08 18:33 454,978 --a------ C:\8104.jpg
2008-01-08 18:33 . 2008-01-08 18:33 454,978 --a------ C:\8103.jpg
2008-01-08 18:33 . 2008-01-08 18:33 454,978 --a------ C:\8102.jpg
2008-01-08 18:33 . 2008-01-08 18:33 446,444 --a------ C:\8101.jpg
2008-01-08 18:31 . 2008-01-08 18:31 397,733 --a------ C:\8081.jpg
2008-01-08 18:30 . 2008-01-08 18:30 397,660 --a------ C:\8075.jpg
2008-01-08 18:29 . 2008-01-08 18:29 338,915 --a------ C:\8054.jpg
2008-01-08 18:29 . 2008-01-08 18:29 310,019 --a------ C:\8063.jpg
2008-01-08 18:29 . 2008-01-08 18:29 308,071 --a------ C:\8053.jpg
2008-01-08 18:29 . 2008-01-08 18:29 298,339 --a------ C:\8061.jpg
2008-01-08 18:29 . 2008-01-08 18:29 298,249 --a------ C:\8060.jpg
2008-01-08 18:29 . 2008-01-08 18:29 294,108 --a------ C:\8059.jpg
2008-01-08 18:29 . 2008-01-08 18:29 280,715 --a------ C:\8062.jpg
2008-01-08 18:29 . 2008-01-08 18:29 261,417 --a------ C:\8056.jpg
2008-01-08 18:29 . 2008-01-08 18:29 253,286 --a------ C:\8055.jpg
2008-01-08 18:29 . 2008-01-08 18:29 247,138 --a------ C:\8058.jpg
2008-01-08 18:29 . 2008-01-08 18:29 231,453 --a------ C:\8057.jpg
2008-01-08 18:27 . 2008-01-08 18:27 392,515 --a------ C:\8035.jpg
2008-01-08 18:26 . 2008-01-08 18:26 407,021 --a------ C:\8027.jpg
2008-01-08 18:26 . 2008-01-08 18:26 307,833 --a------ C:\8024.jpg
2008-01-08 18:26 . 2008-01-08 18:26 298,844 --a------ C:\8023.jpg
2008-01-08 18:26 . 2008-01-08 18:26 292,816 --a------ C:\8019.jpg
2008-01-08 18:26 . 2008-01-08 18:26 292,358 --a------ C:\8020.jpg
2008-01-08 18:26 . 2008-01-08 18:26 289,583 --a------ C:\8022.jpg
2008-01-08 18:26 . 2008-01-08 18:26 286,819 --a------ C:\8018.jpg
2008-01-08 18:26 . 2008-01-08 18:26 286,588 --a------ C:\8021.jpg
2008-01-08 18:26 . 2008-01-08 18:26 261,204 --a------ C:\8028.jpg
2008-01-08 18:26 . 2008-01-08 18:26 253,662 --a------ C:\8026.jpg
2008-01-08 18:26 . 2008-01-08 18:26 252,017 --a------ C:\8025.jpg
2008-01-08 18:24 . 2008-01-08 18:24 401,804 --a------ C:\8005.jpg
2008-01-08 18:23 . 2008-01-08 18:23 407,319 --a------ C:\7985.jpg
2008-01-08 18:23 . 2008-01-08 18:23 354,521 --a------ C:\7988.jpg
2008-01-08 18:23 . 2008-01-08 18:23 353,843 --a------ C:\7990.jpg
2008-01-08 18:23 . 2008-01-08 18:23 353,843 --a------ C:\7989.jpg
2008-01-08 18:23 . 2008-01-08 18:23 351,181 --a------ C:\7987.jpg
2008-01-08 18:23 . 2008-01-08 18:23 337,429 --a------ C:\7993.jpg
2008-01-08 18:23 . 2008-01-08 18:23 331,712 --a------ C:\7992.jpg
2008-01-08 18:23 . 2008-01-08 18:23 267,688 --a------ C:\7984.jpg
2008-01-08 18:23 . 2008-01-08 18:23 267,653 --a------ C:\7983.jpg
2008-01-08 18:23 . 2008-01-08 18:23 249,520 --a------ C:\7986.jpg
2008-01-08 18:23 . 2008-01-08 18:23 239,865 --a------ C:\7991.jpg
2008-01-08 18:21 . 2008-01-08 18:21 365,610 --a------ C:\7960.jpg
2008-01-08 18:20 . 2008-01-08 18:20 438,313 --a------ C:\7948.jpg

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-03 18:10 0 ----a-w C:\WINDOWS\system32\drivers\lvuvc.hs
2008-02-03 18:10 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\Skype
2008-02-03 17:02 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\skypePM
2008-02-02 12:56 --------- d-----w C:\Programme\Flickr Uploadr
2008-01-30 20:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-01-25 17:16 --------- d-----w C:\Programme\Lexware
2008-01-25 17:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Lexware
2008-01-25 17:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware
2008-01-25 17:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-22 20:00 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\FileZilla
2008-01-19 14:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BTrieve
2008-01-16 17:26 --------- d-----w C:\Programme\Java
2008-01-13 16:02 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-05 15:05 507,904 ----a-w C:\WINDOWS\system32\Winlogon.exe
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-12-30 20:35 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\Lexware
2007-12-30 20:11 306,432 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe
2007-12-30 20:11 --------- d-----w C:\Programme\TuneUp Utilities 2008
2007-12-30 20:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-30 20:11 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\TuneUp Software
2007-12-30 20:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2007-12-30 19:53 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\Nero
2007-12-30 19:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2007-12-30 19:50 --------- d-----w C:\Programme\Nero
2007-12-30 19:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-12-30 19:41 --------- d-----w C:\Programme\Gemeinsame Dateien\DAO
2007-12-30 19:41 --------- d-----w C:\Programme\dakotaag
2007-12-30 19:40 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-30 19:35 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\Zeon
2007-12-30 19:34 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\ScanSoft
2007-12-30 19:26 --------- d-----w C:\Programme\Haufe
2007-12-30 19:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Haufe
2007-12-30 18:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2007-12-30 18:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2007-12-30 18:45 --------- d-----w C:\Programme\ScanSoft
2007-12-30 18:30 --------- d-----w C:\Programme\Bonjour
2007-12-30 18:26 --------- d-----w C:\Programme\BitComet
2007-12-30 18:22 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-12-30 18:21 --------- d-----w C:\Programme\Skype
2007-12-30 18:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-12-30 18:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-12-30 18:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared
2007-12-30 18:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2007-12-30 18:03 --------- d-----w C:\Programme\FileZilla Client
2007-12-30 18:02 --------- d-----w C:\Programme\VideoLAN
2007-12-30 18:02 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\vlc
2007-12-30 17:51 --------- d-----w C:\Programme\MOBackup
2007-12-30 17:41 --------- d-----w C:\Programme\MSBuild
2007-12-30 17:41 --------- d-----w C:\Programme\Microsoft Works
2007-12-30 17:39 --------- d-----w C:\Programme\Microsoft.NET
2007-12-30 17:38 --------- d-----w C:\Programme\Microsoft Visual Studio 8
2007-12-30 17:09 --------- d-----w C:\Programme\Avira
2007-12-30 17:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-30 15:01 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\ATI
2007-12-30 14:58 --------- d-----w C:\Programme\ATI Technologies
2007-12-30 13:55 --------- d-----w C:\Programme\microsoft frontpage
2007-12-30 13:54 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-12-30 13:51 --------- d-----w C:\Programme\Online-Dienste
2007-12-30 13:50 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-12-30 13:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-12-30 13:41 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-12-30 13:41 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-12-19 18:59 49,152 ----a-r C:\WINDOWS\system32\inetwh32.dll
2007-12-19 18:59 1,044,480 ----a-r C:\WINDOWS\system32\roboex32.dll
2007-12-12 09:52 1,191,936 ----a-w C:\WINDOWS\system32\LXtool65VC8.dll
2007-12-11 12:41 81,920 ----a-w C:\WINDOWS\system32\LxUISettings10VC8.dll
2007-12-11 12:41 81,920 ----a-w C:\WINDOWS\system32\LxCI12.dll
2007-12-11 12:41 716,800 ----a-w C:\WINDOWS\system32\lxter20VC8.dll
2007-12-11 12:41 61,440 ----a-w C:\WINDOWS\system32\LXCurr12VC8.dll
2007-12-11 12:41 552,960 ----a-w C:\WINDOWS\system32\zvkonline65VC8.dll
2007-12-11 12:41 5,701,632 ----a-w C:\WINDOWS\system32\LxXtreme50VC8.dll
2007-12-11 12:41 319,488 ----a-w C:\WINDOWS\system32\LxImport65VC8.dll
2007-12-11 12:41 27,648 ----a-w C:\WINDOWS\system32\LXTPSW20VC8.dll
2007-12-11 12:41 241,664 ----a-w C:\WINDOWS\system32\LXBtr65VC8.dll
2007-12-11 12:41 188,416 ----a-w C:\WINDOWS\system32\LXDasi65VC8.dll
2007-12-11 12:41 180,224 ----a-w C:\WINDOWS\system32\LxBasics65VC8.dll
2007-12-11 12:41 131,072 ----a-w C:\WINDOWS\system32\LxMail30VC8.dll
2007-12-11 12:41 1,556,480 ----a-w C:\WINDOWS\system32\LxXtreme40VC8.dll
2007-12-04 01:08 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-12-04 01:08 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-12-04 01:08 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-12-04 01:08 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-12-04 01:08 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-12-04 01:08 118,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-11-16 01:33 1,409,024 ----a-w C:\WINDOWS\system32\FormAssi50.dll
2007-11-15 23:50 57,344 ----a-w C:\WINDOWS\system32\FKStampPainter20.dll
2007-11-15 20:31 208,896 ----a-w C:\WINDOWS\system32\LXPrnUtil10.dll
2007-11-15 20:27 303,104 ----a-w C:\WINDOWS\system32\dnt27VC8.dll
2007-11-15 20:25 90,112 ----a-w C:\WINDOWS\system32\dntvmc27VC8.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"NeroHomeFirstStart"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe" [2007-08-03 12:51 19240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"RTHDCPL"="RTHDCPL.EXE" [2006-02-27 17:28 16005120 C:\WINDOWS\RTHDCPL.EXE]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41 45056]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-30 18:10 249896]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 15:21 61952 C:\WINDOWS\system32\HdAShCut.exe]
"Adobe Photo Downloader"="C:\Programme\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe" [2007-12-04 02:07 61440]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"LexwareInfoService"="C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 13:59 532776]
"NoooH"="C:\WINDOWS\Web\Sys.exe" [2007-03-05 08:20 36864]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
"ScanSoft OmniPage 16-reminder"="C:\Programme\ScanSoft\OmniPage16\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\OmniPage 16\Ereg\Ereg.ini"
"ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

S2 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2007-09-07 03:17]
S2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2005-06-20 08:12]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2007-12-30 21:11]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-02-01 17:59:03 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
"2008-01-28 21:54:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-02-03 17:41:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-03 19:20:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-03 19:21:13
ComboFix-quarantined-files.txt 2008-02-03 18:21:11
.
2008-01-10 02:02:00 --- E O F ---

myrtille · 03.02.2008, 20:04

Hi,
da ist einiges übergeblieben. Die folgenden Schritte können deinen Rechner in Mitleidenschaft ziehen, sie sind allerdings zur Bereinigung deines Rechners notwendig.
Als Alternative könntest du Neuaufsetzen.

Kopiere Folgendes in einen Editor:

Zitat:

File::
C:\WINDOWS\Web\Sys.exe
C:\WINDOWS\system32\KillAll.bat
C:\8182.jpg
C:\8159.jpg
C:\8151.jpg
C:\8145.jpg
C:\8143.jpg
C:\8135.jpg
C:\8142.jpg
C:\8137.jpg
C:\8136.jpg
C:\8139.jpg
C:\8140.jpg
C:\8141.jpg
C:\8138.jpg
C:\8144.jpg
C:\8116.jpg
C:\8110.jpg
C:\8109.jpg
C:\8108.jpg
C:\8100.jpg
C:\8105.jpg
C:\8107.jpg
C:\8106.jpg
C:\8104.jpg
C:\8103.jpg
C:\8102.jpg
C:\8101.jpg
C:\8081.jpg
C:\8075.jpg
C:\8054.jpg
C:\8063.jpg
C:\8053.jpg
C:\8061.jpg
C:\8060.jpg
C:\8059.jpg
C:\8062.jpg
C:\8056.jpg
C:\8055.jpg
C:\8058.jpg
C:\8057.jpg
C:\8035.jpg
C:\8027.jpg
C:\8024.jpg
C:\8023.jpg
C:\8019.jpg
C:\8020.jpg
C:\8022.jpg
C:\8018.jpg
C:\8021.jpg
C:\8028.jpg
C:\8026.jpg
C:\8025.jpg
C:\8005.jpg
C:\7985.jpg
C:\7988.jpg
C:\7990.jpg
C:\7989.jpg
C:\7987.jpg
C:\7993.jpg
C:\7992.jpg
C:\7984.jpg
C:\7983.jpg
C:\7986.jpg
C:\7991.jpg
C:\7960.jpg
C:\7948.jpg

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NoooH"=-

speichere dies nun als "CFScript" ab
(Stelle dabei sicher, dass du als "Dateityp" "alle Dateitypen" anwählst und die Datei keine Endung hat)
Ziehe dann die Datei cfscipt auf combofix.exe,
Es sollte sich nun ein Fenster öffnen, lass den Scan bis zum Schluß durchlaufen, auch wenn deine Desktopicons verschwinden.
Die Logdatei öffnet sich am Schluß des Scans, ihren Inhalt dann bitte hier posten.

Mache danach bitte einen Scan mit eScan: Anleitung

Poste das Ergebnis der find.bat hier, sowie das Combofixlog.

Danach kümmern wie uns um deine Rechte.

lg myrtille

snooptb · 03.02.2008, 20:36

ok, alles nach Anleitung gemacht!

Folgender Bericht:

ComboFix 08-02.03.1 - Administrator 2008-02-03 20:25:34.2 - NTFSx86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1785 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: D:\CFScript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE
C:\7948.jpg
C:\7960.jpg
C:\7983.jpg
C:\7984.jpg
C:\7985.jpg
C:\7986.jpg
C:\7987.jpg
C:\7988.jpg
C:\7989.jpg
C:\7990.jpg
C:\7991.jpg
C:\7992.jpg
C:\7993.jpg
C:\8005.jpg
C:\8018.jpg
C:\8019.jpg
C:\8020.jpg
C:\8021.jpg
C:\8022.jpg
C:\8023.jpg
C:\8024.jpg
C:\8025.jpg
C:\8026.jpg
C:\8027.jpg
C:\8028.jpg
C:\8035.jpg
C:\8053.jpg
C:\8054.jpg
C:\8055.jpg
C:\8056.jpg
C:\8057.jpg
C:\8058.jpg
C:\8059.jpg
C:\8060.jpg
C:\8061.jpg
C:\8062.jpg
C:\8063.jpg
C:\8075.jpg
C:\8081.jpg
C:\8100.jpg
C:\8101.jpg
C:\8102.jpg
C:\8103.jpg
C:\8104.jpg
C:\8105.jpg
C:\8106.jpg
C:\8107.jpg
C:\8108.jpg
C:\8109.jpg
C:\8110.jpg
C:\8116.jpg
C:\8135.jpg
C:\8136.jpg
C:\8137.jpg
C:\8138.jpg
C:\8139.jpg
C:\8140.jpg
C:\8141.jpg
C:\8142.jpg
C:\8143.jpg
C:\8144.jpg
C:\8145.jpg
C:\8151.jpg
C:\8159.jpg
C:\8182.jpg
C:\WINDOWS\system32\KillAll.bat
C:\WINDOWS\Web\Sys.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\7948.jpg
C:\7960.jpg
C:\7983.jpg
C:\7984.jpg
C:\7985.jpg
C:\7986.jpg
C:\7987.jpg
C:\7988.jpg
C:\7989.jpg
C:\7990.jpg
C:\7991.jpg
C:\7992.jpg
C:\7993.jpg
C:\8005.jpg
C:\8018.jpg
C:\8019.jpg
C:\8020.jpg
C:\8021.jpg
C:\8022.jpg
C:\8023.jpg
C:\8024.jpg
C:\8025.jpg
C:\8026.jpg
C:\8027.jpg
C:\8028.jpg
C:\8035.jpg
C:\8053.jpg
C:\8054.jpg
C:\8055.jpg
C:\8056.jpg
C:\8057.jpg
C:\8058.jpg
C:\8059.jpg
C:\8060.jpg
C:\8061.jpg
C:\8062.jpg
C:\8063.jpg
C:\8075.jpg
C:\8081.jpg
C:\8100.jpg
C:\8101.jpg
C:\8102.jpg
C:\8103.jpg
C:\8104.jpg
C:\8105.jpg
C:\8106.jpg
C:\8107.jpg
C:\8108.jpg
C:\8109.jpg
C:\8110.jpg
C:\8116.jpg
C:\8135.jpg
C:\8136.jpg
C:\8137.jpg
C:\8138.jpg
C:\8139.jpg
C:\8140.jpg
C:\8141.jpg
C:\8142.jpg
C:\8143.jpg
C:\8144.jpg
C:\8145.jpg
C:\8151.jpg
C:\8159.jpg
C:\8182.jpg
C:\WINDOWS\system32\KillAll.bat
C:\WINDOWS\Web\Sys.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-03 bis 2008-02-03 ))))))))))))))))))))))))))))))
.

2008-02-03 19:14 . 2008-02-03 19:14 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-02-03 19:13 . 2007-12-30 14:49 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-03 19:13 . 2007-12-30 14:41 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-02-03 19:13 . 2007-12-30 14:41 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-03 19:13 . 2008-02-03 19:21 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-03 19:13 . 2007-12-30 14:41 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-03 19:13 . 2007-12-30 14:41 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-03 19:13 . 2008-02-03 19:14 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-02-02 18:38 . 2008-02-02 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\DivX
2008-02-02 12:59 . 2008-02-02 12:59 <DIR> d-------- C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\Flickr
2008-01-30 22:54 . 2008-02-02 21:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-30 22:54 . 2008-01-30 22:54 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-27 15:54 . 2008-01-27 15:54 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-01-27 15:54 . 2008-01-27 15:54 <DIR> d-------- C:\Programme\eBay
2008-01-27 15:54 . 2008-01-27 15:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\eBay
2008-01-25 18:16 . 2008-01-25 18:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DataDesign
2008-01-20 13:38 . 2008-01-20 13:38 <DIR> d-------- C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\InstallShield
2008-01-20 12:58 . 2008-01-20 13:24 134 --a------ C:\WINDOWS\LXfoIn54.INI
2008-01-17 00:57 . 2008-01-17 00:57 <DIR> d-------- C:\WINDOWS\Sun
2008-01-17 00:05 . 2008-01-17 00:05 <DIR> d-------- C:\Programme\Windows Live Favorites
2008-01-17 00:04 . 2008-01-17 00:05 <DIR> d-------- C:\Programme\Windows Live Toolbar
2008-01-16 18:26 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-16 18:25 . 2008-01-16 18:26 <DIR> d-------- C:\Programme\DivX
2008-01-16 18:08 . 2008-01-16 18:08 <DIR> d-------- C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\Apple Computer
2008-01-16 18:07 . 2008-01-16 18:07 <DIR> d-------- C:\Programme\QuickTime
2008-01-16 18:07 . 2008-01-16 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-16 18:06 . 2008-01-16 18:06 <DIR> d-------- C:\Programme\Apple Software Update
2008-01-16 18:06 . 2008-01-16 18:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-01-13 10:37 . 2008-01-13 10:37 <DIR> d-------- C:\Programme\phase5
2008-01-10 19:22 . 2008-01-10 19:22 <DIR> d--h----- C:\WINDOWS\PIF
2008-01-10 18:30 . 2008-01-10 18:33 <DIR> d-------- C:\Programme\Powerbullet
2008-01-10 18:30 . 2008-01-10 18:30 <DIR> d-------- C:\Programme\Common Files
2008-01-10 15:27 . 2008-01-10 15:27 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-01-10 15:27 . 2008-01-10 15:27 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-01-08 18:38 . 2008-01-08 18:38 421,987 --a------ C:\8158.jpg
2008-01-08 18:38 . 2008-01-08 18:38 417,991 --a------ C:\8160.jpg
2008-01-08 18:38 . 2008-01-08 18:38 417,949 --a------ C:\8166.jpg
2008-01-08 18:38 . 2008-01-08 18:38 417,949 --a------ C:\8165.jpg
2008-01-08 18:38 . 2008-01-08 18:38 417,949 --a------ C:\8164.jpg
2008-01-08 18:38 . 2008-01-08 18:38 417,949 --a------ C:\8163.jpg
2008-01-08 18:38 . 2008-01-08 18:38 417,949 --a------ C:\8162.jpg
2008-01-08 18:38 . 2008-01-08 18:38 417,949 --a------ C:\8161.jpg
2008-01-08 18:38 . 2008-01-08 18:38 417,905 --a------ C:\8169.jpg
2008-01-08 18:38 . 2008-01-08 18:38 417,905 --a------ C:\8168.jpg
2008-01-08 18:38 . 2008-01-08 18:38 417,905 --a------ C:\8167.jpg
2008-01-08 18:35 . 2008-01-08 18:35 403,917 --a------ C:\8130.jpg
2008-01-08 18:34 . 2008-01-08 18:34 695,811 --a------ C:\8114.jpg
2008-01-08 18:34 . 2008-01-08 18:34 695,806 --a------ C:\8112.jpg
2008-01-08 18:34 . 2008-01-08 18:34 695,765 --a------ C:\8113.jpg
2008-01-08 18:34 . 2008-01-08 18:34 695,743 --a------ C:\8111.jpg
2008-01-08 18:34 . 2008-01-08 18:34 695,472 --a------ C:\8115.jpg
2008-01-08 18:34 . 2008-01-08 18:34 401,645 --a------ C:\8117.jpg
2008-01-08 18:34 . 2008-01-08 18:34 401,610 --a------ C:\8119.jpg
2008-01-08 18:34 . 2008-01-08 18:34 399,066 --a------ C:\8122.jpg
2008-01-08 18:34 . 2008-01-08 18:34 399,066 --a------ C:\8121.jpg
2008-01-08 18:34 . 2008-01-08 18:34 399,066 --a------ C:\8120.jpg
2008-01-08 18:34 . 2008-01-08 18:34 397,222 --a------ C:\8118.jpg
2008-01-08 18:31 . 2008-01-08 18:31 266,237 --a------ C:\8082.jpg
2008-01-08 18:31 . 2008-01-08 18:31 247,574 --a------ C:\8085.jpg
2008-01-08 18:31 . 2008-01-08 18:31 245,076 --a------ C:\8087.jpg
2008-01-08 18:31 . 2008-01-08 18:31 245,076 --a------ C:\8086.jpg
2008-01-08 18:31 . 2008-01-08 18:31 236,963 --a------ C:\8083.jpg
2008-01-08 18:31 . 2008-01-08 18:31 233,319 --a------ C:\8084.jpg
2008-01-08 18:31 . 2008-01-08 18:31 68,954 --a------ C:\8076.jpg
2008-01-08 18:31 . 2008-01-08 18:31 68,915 --a------ C:\8079.jpg
2008-01-08 18:31 . 2008-01-08 18:31 68,910 --a------ C:\8080.jpg
2008-01-08 18:31 . 2008-01-08 18:31 68,907 --a------ C:\8078.jpg
2008-01-08 18:31 . 2008-01-08 18:31 68,875 --a------ C:\8077.jpg
2008-01-08 18:28 . 2008-01-08 18:28 431,603 --a------ C:\8052.jpg
2008-01-08 18:27 . 2008-01-08 18:27 382,048 --a------ C:\8034.jpg
2008-01-08 18:27 . 2008-01-08 18:27 363,338 --a------ C:\8038.jpg
2008-01-08 18:27 . 2008-01-08 18:27 362,532 --a------ C:\8036.jpg
2008-01-08 18:27 . 2008-01-08 18:27 351,836 --a------ C:\8037.jpg
2008-01-08 18:27 . 2008-01-08 18:27 308,418 --a------ C:\8031.jpg
2008-01-08 18:27 . 2008-01-08 18:27 308,410 --a------ C:\8033.jpg
2008-01-08 18:27 . 2008-01-08 18:27 308,231 --a------ C:\8030.jpg
2008-01-08 18:27 . 2008-01-08 18:27 302,269 --a------ C:\8039.jpg
2008-01-08 18:27 . 2008-01-08 18:27 302,096 --a------ C:\8040.jpg
2008-01-08 18:27 . 2008-01-08 18:27 250,919 --a------ C:\8029.jpg
2008-01-08 18:27 . 2008-01-08 18:27 67,946 --a------ C:\8032.jpg
2008-01-08 18:24 . 2008-01-08 18:24 383,074 --a------ C:\7998.jpg
2008-01-08 18:24 . 2008-01-08 18:24 369,485 --a------ C:\8001.jpg
2008-01-08 18:24 . 2008-01-08 18:24 369,363 --a------ C:\8003.jpg
2008-01-08 18:24 . 2008-01-08 18:24 369,307 --a------ C:\8002.jpg
2008-01-08 18:24 . 2008-01-08 18:24 369,217 --a------ C:\7996.jpg
2008-01-08 18:24 . 2008-01-08 18:24 352,778 --a------ C:\7997.jpg
2008-01-08 18:24 . 2008-01-08 18:24 343,606 --a------ C:\7999.jpg
2008-01-08 18:24 . 2008-01-08 18:24 339,686 --a------ C:\7995.jpg
2008-01-08 18:24 . 2008-01-08 18:24 337,398 --a------ C:\7994.jpg
2008-01-08 18:24 . 2008-01-08 18:24 323,899 --a------ C:\8004.jpg
2008-01-08 18:24 . 2008-01-08 18:24 323,582 --a------ C:\8000.jpg
2008-01-08 18:21 . 2008-01-08 18:21 365,610 --a------ C:\7959.jpg
2008-01-08 18:21 . 2008-01-08 18:21 363,730 --a------ C:\7961.jpg
2008-01-08 18:21 . 2008-01-08 18:21 315,125 --a------ C:\7968.jpg
2008-01-08 18:21 . 2008-01-08 18:21 315,125 --a------ C:\7967.jpg
2008-01-08 18:21 . 2008-01-08 18:21 315,099 --a------ C:\7969.jpg
2008-01-08 18:21 . 2008-01-08 18:21 302,499 --a------ C:\7964.jpg
2008-01-08 18:21 . 2008-01-08 18:21 302,499 --a------ C:\7963.jpg
2008-01-08 18:21 . 2008-01-08 18:21 287,465 --a------ C:\7966.jpg
2008-01-08 18:21 . 2008-01-08 18:21 287,440 --a------ C:\7965.jpg

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-03 18:56 --------- d-----w C:\Programme\MOBackup
2008-02-03 18:53 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\Skype
2008-02-03 18:26 0 ----a-w C:\WINDOWS\system32\drivers\lvuvc.hs
2008-02-03 17:02 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\skypePM
2008-02-02 12:56 --------- d-----w C:\Programme\Flickr Uploadr
2008-01-30 20:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-01-25 17:16 --------- d-----w C:\Programme\Lexware
2008-01-25 17:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Lexware
2008-01-25 17:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware
2008-01-25 17:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-22 20:00 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\FileZilla
2008-01-19 14:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BTrieve
2008-01-16 17:26 --------- d-----w C:\Programme\Java
2008-01-13 16:02 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-05 15:05 507,904 ----a-w C:\WINDOWS\system32\Winlogon.exe
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-12-30 20:35 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\Lexware
2007-12-30 20:11 306,432 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe
2007-12-30 20:11 --------- d-----w C:\Programme\TuneUp Utilities 2008
2007-12-30 20:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-30 20:11 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\TuneUp Software
2007-12-30 20:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2007-12-30 19:53 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\Nero
2007-12-30 19:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2007-12-30 19:50 --------- d-----w C:\Programme\Nero
2007-12-30 19:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-12-30 19:41 --------- d-----w C:\Programme\Gemeinsame Dateien\DAO
2007-12-30 19:41 --------- d-----w C:\Programme\dakotaag
2007-12-30 19:40 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-30 19:35 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\Zeon
2007-12-30 19:34 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\ScanSoft
2007-12-30 19:26 --------- d-----w C:\Programme\Haufe
2007-12-30 19:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Haufe
2007-12-30 18:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2007-12-30 18:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2007-12-30 18:45 --------- d-----w C:\Programme\ScanSoft
2007-12-30 18:30 --------- d-----w C:\Programme\Bonjour
2007-12-30 18:26 --------- d-----w C:\Programme\BitComet
2007-12-30 18:22 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-12-30 18:21 --------- d-----w C:\Programme\Skype
2007-12-30 18:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-12-30 18:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-12-30 18:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared
2007-12-30 18:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2007-12-30 18:03 --------- d-----w C:\Programme\FileZilla Client
2007-12-30 18:02 --------- d-----w C:\Programme\VideoLAN
2007-12-30 18:02 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\vlc
2007-12-30 17:41 --------- d-----w C:\Programme\MSBuild
2007-12-30 17:41 --------- d-----w C:\Programme\Microsoft Works
2007-12-30 17:39 --------- d-----w C:\Programme\Microsoft.NET
2007-12-30 17:38 --------- d-----w C:\Programme\Microsoft Visual Studio 8
2007-12-30 17:09 --------- d-----w C:\Programme\Avira
2007-12-30 17:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-30 15:01 --------- d-----w C:\Dokumente und Einstellungen\Tommy\Anwendungsdaten\ATI
2007-12-30 14:58 --------- d-----w C:\Programme\ATI Technologies
2007-12-30 13:55 --------- d-----w C:\Programme\microsoft frontpage
2007-12-30 13:54 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-12-30 13:51 --------- d-----w C:\Programme\Online-Dienste
2007-12-30 13:50 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-12-30 13:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-12-30 13:41 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-12-30 13:41 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-12-19 18:59 49,152 ----a-r C:\WINDOWS\system32\inetwh32.dll
2007-12-19 18:59 1,044,480 ----a-r C:\WINDOWS\system32\roboex32.dll
2007-12-12 09:52 1,191,936 ----a-w C:\WINDOWS\system32\LXtool65VC8.dll
2007-12-11 12:41 81,920 ----a-w C:\WINDOWS\system32\LxUISettings10VC8.dll
2007-12-11 12:41 81,920 ----a-w C:\WINDOWS\system32\LxCI12.dll
2007-12-11 12:41 716,800 ----a-w C:\WINDOWS\system32\lxter20VC8.dll
2007-12-11 12:41 61,440 ----a-w C:\WINDOWS\system32\LXCurr12VC8.dll
2007-12-11 12:41 552,960 ----a-w C:\WINDOWS\system32\zvkonline65VC8.dll
2007-12-11 12:41 5,701,632 ----a-w C:\WINDOWS\system32\LxXtreme50VC8.dll
2007-12-11 12:41 319,488 ----a-w C:\WINDOWS\system32\LxImport65VC8.dll
2007-12-11 12:41 27,648 ----a-w C:\WINDOWS\system32\LXTPSW20VC8.dll
2007-12-11 12:41 241,664 ----a-w C:\WINDOWS\system32\LXBtr65VC8.dll
2007-12-11 12:41 188,416 ----a-w C:\WINDOWS\system32\LXDasi65VC8.dll
2007-12-11 12:41 180,224 ----a-w C:\WINDOWS\system32\LxBasics65VC8.dll
2007-12-11 12:41 131,072 ----a-w C:\WINDOWS\system32\LxMail30VC8.dll
2007-12-11 12:41 1,556,480 ----a-w C:\WINDOWS\system32\LxXtreme40VC8.dll
2007-12-04 01:08 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-12-04 01:08 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-12-04 01:08 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-12-04 01:08 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-12-04 01:08 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-12-04 01:08 118,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-11-16 01:33 1,409,024 ----a-w C:\WINDOWS\system32\FormAssi50.dll
2007-11-15 23:50 57,344 ----a-w C:\WINDOWS\system32\FKStampPainter20.dll
2007-11-15 20:31 208,896 ----a-w C:\WINDOWS\system32\LXPrnUtil10.dll
2007-11-15 20:27 303,104 ----a-w C:\WINDOWS\system32\dnt27VC8.dll
2007-11-15 20:25 90,112 ----a-w C:\WINDOWS\system32\dntvmc27VC8.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"NeroHomeFirstStart"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe" [2007-08-03 12:51 19240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"RTHDCPL"="RTHDCPL.EXE" [2006-02-27 17:28 16005120 C:\WINDOWS\RTHDCPL.EXE]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41 45056]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-30 18:10 249896]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 15:21 61952 C:\WINDOWS\system32\HdAShCut.exe]
"Adobe Photo Downloader"="C:\Programme\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe" [2007-12-04 02:07 61440]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"LexwareInfoService"="C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 13:59 532776]
"NoooH"="C:\WINDOWS\Web\Sys.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
"ScanSoft OmniPage 16-reminder"="C:\Programme\ScanSoft\OmniPage16\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\OmniPage 16\Ereg\Ereg.ini"
"ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

S2 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2007-09-07 03:17]
S2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2005-06-20 08:12]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2007-12-30 21:11]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-02-01 17:59:03 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
"2008-01-28 21:54:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-02-03 18:41:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-03 20:29:45
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-03 20:30:18
ComboFix-quarantined-files.txt 2008-02-03 19:30:16
ComboFix2.txt 2008-02-03 18:21:13
.
2008-01-10 02:02:00 --- E O F ---

myrtille · 03.02.2008, 20:57

Kannst du mir was zu den abertausend Bildern unter C:\ sagen?
Liegen die da absichtlich?

Mach bitte folgendes:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

und poste auch ein Hijackthislog.
Irgendetwas ist da noch auf deinem Rechner.

lg myrtille

03.02.2008, 17:54	#1
myrtille /// TB-Ausbilder	Trojanische Pferd TR/Agent.VB.CB Wie siehts denn nu mit USB-Sticks und ähnlichem aus? Wie hast du dich infiziert? Lade dir mal Combofix und lasse es über dein System laufen. Während des Scans bitte nichts anderes tun! Wenn der Rechner neustarten will, dies zulassen. Poste das Log dann hier. lg myrtille

03.02.2008, 18:43	#3
myrtille /// TB-Ausbilder	Trojanische Pferd TR/Agent.VB.CB Ist das eine Meldung von Combofix? Ich geh mal davon aus.... Versuch es erneut. Eigentlich gibt es keinen trifftigen Grund, dass es nicht funktionieren sollte. Lade dir Combofix erneut runter und speichere es aufm Desktop. Führe es von dort aus. Sollte das auch nicht gehen, dann versuch es im abgesicherten Modus. lg myritlle __________________

Trojanische Pferd TR/Agent.VB.CB

Plagegeister aller Art und deren Bekämpfung: Trojanische Pferd TR/Agent.VB.CB