Hiho @ all =)

Erstmal thx an Sunny für die schnelle Antwort

Zu meinem Problem:
Vor einigen Wochen hab ich auf meinem Rechner den Trojaner Spyware.known_bad_sites gefunden.
Den Trojaner hab ich immer nur mit Spyware doctor gefunden.
Mit ebend Spyware doctor konnte ich den Trojaner zwar löschen, aber nach ein paar Stunden / Tagen war er wieder da.
Daraufhin habe ich weitere Anti Vir Progs geladen, um den Trojaner loszuwerden, aber nie hat eins den Trojaner gefunden.
Unter anderem hatte ich Anti Vir, Sypware doctor, a-sqared, kaspersky i was , ad aware und spybot. ( alles Kostenlose Scanner)
Nachdem der Trojaner ca 1 Woche "verschwunden" war, ( kein Scanner hat was gefunden bei mehrere Scanns am Tag und mehrere Full scanns in der Woche) war er wieder da, mit über 1100 infizierten Dateien.

Daraufhin habe ich Windows neu aufgesetzt, und habe zusätzlich auch eine zweite Partition platt gemacht, weil ich auf D auch einen Trojaner gefunden hatte.
Die 3te Partition hab ich behalten um einige Dateien auf das neue System zu Übernehmen. (Musik , einige eigene Dateien und schonmal runtergeladene Firewall (Zonealarm) + Anti Vir und anderes Zeugs)

Naja auf jeden Fall hab ich 1 Tag nach dem dem neuen Aufsetzen von Win wieder den Trojaner gefunden....
Mitlerweile hab ich auch einen Dialer drauf, den ich nicht löschen kann -.- (Wird auch wieder nur von Spyware doctor gefunden...Anti Vir und a-squared finden nix)

Jetzt die eigendliche Frage:
Hab ich mir den Trojaner wieder eingefangen, oder hat der auf der Platte überlebt?

Ich habe vor Win wieder neu zu machen , aber müsste vorher wissen WARUM der Trojaner wieder da war....

Ich hatte lange keine Probs aber seit dem ich vor einer Woche Win neu gemacht habe, schein alles irgendwie schlimmer geworden zu sein. (Dialer, unbekannte Programme die sich versuchen einzuloggen o_O )
Wie gesagt Firewall und Anti Vir Prog hab ich installeirt BEVOR ich das erste mal ins Netz gegangen bin...

//edit: habe noch eine externe Platte, aber auf der sollte nix sein , denn auf meinem Notebook hatte ich bis jetzt - zum Glück - noch keine Probs - und Scanns haben auch nix ergeben

So viel Text, hoffe die sinnvollen Infos sind nicht allzusehr versteckt und thx für eure Hilfe =)

hast schon mal an einen fehlalarm gedacht?
wo werden die dateien gefunden?

Ja am Anfang schon. Aber dann habe ich ingame Frame Einbrüche bekommen- so jede min ca 5sec lang nur 5-1 frame - also wie beim Nachladen aber halt regelmäßig, und solche Probs hatte ich vorher nicht. Oder bei GW extrem hoher Ping, und das deutlichste, wenn der Rechner arbeitet wenn mandoch gar nix macht.
Angezeigt wird der Trojaner immer unter temp Internet Files, also hätte das Prob ja mit dem Platt machen von C behoben sein müssen.
Und bei dem Dialer - ja ständig werden irgendwelche Seiten aufgebaut -.-, und der wiederrum befindet sich in der Registry .... kp wie ich an den rankomme

könntest du mal einige der betroffenen dateien hochladen?
http://www.virustotal.com/en/indexf.html
zeige das ergebniss mit tabellenkopf und zusätzliche informationen.
combofix laden und nach anleitung ausführen log posten:
http://www.virustotal.com/en/indexf.html
hijackthis laden in einen eigenen ordner instalieren öffnen scan and safe log klicken und nach durchlauf von combofix posten:

www.zdnet.de/downloads/prg/n/m/deGNNM-wc.html

Hier der HijackThis file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:09:19, on 02.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\PRISMSVR.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\DNA\btdna.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\st121g.exe
D:\Programme\Xfire\xfire.exe
D:\Programme\ICQ6\ICQ.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
H:\Programme\BitTorrent\bittorrent.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\dokumente und einstellungen\thomas\lokale einstellungen\anwendungsdaten\hasjdn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [hasjdn] c:\dokumente und einstellungen\thomas\lokale einstellungen\anwendungsdaten\hasjdn.exe hasjdn
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpeedTouch 121g Wireless USB Monitor.lnk = C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\st121g.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6895 bytes

Was mir auffällt ist diese hasjdn.exe , da ich kp hab wo ich die her hab und was die macht
Wird mir aber als Benutzer Anwendung angezeigt, also kann ichs zumindest gefahrlos löschen

und der rest?

rest? fehlt was? was denn
...
jo gefunden was fehlt ... jaja wer lesen kann ...

aber meinen beitrag hast du schon gelesen?

sorry hier der link zu combofix...

http://virus-protect.org/artikel/tools/combofix.html

Jo thx hab schon gefunden =)

combofix log:

ComboFix 08-05-01.3 - Thomas 2008-05-02 20:53:58.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1509 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Thomas\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\hasjdn.dat
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\hasjdn.exe
c:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\hasjdn_nav.dat
c:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\hasjdn_navps.dat
C:\WINDOWS\system32\nvs2.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-02 bis 2008-05-02 ))))))))))))))))))))))))))))))
.

2008-05-02 20:09 . 2008-05-02 20:09 <DIR> d-------- C:\Programme\Trend Micro
2008-05-02 11:25 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-05-02 11:25 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-04-29 15:52 . 2008-04-29 15:52 <DIR> d-------- C:\Programme\MSECache
2008-04-29 15:27 . 2008-04-29 15:27 <DIR> d-------- C:\Programme\Opera
2008-04-28 23:54 . 2008-04-28 23:54 <DIR> d-------- C:\Programme\DNA
2008-04-28 23:54 . 2008-05-02 20:49 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\DNA
2008-04-28 23:54 . 2008-05-02 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\BitTorrent
2008-04-27 16:40 . 2008-04-27 16:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-04-27 16:40 . 2008-04-27 16:40 <DIR> d-------- C:\Program Files
2008-04-27 16:40 . 2008-04-27 16:40 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-04-27 16:40 . 2008-04-27 16:40 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-04-26 17:18 . 2008-04-26 17:18 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\dvdcss
2008-04-26 15:19 . 2008-04-26 15:19 <DIR> d-------- C:\WINDOWS\ShellNew
2008-04-26 15:19 . 2008-04-26 15:19 400 --a------ C:\WINDOWS\ODBC.INI
2008-04-26 15:17 . 2008-04-26 15:17 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire
2008-04-26 15:15 . 2008-04-27 16:36 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Winamp
2008-04-26 14:46 . 2008-05-01 19:18 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\ICQ
2008-04-26 14:31 . 2008-04-26 14:31 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Xfire
2008-04-26 14:29 . 2008-05-02 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Xfire
2008-04-26 14:22 . 2008-04-26 14:22 <DIR> d-------- C:\WINDOWS\system32\Lang
2008-04-26 14:22 . 2008-04-26 14:22 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-04-26 14:22 . 2008-04-26 14:22 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-04-26 14:22 . 2008-04-26 14:24 60,416 --a------ C:\WINDOWS\ALCFDRTM.VER
2008-04-26 14:22 . 2008-04-26 14:22 60,416 --a------ C:\WINDOWS\ALCFDRTM.EXE
2008-04-26 14:15 . 2008-04-26 14:15 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-04-26 14:11 . 2008-05-02 09:43 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\teamspeak2
2008-04-26 13:24 . 2008-04-26 13:24 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\vlc
2008-04-26 13:23 . 2008-04-26 13:23 <DIR> d-------- C:\Programme\VideoLAN
2008-04-26 13:01 . 2006-10-04 16:06 1,197,294 --a--c--- C:\WINDOWS\system32\dllcache\SETC9.tmp
2008-04-26 13:00 . 2008-04-26 13:00 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-04-26 12:59 . 2008-04-26 12:59 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-04-26 12:59 . 2008-04-26 13:00 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-04-26 12:51 . 2008-04-26 12:51 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Talkback
2008-04-26 12:51 . 2008-04-26 12:51 0 --a------ C:\WINDOWS\nsreg.dat
2008-04-26 12:19 . 2008-04-26 12:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-04-26 12:17 . 2008-04-26 12:17 <DIR> d-------- C:\Programme\Real
2008-04-26 12:17 . 2008-04-27 16:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2008-04-26 12:13 . 2008-05-02 09:55 <DIR> d-------- C:\Programme\Spyware Doctor
2008-04-26 12:13 . 2008-04-26 12:13 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\PC Tools
2008-04-26 12:13 . 2008-05-02 20:49 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-26 12:13 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-04-26 12:13 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-04-26 12:13 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-04-26 12:13 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-04-26 12:11 . 2008-04-27 16:39 <DIR> d-------- C:\Programme\Google
2008-04-26 12:01 . 2006-09-25 17:58 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-04-26 12:00 . 2008-05-02 12:04 <DIR> d-------- C:\Programme\a-squared Free
2008-04-26 10:41 . 2004-08-04 01:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-04-26 10:41 . 2004-08-04 01:37 23,552 --a------ C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-26 10:41 . 2004-08-04 01:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-04-26 10:41 . 2001-08-18 05:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-04-26 10:39 . 2008-04-29 15:52 <DIR> d--hs---- C:\WINDOWS\Installer
2008-04-26 10:38 . 2008-05-02 11:25 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-04-26 10:38 . 2008-04-26 09:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-04-26 10:38 . 2008-04-26 10:38 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-04-26 10:38 . 2008-04-26 10:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-04-26 10:38 . 2008-04-26 10:38 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-04-26 10:38 . 2008-04-26 10:38 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-04-26 10:38 . 2008-04-26 10:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-04-26 10:38 . 2008-04-26 10:38 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-04-26 10:38 . 2008-04-26 10:38 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-04-26 10:38 . 2008-04-26 15:19 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü
2008-04-26 10:38 . 2008-04-26 10:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-04-26 10:38 . 2008-04-26 13:04 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-04-26 10:38 . 2008-04-26 13:19 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-04-26 10:37 . 2008-04-26 09:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User
2008-04-26 10:37 . 2008-04-26 09:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users
2008-04-26 10:37 . 2008-04-26 10:02 <DIR> d-------- C:\Dokumente und Einstellungen
2008-04-26 10:28 . 2008-04-26 10:28 <DIR> d-------- C:\Programme\ASUS
2008-04-26 10:28 . 2005-01-28 10:44 24,576 -ra------ C:\WINDOWS\system32\AsIO.dll
2008-04-26 10:28 . 2004-09-07 11:41 5,120 --a------ C:\WINDOWS\system32\drivers\AsInsHelp64.sys
2008-04-26 10:28 . 2004-10-14 11:52 4,962 -ra------ C:\WINDOWS\system32\drivers\AsIO.sys
2008-04-26 10:28 . 2004-03-10 14:31 3,328 --a------ C:\WINDOWS\system32\drivers\AsInsHelp32.sys
2008-04-26 10:26 . 2008-04-26 11:51 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-04-26 10:24 . 2004-11-13 05:35 810,054 -ra------ C:\WINDOWS\system32\A8N-SLI.bmp
2008-04-26 10:24 . 2004-11-13 06:01 269 -ra------ C:\WINDOWS\system32\raidmgmt.ini
2008-04-26 10:18 . 2008-04-26 10:18 <DIR> d-------- C:\Programme\Realtek Sound Manager
2008-04-26 10:18 . 2008-04-26 10:18 <DIR> d-------- C:\Programme\AvRack
2008-04-26 10:18 . 2005-04-19 04:40 2,317,504 --a------ C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2008-04-26 10:18 . 2004-09-07 08:23 156,672 --a------ C:\WINDOWS\system32\RTLCPAPI.dll
2008-04-26 10:18 . 2005-04-15 05:01 77,824 --a------ C:\WINDOWS\SOUNDMAN.EXE
2008-04-26 10:18 . 2004-10-27 09:47 40,960 --------- C:\WINDOWS\system32\ChCfg.exe
2008-04-26 10:18 . 2001-07-05 18:19 164 --------- C:\WINDOWS\avrack.ini
2008-04-26 10:17 . 2008-04-26 14:47 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-04-26 10:17 . 2008-04-26 10:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-26 10:17 . 2005-04-18 13:57 18,706,432 --a------ C:\WINDOWS\system32\ALSNDMGR.CPL
2008-04-26 10:17 . 2005-04-18 14:31 9,324,032 --a------ C:\WINDOWS\system32\RTLCPL.EXE
2008-04-26 10:17 . 2005-02-03 09:13 294,912 --------- C:\WINDOWS\alcupd.exe
2008-04-26 10:17 . 2005-03-02 14:21 200,704 --------- C:\WINDOWS\alcrmv.exe
2008-04-26 10:17 . 2005-03-01 10:49 192,512 --------- C:\WINDOWS\RtlExUpd.dll
2008-04-26 10:17 . 2002-02-05 07:54 141,016 --a------ C:\WINDOWS\system32\ALSNDMGR.WAV
2008-04-26 10:17 . 2000-03-29 16:17 5,824 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
2008-04-26 10:17 . 2004-08-13 04:56 5,810 -ra------ C:\WINDOWS\system32\drivers\ASACPI.sys
2008-04-26 10:17 . 2008-04-26 10:27 5,280 --a------ C:\WINDOWS\Ascd_tmp.ini
2008-04-26 10:14 . 2008-04-26 10:14 2,422 --a------ C:\WINDOWS\system32\wpa.bak
2008-04-26 10:02 . 2008-04-26 09:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Thomas\Vorlagen
2008-04-26 10:02 . 2008-04-26 10:38 <DIR> dr------- C:\Dokumente und Einstellungen\Thomas\Startmenü
2008-04-26 10:02 . 2008-04-26 10:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Thomas\Netzwerkumgebung
2008-04-26 10:02 . 2008-04-26 10:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen
2008-04-26 10:02 . 2008-04-26 12:44 <DIR> dr------- C:\Dokumente und Einstellungen\Thomas\Favoriten
2008-04-26 10:02 . 2008-04-29 17:27 <DIR> dr------- C:\Dokumente und Einstellungen\Thomas\Eigene Dateien
2008-04-26 10:02 . 2008-04-26 10:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Thomas\Druckumgebung
2008-04-26 10:02 . 2008-04-29 15:27 <DIR> dr-h----- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten
2008-04-26 10:02 . 2008-05-02 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas
2008-04-26 10:02 . 2008-05-02 20:54 307,200 --ah----- C:\Dokumente und Einstellungen\Thomas\ntuser.dat.LOG
2008-04-26 10:01 . 2008-04-26 10:01 <DIR> d---s---- C:\WINDOWS\system32\Microsoft
2008-04-26 10:01 . 2008-05-02 20:54 <DIR> d--h----- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen
2008-04-26 10:01 . 2008-04-26 15:17 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten
2008-04-26 10:01 . 2008-04-26 10:01 <DIR> d--hs---- C:\Dokumente und Einstellungen\NetworkService
2008-04-26 10:01 . 2008-04-26 10:01 <DIR> d--h----- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen
2008-04-26 10:01 . 2008-04-27 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten
2008-04-26 10:01 . 2008-04-26 10:01 <DIR> d--hs---- C:\Dokumente und Einstellungen\LocalService
2008-04-26 10:01 . 2008-04-26 10:01 8,192 --a------ C:\WINDOWS\REGLOCS.OLD
2008-04-26 10:01 . 2008-05-02 11:25 1,024 --ah----- C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
2008-04-26 10:01 . 2008-05-02 11:25 1,024 --ah----- C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
2008-04-26 10:00 . 2008-04-26 09:55 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Vorlagen
2008-04-26 10:00 . 2008-04-26 10:38 <DIR> dr------- C:\WINDOWS\system32\config\systemprofile\Startmenü
2008-04-26 10:00 . 2008-04-26 10:38 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Netzwerkumgebung
2008-04-26 10:00 . 2008-05-02 20:54 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen
2008-04-26 10:00 . 2008-04-26 10:38 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Favoriten
2008-04-26 10:00 . 2008-04-26 10:38 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Druckumgebung
2008-04-26 10:00 . 2008-04-26 10:38 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten
2008-04-23 00:29 . 2008-04-23 00:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
3 Datei(en) . 2,404,542 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-02 18:54 6,555,680 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-02 07:37 76,964 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-26 09:52 15,781 ----a-w C:\WINDOWS\system32\drivers\mdc8021x.sys
2008-04-26 09:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prism
2008-04-26 09:51 --------- d-----w C:\Programme\Thomson SpeedTouch
2008-04-26 09:44 --------- d-----w C:\Programme\ZoneAlarmSB
2008-04-26 09:43 --------- d-----w C:\Programme\Zone Labs
2008-04-26 09:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-04-26 09:41 --------- d-----w C:\Programme\Avira
2008-04-26 09:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-26 07:58 --------- d-----w C:\Programme\microsoft frontpage
2008-04-26 07:57 --------- d-----w C:\Programme\Online-Dienste
2008-04-26 07:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-04-02 19:07 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2008-04-02 19:07 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}]
2008-04-26 11:44 262144 --a------ C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}"= "C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL" [2008-04-26 11:44 262144]

[HKEY_CLASSES_ROOT\clsid\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}"= C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL [2008-04-26 11:44 262144]

[HKEY_CLASSES_ROOT\clsid\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-30 12:46 68856]
"BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-04-28 23:54 288576]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 05:01 77824 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 21:07 919016]
"PRISMSVR.EXE"="C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\PRISMSVR.exe" [2004-07-02 16:27 295001]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"WinampAgent"="D:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-27 16:40 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - D:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]
SpeedTouch 121g Wireless USB Monitor.lnk - C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\st121g.exe [2004-09-23 18:36:28 303104]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"H:\\Programme\\BitTorrent\\bittorrent.exe"=

R3 BT4501G;SpeedTouch 121g Wireless USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\BT4501G.sys [2005-11-16 12:21]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-02 20:54:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-02 20:56:53
ComboFix-quarantined-files.txt 2008-05-02 18:56:51

7 Verzeichnis(se), 9,233,694,720 Bytes frei
9 Verzeichnis(se), 9,279,315,968 Bytes frei

227 --- E O F --- 2008-04-27 14:22:05




ist es eigendlich egal in welcher Reihenfolge ich die progs ausführe? hab ja kp was die machen ^.^" (nur scannen? löschen?)

sorry ncoh mal für falschen link ;-)
Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Doppel-klicke
  navilog1.exe, um es auf dem PC zu installieren.
  (Wenn Du die Zip Datei heruntergeladen hast, dann doppel-klicke diese und mache einen erneuten Doppel-klick auf die im Archiv befindende
  Navilog1.exe)
• Wenn die Installation abgeschlossen ist, wird das Programm automatisch starten.
• Sollte es nicht automatisch starten, so mache
  einen Doppel-klick auf Navilog1 shortcut auf deinem desktop um es auszufuehren.
• Druecke E fuer Englisch im Sprachenmenue-
• Druecke
  1 in dem naechsten Menue umd "Suche" auszuwaehlen. Bestaetige mit Enter.
• Warte bis der Scan fertig ist (Es koennte etwas laenger
  dauern)
• Druecke eine beliebige Taste, wie aufgefordert.
• Ein neues Dokument wird erstellt und oeffnet sich: fixnavi.txt.
• Bitte kopiere/fuege
  den Inhalt dieser Datei in deine naechste Antwort ein.

Der Bericht wird außerdem Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:

Navilog1.exe und andere Dateien, werden aehnlich wie process.exe, von einigen Antiviren Herstellern / Firewall Herstellern als sogenannte
Risktools erkannt. Es ist kein Virus, sondern ein Programm zur Reinigung dieser Infizierung.[noparse]

So hier der log von Navilog1:

Search Navipromo version 3.5.5 began on 02.05.2008 at 21:55:57,28

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Thomas"

Updated on 29.04.2008 at 20h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Done in normal mode


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Thomas\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Thomas\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Thomas\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Thomas\lokale~1\anwend~1" *



*** Search files ***


C:\WINDOWS\prefetch\WEBMEDIAPLAYER.EXE-0217F201.pf found !

*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Thomas\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 02.05.2008 at 21:57:11,82 ***

na da haben wirs doch... verzichte auf webmediaplayer!
bitte laufen lassen mit option 2

den hab ich gar nicht mehr o_O den hatte ich nur einen Tag drauf. Hab ihn von nem Kumpel geschickt bekommen, aber da nicht gebraucht auch wieder runtergeschmissen ...

ja das war ausreichend... geb deinem freund mal den hinweis, dass er entweder den player selbst instaliert hat und damit einen virus oder das er es unterlassen soll dir malware zu senden. bitte jetzt mit option 2 laufen lassen,log posten. mache danach das:

* Lade Malwarebytes' Anti-Malware auf deinen Desktop herunter.
www.malwarebytes.org/mbam.php - 10k -
* Mache einen Doppel-Klick auf die mbam-setup.exe und folge den Hinweisen, um das Programm zu installieren.
* Vergewissere dich nun, dass folgende Optionen angehakt sind:

o Malwarebytes' Anti-Malware updaten
o Malwarebytes' Anti-Malware starten

* Klicke nun auf Fertigstellen.
* Wenn ein Update gefunden wird, wird es heruntergeladen und die neueste Version installieren.
* Wenn das Programm fertig geladen ist, wähle kompletScan durchführen, klicke auf Scan.
* Wenn der Scan beendet ist, klicke auf OK, dann auf Ergebnisse anzeigen.
* Vergewissere dich, dass neben allen Malware-Einträgen ein Häkchen sitzt.
* Klicke dann auf 'Ausgewähltes entfernen' und auf OK.

funde löschen und log posten.