hat komplett alles aus geschalten, komme nicht mehr weiter

Hmmm, hast Du denn dannach versucht eines der Programme zu öffnen (HJT, Combofix)?

so habe es hin bekommen....die daten kamen:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:43:27, on 15.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\trojaner.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [WinReanimator] "C:\Program Files\WinReanimator\WinReanimator.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://rtl.midasplayer.de/ctl/kingcomie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198235750270
O20 - AppInit_DLLs: cru629.dat
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4540 bytes



und nun? danke dir im vorraus

Sehr schön, klappt Combofix nun auch?
Hast ein fieses Rootkit

nein leider nicht, hoffe kannst mir so weiter helfen

5min, kurz afk

muss ins bett, bin aber mogen früh wieder da....hoffe hast noch ein paar tips für mich

mfg denny

Lösche alle Versionen von Combofix, die Du bist jetzt heruntergeladen hast!

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.

- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)

- Klicke auf Start---> Ausführen---> tippe "%userprofile%\Desktop\ComboFix.exe" /killall
und folge den Anweisungen.



- Wenn Combofix fertig ist, erstellt es ein Logfile für Dich.

- Bitte poste das "C:\ComboFix.txt" log mit einem neuen HijackThis logfile.

Wichtig:
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Wenn Combofix nicht starten will

• Lade http://home.hetnet.nl/~stefsmeenk/FixPolicies.exe auf Deinen Desktop.
• Doppelkliche FixPolicies.exe um es zu entpacken, am besten auf dem Dektop.
• Nun hast Du einen Ordner FixPolicies auf dem Desktop.
• Hier die DateiFix_policies.cmd doppelklicken um zu starten, es erscheint ein kleines Fenster, das ist normal.
• Jetzt combofix nochmal starten.

das hilft nix, lässt sich nicht öffnen, ist auf dem dekstop aber passiert nix.
gibts denn keine andere hilfe?

mfg denny

mion,

ich will mich ja nicht einmischen. aber suche mal alle einträge von combofix über
start-->suche--->nach dateien oder ordner.
und lösche sie manuel.
kannst auch mal unter start-->ausführen-->combofix \u eingeben. dann wird es auch deinstalliert.
warte aber lieber noch was bataAlexander sagt.

gruß

habe ich gemacht, alles runter.
es kommt immer die meldung mein com...ist infiziert hier programm runter laden...der will immer das ich das programm installiere....

mfg

Zitat:

Zitat von denny-wolf

habe ich gemacht, alles runter.

du solltest doch warten was bataAlexander dazu sagt

weiter kann ich dir auch nicht gehelfen. da müssen schon die profis ran.

so habe unter suche nach der datei geschaut, gefunden und raus gelöscht.
wie kann ich jetzt überprüfen ob mein rechner noch gefährdet ist? danke für alle antworten

mfg denny

soch hier alle daten jetzt. endlich geht es

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:55, on 2008-04-15
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://rtl.midasplayer.de/ctl/kingcomie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198235750270
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4282 bytes


ComboFix 08-04-14.2 - user 2008-04-15 10:27:40.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.568 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\user\Desktop\ComboFix.exe
Command switches used :: /killall
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\braviax.exe
C:\WINDOWS\system32\braviax.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-15 bis 2008-04-15 ))))))))))))))))))))))))))))))
.

2008-04-15 09:48 . 2007-03-09 00:02 54,936 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2008-04-15 09:48 . 2007-03-09 00:02 42,648 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2008-04-15 09:48 . 2007-03-09 00:02 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-04-15 09:48 . 2007-03-09 00:02 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-04-15 09:43 . 2008-04-15 09:43 <DIR> d-------- C:\Programme\Zone Labs
2008-04-15 09:23 . 2004-08-10 21:00 4,224 --a--c--- C:\WINDOWS\system32\dllcache\beep.sys
2008-04-15 09:18 . 2008-04-15 09:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-15 09:16 . 2008-04-15 09:36 <DIR> d-------- C:\Programme\Norton Security Scan
2008-04-15 09:04 . 2008-04-15 09:11 <DIR> d-------- C:\Programme\Registry Easy
2008-04-15 08:45 . 2008-04-15 08:45 4,060 --a------ C:\hijackthis.log neu
2008-04-15 00:13 . 2008-04-15 00:13 396,288 --a------ C:\trojaner.exe
2008-04-14 23:44 . 2008-04-14 23:44 19,400 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lekoqet.vbs
2008-04-14 23:44 . 2008-04-14 23:44 19,112 --a------ C:\Dokumente und Einstellungen\user\Anwendungsdaten\ximotyxu.bin
2008-04-14 23:44 . 2008-04-14 23:44 18,934 --a------ C:\WINDOWS\system32\yzub.ban
2008-04-14 23:44 . 2008-04-14 23:44 18,926 --a------ C:\WINDOWS\evacawe.dat
2008-04-14 23:44 . 2008-04-14 23:44 18,721 --a------ C:\Programme\Gemeinsame Dateien\morykawoj.pif
2008-04-14 23:44 . 2008-04-14 23:44 17,563 --a------ C:\WINDOWS\kewu.dl
2008-04-14 23:44 . 2008-04-14 23:44 16,860 --a------ C:\WINDOWS\igucyn.vbs
2008-04-14 23:44 . 2008-04-14 23:44 16,098 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ynyfir.bin
2008-04-14 23:44 . 2008-04-14 23:44 14,512 --a------ C:\WINDOWS\nevydimu.exe
2008-04-14 23:44 . 2008-04-14 23:44 12,818 --a------ C:\WINDOWS\uxyhemijy.exe
2008-04-14 23:44 . 2008-04-14 23:44 12,322 --a------ C:\Dokumente und Einstellungen\user\Anwendungsdaten\pomimofy.bat
2008-04-14 23:44 . 2008-04-14 23:44 11,763 --a------ C:\WINDOWS\atexivaqi.lib
2008-04-14 23:44 . 2008-04-14 23:44 10,412 --a------ C:\WINDOWS\ujuwazera.sys
2008-04-14 22:39 . 2008-04-15 09:34 <DIR> d-------- C:\Programme\a-squared Free
2008-04-14 22:29 . 2008-04-14 22:29 84 --a------ C:\WINDOWS\system32\ikhcore.cfg
2008-04-14 22:28 . 2008-04-15 09:14 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-14 22:23 . 2008-04-14 22:23 19,344 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ojugyxo.bat
2008-04-14 22:23 . 2008-04-14 22:23 19,247 --a------ C:\WINDOWS\system32\uqewi.com
2008-04-14 22:23 . 2008-04-14 22:23 18,312 --a------ C:\WINDOWS\cacir.reg
2008-04-14 22:23 . 2008-04-14 22:23 15,659 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hevysusa.com
2008-04-14 22:23 . 2008-04-14 22:23 15,094 --a------ C:\WINDOWS\system32\vakenedysa.bat
2008-04-14 22:23 . 2008-04-14 22:23 14,091 --a------ C:\WINDOWS\ikepudo._sy
2008-04-14 22:23 . 2008-04-14 22:23 12,754 --a------ C:\Dokumente und Einstellungen\user\Anwendungsdaten\xycabucis.bin
2008-04-14 22:23 . 2008-04-14 22:23 11,770 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jykarugage.sys
2008-04-14 22:23 . 2008-04-14 22:23 10,541 --a------ C:\WINDOWS\caqymid.sys
2008-04-14 22:23 . 2008-04-14 22:23 10,494 --a------ C:\WINDOWS\ozarytob.bin
2008-04-14 22:23 . 2008-04-14 22:23 10,013 --a------ C:\WINDOWS\myboqyzify.ban
2008-04-10 12:05 . 2008-04-10 12:05 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-04-09 13:41 . 2004-08-04 00:58 91,136 --a------ C:\WINDOWS\system32\kswdmcap.ax
2008-04-09 13:38 . 2007-02-03 10:25 1,075,360 --a------ C:\WINDOWS\system32\drivers\Camdrl.sys
2008-04-09 13:38 . 2007-02-03 10:32 527,136 --a------ C:\WINDOWS\system32\LVUI2RC.dll
2008-04-09 13:38 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system\msvcr71.dll
2008-04-09 13:38 . 2007-02-03 10:29 264,992 --a------ C:\WINDOWS\system32\lvcodec2.dll
2008-04-09 13:38 . 2007-02-03 10:32 215,840 --a------ C:\WINDOWS\system32\LVUI2.dll
2008-04-09 13:38 . 2007-02-03 10:26 154,400 --a------ C:\WINDOWS\system\CamExL20.dll
2008-04-09 13:38 . 2007-02-03 10:29 129,824 --a------ C:\WINDOWS\system32\lvci1051.dll
2008-04-09 13:38 . 2007-02-03 10:25 117,536 --a------ C:\WINDOWS\system\CamExL20.ax
2008-04-09 13:38 . 2007-02-03 08:59 50,127 --a------ C:\WINDOWS\system32\lvcoinst.ini
2008-04-09 13:38 . 2007-02-03 10:32 41,504 --a------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2008-04-09 13:38 . 2007-02-03 09:01 13,398 --a------ C:\WINDOWS\system32\Repository.reg
2008-04-09 13:37 . 2008-04-09 13:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\LogiShrd
2008-04-09 13:37 . 2008-04-09 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-04-09 13:37 . 2008-04-09 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logishrd
2008-04-09 13:36 . 2008-04-09 13:37 <DIR> d-------- C:\Programme\Logitech
2008-04-09 13:22 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-04-09 13:22 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-04-04 12:33 . 2008-04-04 12:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-04 12:33 . 2008-04-04 12:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-31 18:39 . 2008-03-31 18:39 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\DATABECKER
2008-03-31 17:30 . 2008-03-31 17:30 81,408 --a------ C:\WINDOWS\system32\drivers\SSHDRV86.sys
2008-03-31 17:18 . 2008-03-31 17:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Warenwirtschaft
2008-03-31 17:18 . 2008-03-31 17:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Software FX Shared
2008-03-31 17:18 . 2001-06-20 22:50 1,585,152 --a------ C:\WINDOWS\system32\ACTRPT2.DLL
2008-03-31 17:17 . 2008-03-31 17:20 <DIR> d-------- C:\Programme\DATA BECKER
2008-03-27 13:19 . 2008-03-27 13:20 <DIR> d-------- C:\Programme\Windows Live
2008-03-27 13:19 . 2008-03-27 13:20 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-27 13:19 . 2008-03-27 13:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-03-24 22:39 . 2007-03-12 17:42 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2008-03-24 22:39 . 2007-03-12 17:42 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll
2008-03-24 22:39 . 2007-03-15 17:57 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2008-03-24 22:39 . 2007-04-04 19:55 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll
2008-03-24 22:39 . 2007-04-04 19:53 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2008-03-24 22:39 . 2007-03-05 13:42 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2008-03-24 22:24 . 2008-03-24 22:24 <DIR> d-------- C:\Programme\THQ

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-15 08:22 --------- d-----w C:\Programme\Google
2008-04-15 07:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-04-14 21:23 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\Shareaza
2008-04-14 20:23 18,858 ----a-w C:\Programme\Gemeinsame Dateien\dujeris.db
2008-04-14 20:23 13,356 ----a-w C:\Programme\Gemeinsame Dateien\eqif._sy
2008-04-14 20:23 10,874 ----a-w C:\Programme\Gemeinsame Dateien\hurozil._sy
2008-04-04 10:34 --------- d-----w C:\Programme\Lavasoft
2008-04-04 10:34 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\Lavasoft
2008-03-31 15:20 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-12 13:24 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-03-12 13:24 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf
2008-03-09 19:23 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\teamspeak2
2008-03-03 16:45 79,875 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-03-03 16:45 258,051 ----a-w C:\WINDOWS\SETUP1.EXE
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34 64512]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 15:34 16143872 C:\WINDOWS\RTHDCPL.exe]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02 919280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 21:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys [2006-02-27 15:00]
R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2006-02-20 16:01]
R0 VOBID;VOBID;C:\WINDOWS\system32\DRIVERS\vobid.sys [2003-08-01 14:47]
R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2008-03-31 17:30]
R1 vobcom;vobcom;C:\WINDOWS\system32\drivers\vobcom.sys [2001-10-04 11:53]
R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2003-08-29 13:51]
R3 cdrdrv;Cdrdrv;C:\WINDOWS\system32\Drivers\Cdrdrv.sys [2002-12-13 18:33]
S3 se46bus;Sony Ericsson Device 070 driver (WDM);C:\WINDOWS\system32\DRIVERS\se46bus.sys [2006-11-30 15:11]
S3 se46mdfl;Sony Ericsson Device 070 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se46mdfl.sys [2006-11-30 15:11]
S3 se46mdm;Sony Ericsson Device 070 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se46mdm.sys [2006-11-30 15:11]
S3 se46mgmt;Sony Ericsson Device 070 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se46mgmt.sys [2006-11-30 15:11]
S3 se46nd5;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (NDIS);C:\WINDOWS\system32\DRIVERS\se46nd5.sys [2006-11-30 15:11]
S3 se46obex;Sony Ericsson Device 070 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se46obex.sys [2006-11-30 15:11]
S3 se46unic;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (WDM);C:\WINDOWS\system32\DRIVERS\se46unic.sys [2006-11-30 15:11]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\X]
\Shell\AutoRun\command - X:\start.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-04-15 08:34:01 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
"2008-04-15 07:16:04 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-15 10:31:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehmsas.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-15 10:36:32 - machine was rebooted [user]
ComboFix-quarantined-files.txt 2008-04-15 08:36:28

10 Verzeichnis(se), 95,997,132,800 Bytes frei
14 Verzeichnis(se), 96,113,364,992 Bytes frei
.
2008-04-12 17:27:36 --- E O F ---


danke schon im vorraus nochmal

mfg denny

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

File::
C:\WINDOWS\system32\dllcache\beep.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lekoqet.vbs
C:\Dokumente und Einstellungen\user\Anwendungsdaten\ximotyxu.bin
C:\WINDOWS\system32\yzub.ban
C:\WINDOWS\evacawe.dat
C:\Programme\Gemeinsame Dateien\morykawoj.pif
C:\WINDOWS\kewu.dl
C:\WINDOWS\igucyn.vbs
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ynyfir.bin
C:\WINDOWS\nevydimu.exe
C:\WINDOWS\uxyhemijy.exe
C:\Dokumente und Einstellungen\user\Anwendungsdaten\pomimofy.bat
C:\WINDOWS\atexivaqi.lib
C:\WINDOWS\ujuwazera.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ojugyxo.bat
C:\WINDOWS\system32\uqewi.com
C:\WINDOWS\cacir.reg
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hevysusa.com
C:\WINDOWS\system32\vakenedysa.bat
C:\WINDOWS\ikepudo._sy
C:\Dokumente und Einstellungen\user\Anwendungsdaten\xycabucis.bin
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jykarugage.sys
C:\WINDOWS\caqymid.sys
C:\WINDOWS\ozarytob.bin
C:\WINDOWS\myboqyzify.ban
C:\Programme\Gemeinsame Dateien\dujeris.db
C:\Programme\Gemeinsame Dateien\eqif._sy
C:\Programme\Gemeinsame Dateien\hurozil._sy
C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
C:\WINDOWS\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf
C:\WINDOWS\ST6UNST.EXE
C:\WINDOWS\SETUP1.EXE

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\X]
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Deinstalliere P2P Anwendungen, wie z.B. das im Log schon aufgetauchte Shareaza.

Prüfe im Sicherheitscenter ( Start / Einstellungen / Systemsteuerung / Sicherheitscenter) ob Dein AV und Firewall Programm aktiviert sind und wenn nicht, ob Du Sie nun wieder aktivieren kannst.