Trojaner Alarm! Bitte um schnelle Hilfe.

oOCodeXOo · 17.05.2008, 21:09

Hallo liebes Forum.

Da mich seit 2 Tagen ein Virus plagt, und ich nicht weiß, wie ich damit umgehen soll, habe ich mir schnell Hilfe gesucht und stieß auf dieses Forum, das mein Problem warscheinlich lösen kann.
Bei dem Virus handelt es sich um: TR/Crypt.XPACK.Gen und befindet sich in:
C:\WINDOWS\system32\jkkIcCUl.dll
Habe mir, wie laut Vorschrift, einen HiJackThis Log-File zugelegt, den ich hier posten werde:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:00:04, on 17.05.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\LevelOne\Common\RaUI.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BMa7eb44a2] Rundll32.exe "C:\WINDOWS\System32\acnknqmc.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Levelone Wireless Utility.lnk = C:\Programme\LevelOne\Common\RaUI.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Programme\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: KuGoo - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx
O18 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe

--
End of file - 7009 bytes

Ich hoffe ihr findet darauf mein Problem und könnt mir Tipps geben, was ich tun soll.

MfG: CodeX.

**Sunny** · 17.05.2008, 21:13

Hallo oOCodeXOo und

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen.

Schnell genug?

oOCodeXOo · 17.05.2008, 21:14

Der Server unter download.bleepingcomputer.com braucht zu lange, um eine Antwort zu senden.

Öffnet sich nicht..

oOCodeXOo · 17.05.2008, 21:33

Die Seite öffnet sich immernoch nicht.. egal mit welchem Browser.
Kann mir jemand die .exe per E-Mail schicken?
Wäre echt klasse.

**Sunny** · 17.05.2008, 21:34

dann nimm diesen -> http://subs.geekstogo.com/ComboFix.exe

oOCodeXOo · 17.05.2008, 22:16

Soweit sogut.. Hab es durchlaufen lassen und so wie es aussieht, habe ich das Glück nicht unter den 1/100 PC's zu kommen, die schädlich nach dem Check davon kommen

Mitten beim Check kam ging ein Virusfund auf, obwohl ich AntiVir ausgeschaltet habe. War der gleiche Virus wie immer und hoffe, das hat nicht den Log beeinflusst. Hier der Log:

ComboFix 08-05-15.3 - Kevin 2008-05-17 22:37:32.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.716 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kevin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\AntiSpywareMaster
C:\Programme\AntiSpywareMaster\asm.exe
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\nUDLmnnn.ini
C:\WINDOWS\system32\nUDLmnnn.ini2
C:\WINDOWS\system32\pac.txt

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-17 bis 2008-05-17 ))))))))))))))))))))))))))))))
.

2008-05-17 22:37 . 2008-05-17 22:37 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
2008-05-17 21:59 . 2008-05-17 21:59 <DIR> d-------- C:\Programme\Trend Micro
2008-05-17 15:36 . 2008-05-17 17:59 109,816 --a------ C:\WINDOWS\BMa7eb44a2.xml
2008-05-14 22:30 . 2008-05-14 22:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-14 22:30 . 2008-05-14 22:30 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-14 14:51 . 2008-05-14 14:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-05-14 14:43 . 2008-05-14 14:43 <DIR> d-------- C:\Programme\Enigma Software Group
2008-05-14 14:18 . 2008-05-14 14:18 <DIR> d-------- C:\Programme\Lavasoft
2008-05-14 14:18 . 2008-05-14 14:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-05-14 13:54 . 2008-05-14 13:54 369,664 --a------ C:\WINDOWS\system32\nnnmLDUn.dll
2008-05-14 13:50 . 2008-05-14 13:50 <DIR> d-------- C:\WINDOWS\system32\emL1
2008-05-14 13:49 . 2008-05-14 13:49 <DIR> d-------- C:\WINDOWS\system32\rDA
2008-05-14 13:49 . 2008-05-15 13:04 <DIR> d-------- C:\WINDOWS\system32\dFrnx01
2008-05-14 13:49 . 2008-05-14 13:49 <DIR> d-------- C:\WINDOWS\system32\dbW
2008-05-14 13:49 . 2008-05-14 13:49 <DIR> d-------- C:\WINDOWS\system32\3056v
2008-05-14 13:49 . 2008-05-14 13:49 <DIR> d-------- C:\Temp\tmpvc14
2008-05-14 13:49 . 2008-05-17 22:37 <DIR> d-------- C:\Temp
2008-05-14 13:49 . 2008-05-14 13:49 371,553 --a------ C:\Temp\hEmm0012.exe
2008-05-14 13:49 . 2008-05-14 13:49 52,736 --------- C:\WINDOWS\system32\jkkIcCUl.dll
2008-05-02 13:58 . 2008-05-02 13:58 <DIR> d-------- C:\Programme\Softnyx
2008-04-30 16:50 . 2004-10-11 19:21 372,736 -ra------ C:\WINDOWS\system32\LVUI2RC.dll
2008-04-30 16:50 . 2004-10-11 19:22 211,712 -ra------ C:\WINDOWS\system32\drivers\LV561AV.SYS
2008-04-30 16:50 . 2004-10-11 19:18 204,800 -ra------ C:\WINDOWS\system32\LVUI2.dll
2008-04-30 16:50 . 2004-10-11 19:16 204,800 -ra------ C:\WINDOWS\system32\lvcodec2.dll
2008-04-30 16:50 . 2004-10-11 19:14 106,496 -ra------ C:\WINDOWS\system32\lvcoinst.dll
2008-04-30 16:50 . 2004-10-11 19:18 22,016 -ra------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2008-04-30 16:50 . 2004-10-11 18:58 6,812 -ra------ C:\WINDOWS\system32\lvcoinst.ini
2008-04-30 16:46 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-04-30 16:46 . 2003-03-18 21:12 1,047,552 --a------ C:\WINDOWS\system32\MFC71u.dll
2008-04-30 16:46 . 2003-03-18 20:14 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-04-30 16:46 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-04-30 16:46 . 2003-03-18 19:05 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-04-30 16:46 . 2003-03-18 20:44 65,536 --a------ C:\WINDOWS\system32\MFC71DEU.DLL
2008-04-30 16:46 . 2004-12-14 19:16 53,248 -ra------ C:\WINDOWS\system32\InstMed.exe
2008-04-23 00:29 . 2008-04-23 00:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-04-21 21:43 . 2008-04-21 21:43 <DIR> d-------- C:\Programme\Valve
3 Datei(en) . 1,200 C:\ComboFix\Bytes
2 Datei(en) . 238,592 C:\ComboFix\Bytes
1 Datei(en) . 371,553 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-17 20:25 --------- d-----w C:\Programme\ICQToolbar
2008-05-17 15:57 --------- d-----w C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\Xfire
2008-05-16 13:43 --------- d-----w C:\Programme\Xfire
2008-05-15 10:59 --------- d-----w C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\teamspeak2
2008-05-14 12:51 --------- d-----w C:\Programme\Apple Software Update
2008-05-14 12:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-14 10:35 --------- d-----w C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\LimeWire
2008-05-14 08:37 --------- d-----w C:\Programme\World of Warcraft
2008-05-12 19:08 --------- d-----w C:\Programme\ICQ6
2008-05-07 16:15 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-01 16:33 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-01 08:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-20 13:13 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-04-20 13:13 --------- d-----w C:\Programme\DVDVideoSoft
2008-04-06 09:02 --------- d-----w C:\Programme\MobMapUpdater
2008-04-02 14:43 --------- d-----w C:\Programme\Google
2008-04-01 18:49 --------- d-----w C:\Programme\MSN Messenger
2008-03-26 11:35 --------- d-----w C:\Programme\AV Vcs 6.0
2008-03-21 23:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-03-21 19:35 --------- d-----w C:\Programme\FLV Player
2007-12-29 18:08 22,328 ----a-w C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\PnkBstrK.sys
2004-08-11 04:44 712,704 ----a-w C:\WINDOWS\inf\OTHER\audio3d.dll
.

------- Sigcheck -------

.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{27DC79ED-AD09-4335-B81F-B85047B7D692}]
2008-05-14 13:54 369664 --a------ C:\WINDOWS\System32\nnnmLDUn.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a4131ffa-2edc-4c53-b079-aa6b973fa5f4}]
C:\WINDOWS\System32\xoqcfrrs.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}]
2008-05-14 13:49 52736 --------- C:\WINDOWS\System32\jkkIcCUl.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 03:43 13312]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-12-24 23:17 67128]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"Steam"="c:\programme\valve\steam\steam.exe" [2008-04-21 21:44 1271032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 15:21 61952 C:\WINDOWS\system32\HdAShCut.exe]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-06-29 00:43 8466432]
"nwiz"="nwiz.exe" [2007-06-29 00:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"C-Media Mixer"="Mixer.exe" [2004-08-11 06:44 1228800 C:\WINDOWS\mixer.exe]
"C-Media Echo Control"="C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe" [2001-12-05 16:47 147456]
"Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 17:31 1122304]
"Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 17:14 497152]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 16:32 56080 C:\WINDOWS\KHALMNPR.Exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-30 21:06 262401]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2004-12-14 18:19 221184]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2004-12-14 18:57 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2004-12-14 18:51 217088]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
"WinampAgent"="C:\Programme\Winamp\Winampa.exe" [2003-04-17 08:54 12288]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-06-29 00:43 81920]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 16:32 56080 C:\WINDOWS\KHALMNPR.Exe]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 13:10 267048]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-12-11 11:56 286720]
"BMa7eb44a2"="C:\WINDOWS\System32\acnknqmc.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 03:43 13312]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}"= C:\WINDOWS\System32\jkkIcCUl.dll [2008-05-14 13:49 52736]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkIcCUl]
jkkIcCUl.dll 2008-05-14 13:49 52736 C:\WINDOWS\system32\jkkIcCUl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-04-30 21:11]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-04-30 21:11]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2001-08-18 21:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-05-16 22:43:16 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-05-14 12:51:38 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-17 23:10:01
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\jkkIcCUl.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\guardgui.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\LevelOne\Common\RaUI.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.exe
C:\Programme\Logitech\Desktop Messenger\8876480\8.1.1.50-8876480SL\Program\Sprite6.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-17 23:13:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-17 21:13:02

13 Verzeichnis(se), 20,947,673,088 Bytes frei
16 Verzeichnis(se), 20,992,970,752 Bytes frei

187

Bitte bitte, finde den Fehler und hilf mir x ]

oOCodeXOo · 17.05.2008, 22:28

Ohmann! Seit dem ComboFix-Check wurden noch einige Dateien im System32 ordner besudelt..Darunter:
yayyVppp.dll..

... Ich hoffe echt, dass es eine andere Lösung geben wird, als den PC zu formatieren

**Sunny** · 18.05.2008, 08:07

Dateien Online überprüfen lassen:

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

lass auch die versteckten Dateien anzeigen!

Code:

ATTFilter

C:\WINDOWS\system32\xfcodec.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{27DC79ED-AD09-4335-B81F-B85047B7D692}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a4131ffa-2edc-4c53-b079-aa6b973fa5f4}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}]
[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkIcCUl]


FILE::
C:\WINDOWS\system32\nnnmLDUn.dll
C:\WINDOWS\system32\jkkIcCUl.dll
C:\WINDOWS\System32\xoqcfrrs.dll
c:\windows\system32\yayyVppp.dll

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

oOCodeXOo · 18.05.2008, 11:50

Guten Morgen..
.. danke für die Antwort..
Ich poste hier direkt mal die Logfiles.

Combofix:

ComboFix 08-05-15.3 - Kevin 2008-05-18 12:37:47.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Kevin\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Kevin\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\jkkIcCUl.dll
C:\WINDOWS\system32\nnnmLDUn.dll
C:\WINDOWS\System32\xoqcfrrs.dll
c:\windows\system32\yayyVppp.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\jkkIcCUl.dll
C:\WINDOWS\system32\meyfflkm.ini
C:\WINDOWS\system32\pppVyyay.ini
C:\WINDOWS\system32\pppVyyay.ini2
c:\windows\system32\yayyVppp.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-18 bis 2008-05-18 ))))))))))))))))))))))))))))))
.

2008-05-17 23:23 . 2008-05-17 23:23 115,712 --a------ C:\WINDOWS\system32\mklffyem.dll
2008-05-17 23:21 . 2008-05-17 23:21 127,488 --a------ C:\WINDOWS\system32\jggdsoad.dll
2008-05-17 23:13 . 2008-05-17 23:13 <DIR> d-------- C:\Dokumente und Einstellungen\Kevin\Logs
2008-05-17 22:37 . 2008-05-17 22:37 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
2008-05-17 21:59 . 2008-05-17 21:59 <DIR> d-------- C:\Programme\Trend Micro
2008-05-17 15:36 . 2008-05-18 12:43 109,807 --a------ C:\WINDOWS\BMa7eb44a2.xml
2008-05-14 22:30 . 2008-05-14 22:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-14 22:30 . 2008-05-14 22:30 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-14 14:51 . 2008-05-14 14:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-05-14 14:43 . 2008-05-14 14:43 <DIR> d-------- C:\Programme\Enigma Software Group
2008-05-14 14:18 . 2008-05-14 14:18 <DIR> d-------- C:\Programme\Lavasoft
2008-05-14 14:18 . 2008-05-14 14:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-05-14 13:50 . 2008-05-14 13:50 <DIR> d-------- C:\WINDOWS\system32\emL1
2008-05-14 13:49 . 2008-05-14 13:49 <DIR> d-------- C:\WINDOWS\system32\rDA
2008-05-14 13:49 . 2008-05-15 13:04 <DIR> d-------- C:\WINDOWS\system32\dFrnx01
2008-05-14 13:49 . 2008-05-14 13:49 <DIR> d-------- C:\WINDOWS\system32\dbW
2008-05-14 13:49 . 2008-05-14 13:49 <DIR> d-------- C:\WINDOWS\system32\3056v
2008-05-14 13:49 . 2008-05-14 13:49 <DIR> d-------- C:\Temp\tmpvc14
2008-05-14 13:49 . 2008-05-17 22:37 <DIR> d-------- C:\Temp
2008-05-14 13:49 . 2008-05-14 13:49 371,553 --a------ C:\Temp\hEmm0012.exe
2008-05-02 13:58 . 2008-05-02 13:58 <DIR> d-------- C:\Programme\Softnyx
2008-04-30 16:50 . 2004-10-11 19:21 372,736 -ra------ C:\WINDOWS\system32\LVUI2RC.dll
2008-04-30 16:50 . 2004-10-11 19:22 211,712 -ra------ C:\WINDOWS\system32\drivers\LV561AV.SYS
2008-04-30 16:50 . 2004-10-11 19:18 204,800 -ra------ C:\WINDOWS\system32\LVUI2.dll
2008-04-30 16:50 . 2004-10-11 19:16 204,800 -ra------ C:\WINDOWS\system32\lvcodec2.dll
2008-04-30 16:50 . 2004-10-11 19:14 106,496 -ra------ C:\WINDOWS\system32\lvcoinst.dll
2008-04-30 16:50 . 2004-10-11 19:18 22,016 -ra------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2008-04-30 16:50 . 2004-10-11 18:58 6,812 -ra------ C:\WINDOWS\system32\lvcoinst.ini
2008-04-30 16:46 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-04-30 16:46 . 2003-03-18 21:12 1,047,552 --a------ C:\WINDOWS\system32\MFC71u.dll
2008-04-30 16:46 . 2003-03-18 20:14 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-04-30 16:46 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-04-30 16:46 . 2003-03-18 19:05 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-04-30 16:46 . 2003-03-18 20:44 65,536 --a------ C:\WINDOWS\system32\MFC71DEU.DLL
2008-04-30 16:46 . 2004-12-14 19:16 53,248 -ra------ C:\WINDOWS\system32\InstMed.exe
2008-04-23 00:29 . 2008-04-23 00:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-04-21 21:43 . 2008-04-21 21:43 <DIR> d-------- C:\Programme\Valve
3 Datei(en) . 1,200 C:\ComboFix\Bytes
2 Datei(en) . 238,592 C:\ComboFix\Bytes
1 Datei(en) . 371,553 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-17 22:10 --------- d-----w C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\teamspeak2
2008-05-17 21:23 --------- d-----w C:\Programme\ICQToolbar
2008-05-17 15:57 --------- d-----w C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\Xfire
2008-05-16 13:43 --------- d-----w C:\Programme\Xfire
2008-05-14 12:51 --------- d-----w C:\Programme\Apple Software Update
2008-05-14 12:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-14 10:35 --------- d-----w C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\LimeWire
2008-05-14 08:37 --------- d-----w C:\Programme\World of Warcraft
2008-05-12 19:08 --------- d-----w C:\Programme\ICQ6
2008-05-07 16:15 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-01 16:33 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-01 16:33 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-05-01 08:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-20 13:13 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-04-20 13:13 --------- d-----w C:\Programme\DVDVideoSoft
2008-04-06 09:02 --------- d-----w C:\Programme\MobMapUpdater
2008-04-02 14:43 --------- d-----w C:\Programme\Google
2008-04-01 18:49 --------- d-----w C:\Programme\MSN Messenger
2008-03-26 11:35 --------- d-----w C:\Programme\AV Vcs 6.0
2008-03-21 23:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-03-21 19:35 --------- d-----w C:\Programme\FLV Player
2008-03-02 20:34 2,560 ----a-w C:\WINDOWS\system32\BitCometRes.dll
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-12-29 18:08 22,328 ----a-w C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\PnkBstrK.sys
2004-08-11 04:44 712,704 ----a-w C:\WINDOWS\inf\OTHER\audio3d.dll
.

------- Sigcheck -------

.
((((((((((((((((((((((((((((( snapshot@2008-05-17_23.12.44.37 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-17 21:08:15 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-18 10:42:12 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-17 19:48:07 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-05-18 10:42:22 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-05-17 19:48:07 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-05-18 10:42:22 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-05-17 19:48:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-05-18 10:42:22 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 03:43 13312]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-12-24 23:17 67128]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"Steam"="c:\programme\valve\steam\steam.exe" [2008-04-21 21:44 1271032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 15:21 61952 C:\WINDOWS\system32\HdAShCut.exe]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-06-29 00:43 8466432]
"nwiz"="nwiz.exe" [2007-06-29 00:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"C-Media Mixer"="Mixer.exe" [2004-08-11 06:44 1228800 C:\WINDOWS\mixer.exe]
"C-Media Echo Control"="C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe" [2001-12-05 16:47 147456]
"Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 17:31 1122304]
"Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 17:14 497152]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 16:32 56080 C:\WINDOWS\KHALMNPR.Exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-30 21:06 262401]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2004-12-14 18:19 221184]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2004-12-14 18:57 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2004-12-14 18:51 217088]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
"WinampAgent"="C:\Programme\Winamp\Winampa.exe" [2003-04-17 08:54 12288]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-06-29 00:43 81920]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 16:32 56080 C:\WINDOWS\KHALMNPR.Exe]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 13:10 267048]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-12-11 11:56 286720]
"a4d8773e"="C:\WINDOWS\System32\mklffyem.dll" [2008-05-17 23:23 115712]
"BMa7eb44a2"="C:\WINDOWS\System32\jggdsoad.dll" [2008-05-17 23:21 127488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 03:43 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-04-30 21:11]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-04-30 21:11]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2001-08-18 21:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-05-16 22:43:16 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-05-14 12:51:38 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-18 12:44:10
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\LevelOne\Common\RaUI.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-18 12:47:20 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-18 10:47:14
ComboFix2.txt 2008-05-17 21:13:07

13 Verzeichnis(se), 21,003,870,208 Bytes frei
16 Verzeichnis(se), 20,991,275,008 Bytes frei

192

Das andere:

Datei xfcodec.dll empfangen 2008.05.18 12:28:29 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.10.0 2008.05.13 -
AntiVir 7.8.0.17 2008.05.13 -
Authentium 5.1.0.4 2008.05.14 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.13 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.13 -
DrWeb 4.44.0.09170 2008.05.13 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5784 2008.05.13 -
Ewido 4.0 2008.05.13 -
F-Prot 4.4.2.54 2008.05.13 -
F-Secure 6.70.13260.0 2008.05.13 -
Fortinet 3.14.0.0 2008.05.13 -
GData 2.0.7306.1023 2008.05.14 -
Ikarus T3.1.1.26.0 2008.05.13 -
Kaspersky 7.0.0.125 2008.05.13 -
McAfee 5293 2008.05.12 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3095 2008.05.13 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.12 -
Prevx1 V2 2008.05.18 -
Rising 20.44.12.00 2008.05.13 -
Sophos 4.29.0 2008.05.13 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.13 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.6 2008.05.13 -
VirusBuster 4.3.26:9 2008.05.12 -
Webwasher-Gateway 6.6.2 2008.05.13 -
weitere Informationen
File size: 41296 bytes
MD5...: 7b58ef46dec036e555eee8a8195471f8
SHA1..: a6ad20510d6f78cd159daf4a2dec0001272f50c1
SHA256: e4afa0a4b48566810a5d893fd3c6b7790adeba22879cb6b88b6ba59f3b9265b9
SHA512: af9d22229ac4c5fe4fbde61b679d2b26eebffde3de9f46ee9eead8dfdd0ca4ea
9d26495d04b32837d22c217c9d0128034e52a2214d67e29a656bec8e5204d78c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100071c0
timedatestamp.....: 0x480e6553 (Tue Apr 22 22:23:15 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6631 0x6800 6.43 0b7b584fca1ccc6efdf11bebcbb19122
.rdata 0x8000 0xaa1 0xc00 4.44 dde5675caa715f607587f27fb3d78d4d
.data 0x9000 0x67ec 0x200 1.15 4c081c22a223dd877a968ed8dcda112e
.CRT 0x10000 0x14 0x200 0.06 21f9e176c6ec67de82f1f289572cff1f
.rsrc 0x11000 0x380 0x400 3.99 5ccd1dcaaec55b597e7dee9328bf92ce
.reloc 0x12000 0xb1a 0xc00 6.46 4e42b65298445a0c6467a6ec5efcc083

( 3 imports )
> WINMM.dll: DefDriverProc
> KERNEL32.dll: WaitForSingleObject, GetProcAddress, QueryPerformanceFrequency, GetTickCount, QueryPerformanceCounter, OutputDebugStringA, CloseHandle, CreateEventW, CreateThread, CreateMutexW, RaiseException, ReleaseMutex, SetEvent, FreeLibrary, LoadLibraryA
> USER32.dll: wvsprintfA, MessageBoxW

( 2 exports )
DriverProc, XfireCodecCompress

**Sunny** · 18.05.2008, 11:55

Und das ganze nun noch einmal:

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"a4d8773e"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BMa7eb44a2"=-

FILE::
C:\WINDOWS\system32\mklffyem.dll
C:\WINDOWS\system32\jggdsoad.dll

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

oOCodeXOo · 18.05.2008, 12:10

Gesagt, getan. Hier ist der Log:

ComboFix 08-05-15.3 - Kevin 2008-05-18 12:59:32.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.704 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kevin\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Kevin\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\jggdsoad.dll
C:\WINDOWS\system32\mklffyem.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\jggdsoad.dll
C:\WINDOWS\system32\mklffyem.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-18 bis 2008-05-18 ))))))))))))))))))))))))))))))
.

2008-05-18 12:47 . 2008-05-18 12:47 294 ---hs---- C:\WINDOWS\system32\meyfflkm.ini
2008-05-17 23:13 . 2008-05-17 23:13 <DIR> d-------- C:\Dokumente und Einstellungen\Kevin\Logs
2008-05-17 22:37 . 2008-05-17 22:37 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
2008-05-17 21:59 . 2008-05-17 21:59 <DIR> d-------- C:\Programme\Trend Micro
2008-05-17 15:36 . 2008-05-18 12:47 109,807 --a------ C:\WINDOWS\BMa7eb44a2.xml
2008-05-14 22:30 . 2008-05-14 22:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-14 22:30 . 2008-05-14 22:30 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-14 14:51 . 2008-05-14 14:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-05-14 14:43 . 2008-05-14 14:43 <DIR> d-------- C:\Programme\Enigma Software Group
2008-05-14 14:18 . 2008-05-14 14:18 <DIR> d-------- C:\Programme\Lavasoft
2008-05-14 14:18 . 2008-05-14 14:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-05-14 13:50 . 2008-05-14 13:50 <DIR> d-------- C:\WINDOWS\system32\emL1
2008-05-14 13:49 . 2008-05-14 13:49 <DIR> d-------- C:\WINDOWS\system32\rDA
2008-05-14 13:49 . 2008-05-15 13:04 <DIR> d-------- C:\WINDOWS\system32\dFrnx01
2008-05-14 13:49 . 2008-05-14 13:49 <DIR> d-------- C:\WINDOWS\system32\dbW
2008-05-14 13:49 . 2008-05-14 13:49 <DIR> d-------- C:\WINDOWS\system32\3056v
2008-05-14 13:49 . 2008-05-14 13:49 <DIR> d-------- C:\Temp\tmpvc14
2008-05-14 13:49 . 2008-05-17 22:37 <DIR> d-------- C:\Temp
2008-05-14 13:49 . 2008-05-14 13:49 371,553 --a------ C:\Temp\hEmm0012.exe
2008-05-02 13:58 . 2008-05-02 13:58 <DIR> d-------- C:\Programme\Softnyx
2008-04-30 16:50 . 2004-10-11 19:21 372,736 -ra------ C:\WINDOWS\system32\LVUI2RC.dll
2008-04-30 16:50 . 2004-10-11 19:22 211,712 -ra------ C:\WINDOWS\system32\drivers\LV561AV.SYS
2008-04-30 16:50 . 2004-10-11 19:18 204,800 -ra------ C:\WINDOWS\system32\LVUI2.dll
2008-04-30 16:50 . 2004-10-11 19:16 204,800 -ra------ C:\WINDOWS\system32\lvcodec2.dll
2008-04-30 16:50 . 2004-10-11 19:14 106,496 -ra------ C:\WINDOWS\system32\lvcoinst.dll
2008-04-30 16:50 . 2004-10-11 19:18 22,016 -ra------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2008-04-30 16:50 . 2004-10-11 18:58 6,812 -ra------ C:\WINDOWS\system32\lvcoinst.ini
2008-04-30 16:46 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-04-30 16:46 . 2003-03-18 21:12 1,047,552 --a------ C:\WINDOWS\system32\MFC71u.dll
2008-04-30 16:46 . 2003-03-18 20:14 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-04-30 16:46 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-04-30 16:46 . 2003-03-18 19:05 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-04-30 16:46 . 2003-03-18 20:44 65,536 --a------ C:\WINDOWS\system32\MFC71DEU.DLL
2008-04-30 16:46 . 2004-12-14 19:16 53,248 -ra------ C:\WINDOWS\system32\InstMed.exe
2008-04-23 00:29 . 2008-04-23 00:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-04-21 21:43 . 2008-04-21 21:43 <DIR> d-------- C:\Programme\Valve
3 Datei(en) . 1,200 C:\ComboFix\Bytes
2 Datei(en) . 238,592 C:\ComboFix\Bytes
1 Datei(en) . 371,553 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-18 10:56 --------- d-----w C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\Xfire
2008-05-17 22:10 --------- d-----w C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\teamspeak2
2008-05-17 21:23 --------- d-----w C:\Programme\ICQToolbar
2008-05-16 13:43 --------- d-----w C:\Programme\Xfire
2008-05-14 12:51 --------- d-----w C:\Programme\Apple Software Update
2008-05-14 12:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-14 10:35 --------- d-----w C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\LimeWire
2008-05-14 08:37 --------- d-----w C:\Programme\World of Warcraft
2008-05-12 19:08 --------- d-----w C:\Programme\ICQ6
2008-05-07 16:15 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-01 16:33 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-01 08:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-20 13:13 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-04-20 13:13 --------- d-----w C:\Programme\DVDVideoSoft
2008-04-06 09:02 --------- d-----w C:\Programme\MobMapUpdater
2008-04-02 14:43 --------- d-----w C:\Programme\Google
2008-04-01 18:49 --------- d-----w C:\Programme\MSN Messenger
2008-03-26 11:35 --------- d-----w C:\Programme\AV Vcs 6.0
2008-03-21 23:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-03-21 19:35 --------- d-----w C:\Programme\FLV Player
2007-12-29 18:08 22,328 ----a-w C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\PnkBstrK.sys
2004-08-11 04:44 712,704 ----a-w C:\WINDOWS\inf\OTHER\audio3d.dll
.

------- Sigcheck -------

.
((((((((((((((((((((((((((((( snapshot@2008-05-17_23.12.44.37 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-17 21:08:15 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-18 11:01:49 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-17 19:48:07 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-05-18 11:01:58 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-05-17 19:48:07 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-05-18 11:01:58 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-05-17 19:48:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-05-18 11:01:58 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 03:43 13312]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-12-24 23:17 67128]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"Steam"="c:\programme\valve\steam\steam.exe" [2008-04-21 21:44 1271032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 15:21 61952 C:\WINDOWS\system32\HdAShCut.exe]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-06-29 00:43 8466432]
"nwiz"="nwiz.exe" [2007-06-29 00:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"C-Media Mixer"="Mixer.exe" [2004-08-11 06:44 1228800 C:\WINDOWS\mixer.exe]
"C-Media Echo Control"="C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe" [2001-12-05 16:47 147456]
"Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 17:31 1122304]
"Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 17:14 497152]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 16:32 56080 C:\WINDOWS\KHALMNPR.Exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-30 21:06 262401]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2004-12-14 18:19 221184]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2004-12-14 18:57 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2004-12-14 18:51 217088]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
"WinampAgent"="C:\Programme\Winamp\Winampa.exe" [2003-04-17 08:54 12288]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-06-29 00:43 81920]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 16:32 56080 C:\WINDOWS\KHALMNPR.Exe]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 13:10 267048]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-12-11 11:56 286720]
"BMa7eb44a2"="C:\WINDOWS\System32\jggdsoad.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 03:43 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-04-30 21:11]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-04-30 21:11]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2001-08-18 21:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-05-16 22:43:16 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-05-14 12:51:38 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-18 13:02:22
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\LevelOne\Common\RaUI.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-18 13:05:03 - machine was rebooted [Kevin]
ComboFix-quarantined-files.txt 2008-05-18 11:05:00
ComboFix2.txt 2008-05-18 10:47:26
ComboFix3.txt 2008-05-17 21:13:07

13 Verzeichnis(se), 20,958,842,880 Bytes frei
15 Verzeichnis(se), 20,948,140,032 Bytes frei

181

myrtille · 18.05.2008, 12:32

Hi,
Sunny musste weg.

Ich bin die Stellvertretung.

Wir sind so gut wie fertig.

Mache bitte mal alle Dateien sichtbar:Dateien sichtbar machen
und navigiere dann in den Ordner C:\windows\system32 und lösche dort die Dateien:

Zitat:

meyfflkm.ini
BMa7eb44a2.xml

sowie die Ordner:

Zitat:

emL1
rDA
dFrnx01
dbW
3056v

Erstelle bitte auch noch ein neues Hijactkhislog.

lg myrtille

oOCodeXOo · 18.05.2008, 12:49

Dann Hallo myrtille.

Komischer weise konnte ich: BMa7eb44a2.xml nicht finden.
Den Rest habe ich gelöscht und das Log erstellt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:48:27, on 18.05.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\LevelOne\Common\RaUI.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Suche
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BMa7eb44a2] Rundll32.exe "C:\WINDOWS\System32\jggdsoad.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Levelone Wireless Utility.lnk = C:\Programme\LevelOne\Common\RaUI.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Programme\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: KuGoo - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx
O18 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe

--
End of file - 7797 bytes

myrtille · 18.05.2008, 12:54

Hi,

fixe bitte folgenden Linie mit Hijackthis:

Zitat:

O4 - HKLM\..\Run: [BMa7eb44a2] Rundll32.exe "C:\WINDOWS\System32\jggdsoad.dll",s

Poste danach ein neues Hijackthislog.

Erstelle noch ein Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Wenn darin nichts mehr zu sehen ist, dann sollte alles weg sein.

lg myrtille

oOCodeXOo · 18.05.2008, 13:04

Hui.. ich hoffe ich mach jetzt alles richtig:

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A4D8-7791

Verzeichnis von C:\

18.05.2008 13:05 11.990 ComboFix.txt
18.05.2008 13:01 1.610.612.736 pagefile.sys
09.05.2008 12:11 268 sqmdata16.sqm
09.05.2008 12:11 244 sqmnoopt16.sqm
09.05.2008 07:51 268 sqmdata15.sqm
09.05.2008 07:51 244 sqmnoopt15.sqm
10.04.2008 15:33 268 sqmdata14.sqm
10.04.2008 15:33 244 sqmnoopt14.sqm
10.04.2008 06:58 268 sqmdata13.sqm
10.04.2008 06:58 244 sqmnoopt13.sqm
09.04.2008 16:40 268 sqmdata12.sqm
09.04.2008 16:40 244 sqmnoopt12.sqm

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A4D8-7791

Verzeichnis von C:\WINDOWS\system32

17.05.2008 23:20 0 clkcnt.txt
16.05.2008 15:33 2.206 wpa.dbl
01.05.2008 21:46 92.680 FNTCACHE.DAT
01.05.2008 18:33 107.832 PnkBstrB.exe
30.04.2008 16:50 1.503 lvcoinst.log
23.04.2008 00:29 41.296 xfcodec.dll

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A4D8-7791

Verzeichnis von C:\WINDOWS\Prefetch

18.05.2008 13:59 67.330 WINRAR.EXE-3588DFE8.pf
18.05.2008 13:48 26.486 NOTEPAD.EXE-336351A9.pf
18.05.2008 13:48 23.976 WMIPRVSE.EXE-28F301A9.pf
18.05.2008 13:28 41.514 SPRITE6.EXE-1F37C34A.pf
18.05.2008 13:27 25.284 LOGIACTION.EXE-0820D6AC.pf
18.05.2008 13:26 81.686 IEXPLORE.EXE-2CA9778D.pf
18.05.2008 13:26 53.158 XFIRE.EXE-021C4593.pf
18.05.2008 13:09 91.878 FIREFOX.EXE-1D57670A.pf
18.05.2008 13:09 22.890 FLASHGOT.EXE-1209D9FD.pf
18.05.2008 13:05 9.056 IMAPI.EXE-0BF740A4.pf
18.05.2008 13:05 112.052 EXPLORER.EXE-082F38A9.pf
18.05.2008 13:05 20.528 REGEDIT.EXE-1B606482.pf
18.05.2008 13:03 20.204 WUAUCLT.EXE-399A8E72.pf
18.05.2008 13:03 12.098 IPODSERVICE.EXE-233792DA.pf
18.05.2008 13:03 26.744 KHALMNPR.EXE-02CB1A33.pf
18.05.2008 13:03 21.892 REGSVR32.EXE-25EEFE2F.pf
18.05.2008 13:03 1.095.708 NTOSBOOT-B00DFAAD.pf
18.05.2008 12:57 51.832 TASKMGR.EXE-20256C55.pf
18.05.2008 12:49 31.422 WORDPAD.EXE-1EFCC5C1.pf
18.05.2008 12:44 12.034 LOGITECHUPDATE.EXE-390C1A65.pf
18.05.2008 12:44 24.958 LULNCHR.EXE-3904B3C2.pf
18.05.2008 12:25 27.036 FXSVR2.EXE-060F7A64.pf
18.05.2008 12:24 46.524 ALBUMDB2.EXE-36D06D95.pf
18.05.2008 12:24 17.698 MIXER.EXE-3A40481D.pf
18.05.2008 12:20 88.490 LAUNCHER.EXE-37FEA5BF.pf
18.05.2008 12:19 62.822 AVCENTER.EXE-37584419.pf
18.05.2008 12:19 69.078 RUNDLL32.EXE-2E0FDD21.pf
18.05.2008 12:19 25.132 RUNDLL32.EXE-48D6C6FA.pf
18.05.2008 02:16 26.040 LOGONUI.EXE-0AF22957.pf
18.05.2008 02:05 29.580 RUNDLL32.EXE-2A94BB85.pf
18.05.2008 02:05 33.454 RUNDLL32.EXE-2E5AF1D7.pf
18.05.2008 00:10 87.884 TEAMSPEAK.EXE-1C1FA5B1.pf
17.05.2008 23:17 53.828 WOW.EXE-1DC320E6.pf
17.05.2008 23:10 26.548 LGDCORE.EXE-060280CC.pf
17.05.2008 23:10 14.952 ECHOCTRL.EXE-27D6FEDF.pf
17.05.2008 23:10 11.950 HDASHCUT.EXE-1B000CA9.pf
17.05.2008 23:10 22.864 RUNDLL32.EXE-15E942E0.pf
17.05.2008 23:10 14.158 NWIZ.EXE-2D0F9FBC.pf
17.05.2008 23:06 22.306 LVCOMSX.EXE-0AC1D558.pf
17.05.2008 22:53 80.088 DFRGNTFS.EXE-269967DF.pf
17.05.2008 22:53 10.492 DEFRAG.EXE-273F131E.pf
17.05.2008 22:52 450.386 Layout.ini
17.05.2008 21:54 63.930 JUCHECK.EXE-323089AA.pf
17.05.2008 21:50 37.774 DWWIN.EXE-30875ADC.pf
17.05.2008 21:49 61.328 AVGNT.EXE-36CA4640.pf
17.05.2008 21:24 92.790 AVNOTIFY.EXE-22AE9451.pf
17.05.2008 21:22 21.268 LOGON.SCR-151EFAEA.pf
17.05.2008 20:28 60.238 UPDATE.EXE-13D57D76.pf
17.05.2008 20:28 16.296 PREUPD.EXE-358AA1C1.pf
17.05.2008 11:38 91.178 WMPLAYER.EXE-09969338.pf
17.05.2008 11:36 145.818 DUMPREP.EXE-1B46F901.pf
16.05.2008 20:34 91.362 MOVIEMK.EXE-26DF9BB8.pf
16.05.2008 17:15 59.124 REGISTRYCLEANER.EXE-17B6D63B.pf
16.05.2008 17:15 72.442 SYSTEMOPTIMIZER.EXE-2D3174F1.pf
14.05.2008 22:30 114.474 ITUNES.EXE-15E88941.pf
14.05.2008 14:30 21.224 RUNDLL32.EXE-451FC2C0.pf
14.05.2008 13:35 59.230 WMPLAYER.EXE-09969332.pf
14.05.2008 12:34 86.302 LIMEWIRE.EXE-1CE6208C.pf
13.05.2008 12:42 17.288 USERINIT.EXE-30B18140.pf
10.05.2008 10:44 80.316 MSNMSGR.EXE-091111D0.pf
09.05.2008 23:28 63.538 WMPLAYER.EXE-0996933A.pf
09.05.2008 22:36 29.558 HVIDEOS2.EXE-14D68569.pf
09.05.2008 22:36 42.812 RUNDLL32.EXE-249DB574.pf
09.05.2008 22:36 90.042 LAUNCHER.EXE-1DAC2EF3.pf
09.05.2008 21:31 61.304 USNSVC.EXE-1D8C2356.pf
09.05.2008 07:52 105.342 DLLHOST.EXE-3BA9AE27.pf
07.05.2008 18:16 46.332 FRAPS.EXE-2E18AF75.pf
06.05.2008 17:41 38.314 EDITOR2.EXE-0D9B70B4.pf
06.05.2008 17:38 13.704 ITUNESHELPER.EXE-08906EB7.pf
05.05.2008 16:45 24.818 JAVA.EXE-1980726E.pf
03.05.2008 00:02 20.218 XFIRE_EXCEPTION.EXE-28A79C63.pf
02.05.2008 14:13 5.256 WMPLAYER.EXE-09969333.pf
02.05.2008 14:04 68.382 VEGAS70.EXE-14A2BBF2.pf
02.05.2008 14:04 19.464 _IU14D2N.TMP-126B7877.pf
02.05.2008 14:04 24.236 UNINS000.EXE-11D88F29.pf
02.05.2008 14:03 45.106 NYXLAUNCHER.EXE-3144EA4C.pf
02.05.2008 14:00 22.214 REPLACER.EXE-17999601.pf
02.05.2008 13:58 21.930 IS-5BE57.TMP-25C3C4EF.pf
02.05.2008 13:58 18.578 39885.EXE-0B62571F.pf
02.05.2008 13:58 28.286 INSTALLER-39885-32-RAKION-CHA-004CC8C7.pf
02.05.2008 13:50 25.148 UPNP.EXE-016C0AB0.pf
02.05.2008 13:50 53.536 BITCOMET.EXE-05D63A92.pf
02.05.2008 00:38 47.688 FFMPEG.EXE-160D62FA.pf
02.05.2008 00:37 43.258 FREEYOUTUBETOIPODCONVERTER.EX-1D8FA71A.pf
02.05.2008 00:37 23.132 FREESTUDIOMANAGER.EXE-019C2D18.pf
01.05.2008 19:09 17.912 RUNDLL32.EXE-268BFF96.pf
01.05.2008 18:34 34.528 PNKBSTRB.EXE-21412697.pf
01.05.2008 18:33 70.298 IW3MP.EXE-002B9A86.pf
01.05.2008 12:34 30.358 RUNDLL32.EXE-144EA7EE.pf
01.05.2008 11:15 63.992 GAMEOVERLAYUI.EXE-1082FD2F.pf
01.05.2008 11:15 82.294 HL2.EXE-2B9C862D.pf
01.05.2008 11:15 56.330 STEAM.EXE-378F9359.pf
30.04.2008 23:14 20.038 OVERDISK.EXE-026D7C17.pf
30.04.2008 21:12 16.848 SCHED.EXE-236A886F.pf
30.04.2008 21:03 54.088 UPDATE.EXE-2A811D68.pf
30.04.2008 16:50 20.112 RUNDLL32.EXE-4B6EDDE8.pf
30.04.2008 16:50 23.010 WAVECHK.EXE-0239DEB4.pf
30.04.2008 16:49 22.224 CAMSERVR.EXE-0EA4345E.pf
30.04.2008 16:49 19.422 QSYNC.EXE-1E892348.pf
30.04.2008 16:49 19.450 QSEND.EXE-0F06F336.pf
30.04.2008 16:49 10.406 ROXIOTARGET.EXE-33DF01E5.pf
30.04.2008 16:49 18.136 RADARCONTAINER.EXE-25ABEFD0.pf
30.04.2008 16:49 17.180 MANIFESTENGINE.EXE-06F4B0B1.pf
30.04.2008 16:49 16.700 CAMENTRY.EXE-16B887D7.pf
30.04.2008 16:49 18.422 FWSETDLG.EXE-29683534.pf
30.04.2008 16:47 7.188 SETUPDX.EXE-1084CA59.pf
30.04.2008 16:47 27.014 SP1PATCH.EXE-309515A7.pf
30.04.2008 16:47 8.362 GRPCONV.EXE-111CD845.pf
30.04.2008 16:47 23.920 RUNONCE.EXE-2803F297.pf
30.04.2008 16:47 57.574 RUNDLL32.EXE-18F6B467.pf
30.04.2008 16:47 28.046 CAMWIZRD.EXE-04A2064D.pf
30.04.2008 16:47 41.610 UPDATE.EXE-3815D695.pf
30.04.2008 16:47 21.558 DELDEV.EXE-128C4CD5.pf
30.04.2008 16:47 21.678 RUNDLL32.EXE-3CC1C948.pf
30.04.2008 16:47 39.244 RUNDLL32.EXE-353179F6.pf
30.04.2008 16:46 18.946 VIDCTRL2.EXE-336A0C33.pf
30.04.2008 16:46 23.536 INSTVID.EXE-08E78B75.pf
30.04.2008 16:46 61.862 RUNDLL32.EXE-3F76BD78.pf
30.04.2008 16:46 21.870 INSTMED.EXE-254BF0BD.pf
30.04.2008 16:46 46.286 RUNDLL32.EXE-1CBD457F.pf
30.04.2008 16:46 22.272 INSTMED.EXE-28C91BF8.pf
30.04.2008 16:46 11.582 SHUTDOWN.EXE-092E2F56.pf
30.04.2008 16:46 47.276 SETUP.EXE-1B613363.pf
30.04.2008 16:46 37.348 SETUP.EXE-393E66AE.pf
30.04.2008 16:45 77.078 DEMO32.EXE-256B94FD.pf
30.04.2008 16:40 4.924 AUTORUN.EXE-055703AF.pf
30.04.2008 16:40 5.596 AUTORUN.EXE-07306734.pf
30.04.2008 16:39 34.398 SETPOINT.EXE-06E7AE51.pf
29.04.2008 22:40 9.282 FFMPEG.EXE-184F1B73.pf
29.04.2008 22:40 54.970 FREEVIDEOTOIPODCONVERTER.EXE-2B3B45DB.pf
130 Datei(en) 6.653.786 Bytes
0 Verzeichnis(se), 20.962.709.504 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A4D8-7791

Verzeichnis von C:\WINDOWS

18.05.2008 13:02 227 system.ini
18.05.2008 13:02 0 0.log
18.05.2008 13:01 159 wiadebug.log
18.05.2008 13:01 50 wiaservc.log
18.05.2008 13:01 2.048 bootstat.dat
18.05.2008 13:00 32.540 SchedLgU.Txt
18.05.2008 12:59 6.272 BMa7eb44a2.txt
18.05.2008 12:47 109.807 BMa7eb44a2.xml
18.05.2008 02:08 2.092 IE4 Error Log.txt
14.05.2008 22:30 1.409 QTFont.for
14.05.2008 22:30 54.156 QTFont.qfn
14.05.2008 15:46 538 win.ini
14.05.2008 14:01 1.333 svcpack.log
12.05.2008 01:47 223.843 wmsetup.log

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A4D8-7791

Verzeichnis von C:\WINDOWS\tasks

18.05.2008 13:01 6 SA.DAT
17.05.2008 00:43 396 1-Klick-Wartung.job
14.05.2008 14:51 276 AppleSoftwareUpdate.job

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A4D8-7791

Verzeichnis von C:\WINDOWS\temp

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A4D8-7791

Verzeichnis von C:\DOKUME~1\Kevin\LOKALE~1\Temp

18.05.2008 13:59 119.487 filelist.txt
18.05.2008 13:46 50.066 browserview-1831060.htm
18.05.2008 13:26 141 browserview-17fd5a4.htm
18.05.2008 13:07 173 jusched.log
4 Datei(en) 169.867 Bytes
0 Verzeichnis(se), 20.962.709.504 Bytes frei

17.05.2008, 21:34	#5
Sunny Administrator > Competence Manager	Trojaner Alarm! Bitte um schnelle Hilfe. dann nimm diesen -> http://subs.geekstogo.com/ComboFix.exe __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

Trojaner Alarm! Bitte um schnelle Hilfe.

Log-Analyse und Auswertung: Trojaner Alarm! Bitte um schnelle Hilfe.