TR/Crypt.XPACK.Gen - TR/Monder.126976.1

Steven16 · 06.06.2008, 17:12

Hallo!

Habe mir seit kurzem anscheinen einen oder mehrere Trojaner eingefangen...
Erst dachte ich Antivir konnte sie löschen, allerdings kamen die heute wieder.
Die beiden Trojaner wurden exakt zur selben Zeit gefunden...:

In der Datei 'C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HA3WT67\kb516107[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Monder.126976.1' [trojan] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W5SZCR4B\kb767887[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen'

kurz darauf gab es 3 weitere meldungen:

In der Datei 'C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CXA7CHEV\kb713501[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Lowzones.SG' [trojan]

In der Datei 'C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8DG9IR49\kb713501[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Lowzones.SG' [trojan]

In der Datei 'C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8DG9IR49\kb713501[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Lowzones.SG' [trojan]

Meine Vermutung is dass die letzten 3 durch die ersten beiden heruntergeladen wurden...

Nun befinden sich auch 2 merkwürdige einträge im systemstart:

rundll32.exe "C:\Windows\system32\dqctjada.dll
rundll32.exe "C:\windows\system32\kymfvvrr.dll

ich vermute dass das die beiden Viren am Anfang sind...die Viren bewirken übrigens dass ich einige Seiten, wie z.B. Google, nicht mehr nutzen kann.
Ich hoffe, dass ihr mir helfen könnt, falls da noch was zu retten ist

Hier noch das HijackThis logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:08:48, on 06.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\EslWire\service\EslWireSrv.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Dokumente und Einstellungen\xxxxx\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BM6bac821e] Rundll32.exe "C:\WINDOWS\system32\kymfvvrr.dll",s
O4 - HKLM\..\Run: [689fb182] rundll32.exe "C:\WINDOWS\system32\dqctjada.dll",b
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'Default user')
O8 - Extra context menu item: Append to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15031/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203170986390
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15034/CTPID.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
O23 - Service: EslWireService - Unknown owner - C:\Programme\EslWire\service\EslWireSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 9113 bytes

MFG Steven

markusg · 06.06.2008, 17:19

installiere nun zuerst das ComboFix, bevor wir weitere Arbeiten an deinem System vornehmen. Folge dieser Anleitung, waehle die deutsche Übersetzung: Combofix Guide & Instructions, um dich dort über die Anleitung zum Combofix zu informieren, insbesondere über die Installation der Wiederherstellungs Konsole. Installiere die Wiederherstellungskonsole zuerst.

Poste anschliessend ein ComboFix Logfile und ein neues HijackThis Log.

Hinweis: klicke nicht in das Fenster vom ComboFix, während es läuft, das könnte das Programm veranlassen hängen zu bleiben.
Hinweis: das ComboFix kann einige Einstellungen des Internet Explorers zurücksetzen und ihn zu deinem Haupt-Browser machen.
Hinweis: das ComboFix verhindert das starten von CDs, Floppies, USB Geräten, um die Malware Entfernung zu unterstützen und die Sicherheit zu erhöhen.

Steven16 · 06.06.2008, 17:25

sorry, aber ich komme nicht auf die seite, scheint vom trojaner geblockt zu werden

markusg · 06.06.2008, 17:32

dann versuchs hiermit:

Combofix

Steven16 · 06.06.2008, 17:57

Hier das combofix log:

ComboFix 08-06-05.3 - Stefan 2008-06-06 18:40:47.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2569 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM6bac821e.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\adajtcqd.ini
C:\WINDOWS\system32\dhrlnvub.ini
C:\WINDOWS\system32\maaugvkk.exe
C:\WINDOWS\system32\nnnOgFvu.dll
C:\WINDOWS\system32\rqRKCtUL.dll
C:\WINDOWS\system32\tyfrljnt.ini
C:\WINDOWS\system32\ugfhugvb.ini
C:\WINDOWS\system32\uvFgOnnn.ini
C:\WINDOWS\system32\uvFgOnnn.ini2
C:\WINDOWS\system32\vtUlMCSk.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-06 bis 2008-06-06 ))))))))))))))))))))))))))))))
.

2008-06-06 18:46 . 2008-06-06 18:46 294 ---hs---- C:\WINDOWS\system32\adajtcqd.ini
2008-06-06 18:35 . 2008-06-06 18:35 <DIR> d-------- C:\Programme\CCleaner
2008-06-06 17:49 . 2008-06-06 17:49 118,272 --a------ C:\WINDOWS\system32\dqctjada.dll
2008-06-06 17:47 . 2008-06-06 17:47 136,192 --a------ C:\WINDOWS\system32\asojylhc.dll
2008-06-06 17:47 . 2008-06-06 17:47 127,488 --a------ C:\WINDOWS\system32\kymfvvrr.dll
2008-06-05 14:25 . 2008-06-05 15:04 <DIR> d-------- C:\RSD
2008-06-03 18:19 . 2008-06-03 18:19 80 --ah----- C:\WINDOWS\system32\HsInfo.dat
2008-06-03 17:47 . 2008-06-03 17:47 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-06-02 17:47 . 2008-06-03 14:54 355 ---hs---- C:\WINDOWS\system32\qwxjqhyj.ini
2008-06-02 15:38 . 2008-04-28 15:53 805,400 -ra------ C:\WINDOWS\system32\tmp9E.tmp
2008-06-02 15:38 . 2008-04-28 15:53 805,400 -ra------ C:\WINDOWS\system32\tmp9D.tmp
2008-06-02 14:40 . 2008-06-02 14:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BioWare
2008-06-02 14:29 . 2008-06-02 14:40 <DIR> d-------- C:\Programme\Mass Effect
2008-06-02 14:07 . 2008-06-02 14:07 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_xusb21_01001.Wdf
2008-06-02 14:03 . 2008-06-02 14:03 <DIR> d-------- C:\Programme\Microsoft Xbox 360 Accessories
2008-06-02 14:03 . 2007-02-27 03:15 1,421,216 --a------ C:\WINDOWS\system32\WdfCoInstaller01001.dll
2008-06-02 14:03 . 2007-02-27 03:15 61,984 --a------ C:\WINDOWS\system32\drivers\xusb21.sys
2008-05-29 22:30 . 2008-05-29 22:30 <DIR> d-------- C:\Programme\Azureus
2008-05-29 22:30 . 2008-06-06 00:00 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus
2008-05-26 14:07 . 2008-05-26 14:07 <DIR> d-------- C:\Programme\Lavasoft
2008-05-26 14:07 . 2008-05-26 14:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-05-18 21:39 . 2008-06-05 18:15 <DIR> d-------- C:\jdownloader
2008-05-18 13:42 . 2008-05-18 13:42 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DirectX
2008-05-18 13:39 . 2008-05-18 13:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-05-18 13:36 . 2004-08-09 05:04 73,728 --a------ C:\WINDOWS\system32\ISUSPM.cpl
2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe
2008-05-15 20:48 . 2008-05-15 20:48 <DIR> d-------- C:\Programme\Virtualdubmod
2008-05-14 03:29 . 2008-05-14 03:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-05-12 22:51 . 2008-05-12 22:51 317 --a------ C:\WINDOWS\doom3.ini
2008-05-12 12:42 . 2008-06-02 15:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Codemasters
2008-05-12 12:42 . 2008-04-28 12:29 805,400 -ra------ C:\WINDOWS\system32\tmp85.tmp
2008-05-12 12:42 . 2008-04-28 12:29 805,400 -ra------ C:\WINDOWS\system32\tmp84.tmp
2008-05-11 12:37 . 2008-05-11 12:37 21,840 --a------ C:\WINDOWS\system32\SIntfNT.dll
2008-05-11 12:37 . 2008-05-11 12:37 17,212 --a------ C:\WINDOWS\system32\SIntf32.dll
2008-05-11 12:37 . 2008-05-11 12:37 12,067 --a------ C:\WINDOWS\system32\SIntf16.dll
2008-05-09 17:33 . 2008-05-09 17:33 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Ubisoft
2008-05-09 17:32 . 2008-05-10 14:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
2008-05-08 17:53 . 1998-11-17 13:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-05-08 14:32 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
2008-05-08 14:32 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
2008-05-08 14:32 . 2008-03-05 16:03 479,752 --a------ C:\WINDOWS\system32\XAudio2_0.dll
2008-05-08 14:32 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
2008-05-08 14:32 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
2008-05-08 14:32 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll
2008-05-08 14:00 . 2008-05-08 14:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Funcom
2008-05-07 20:02 . 2008-05-07 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\CSS-WarFinder
2008-05-07 20:01 . 2008-05-07 20:01 <DIR> d-------- C:\Programme\Escepia-Global
2008-05-07 20:01 . 2008-05-07 20:01 <DIR> d-------- C:\Programme\CSS-WarFinder
2008-05-06 23:43 . 2008-05-06 23:43 <DIR> d-------- C:\Programme\Shutdown Manager
2008-05-06 19:18 . 2008-05-06 19:19 <DIR> d-------- C:\Programme\megui
2008-05-06 17:29 . 2008-05-06 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Teeworlds
2008-05-06 12:24 . 2008-05-12 12:42 <DIR> d-------- C:\Programme\OpenAL
2008-05-06 12:22 . 2008-05-06 12:22 <DIR> d-------- C:\WINDOWS\system32\xlive
2008-05-06 00:57 . 2008-06-03 15:19 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-06 00:57 . 2008-05-06 00:57 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-06 16:46 --------- d-----w C:\Programme\cFosSpeed
2008-06-06 16:08 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Xfire
2008-06-05 12:14 --------- d-----w C:\Programme\Xfire
2008-06-02 18:02 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\teamspeak2
2008-06-02 16:42 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft Games
2008-06-02 15:06 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-29 21:05 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\uTorrent
2008-05-29 19:42 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\mIRC
2008-05-29 19:13 --------- d-----w C:\Programme\mIRC
2008-05-26 16:08 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Winamp
2008-05-26 12:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-23 15:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-05-18 21:46 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Hamachi
2008-05-18 11:36 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-18 00:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Media Center Programs
2008-05-11 09:03 --------- d-----w C:\Programme\DVBViewer
2008-05-10 12:20 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-10 12:20 22,328 ----a-w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PnkBstrK.sys
2008-05-07 20:28 --------- d-----w C:\Programme\ffdshow
2008-05-07 16:29 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Touchstone
2008-05-04 23:29 --------- d-----w C:\Programme\Microsoft Games
2008-05-04 20:55 17,480 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-05-04 10:52 --------- d-----w C:\Programme\AGEIA Technologies
2008-05-02 19:15 --------- d-----w C:\Programme\KGB Archiver
2008-05-02 17:10 --------- d-----w C:\Programme\EslWire
2008-04-30 12:06 20,216 ----a-w C:\WINDOWS\system32\drivers\ESLvnic.sys
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-28 14:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-04-28 14:55 --------- d-----w C:\Programme\Microsoft Works
2008-04-28 14:54 --------- d-----w C:\Programme\Microsoft.NET
2008-04-27 16:59 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\HLSW
2008-04-23 13:04 --------- d-----w C:\Programme\ICQ6
2008-04-22 12:24 --------- d-----w C:\Programme\Monkey's Audio
2008-04-14 12:43 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Creative
2008-04-06 12:08 --------- d-s---w C:\Programme\HLSW
2008-03-15 18:42 98,304 ----a-w C:\WINDOWS\system32CmdLineExt.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ea9f3af5-bb6d-4300-b774-c717230400ec}]
2008-06-06 17:47 136192 --a------ C:\WINDOWS\system32\asojylhc.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{AD6E6555-FB2C-47D4-8339-3E2965509877}"= "C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL" [2007-11-07 11:20 527360]

[HKEY_CLASSES_ROOT\clsid\{ad6e6555-fb2c-47d4-8339-3e2965509877}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"DAEMON Tools Pro Agent"="C:\Programme\DAEMON Tools Pro\DTProAgent.exe" [2007-09-06 15:08 136136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"CTSysVol"="C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-09-17 11:43 57344]
"CTDVDDET"="C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-18 02:00 45056]
"SBDrvDet"="C:\Programme\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 19:06 45056]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-14 15:29 262401]
"Start WingMan Profiler"="C:\Programme\Logitech\Gaming Software\LWEMon.exe" [2007-09-25 16:03 93208]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-11-29 03:17 55824 C:\WINDOWS\KHALMNPR.Exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
"CTHelper"="CTHELPER.EXE" [2006-08-11 14:56 17920 C:\WINDOWS\CTHELPER.EXE]
"cFosSpeed"="C:\Programme\cFosSpeed\cFosSpeed.exe" [2008-02-22 18:46 863448]
"XboxStat"="C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" [2007-09-27 03:05 734264]
"689fb182"="C:\WINDOWS\system32\dqctjada.dll" [2008-06-06 17:49 118272]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 14:00 160768]
"BM6bac821e"="C:\WINDOWS\system32\kymfvvrr.dll" [2008-06-06 17:47 127488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SetDefaultMIDI"="MIDIDEF.exe" [2006-08-11 14:42 25600 C:\WINDOWS\MIDIDEF.EXE]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-04 14:00 44544]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll 2008-01-09 13:30 72208 c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\689fb182]
C:\WINDOWS\system32\bvguhfgu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
--a------ 2008-01-11 19:54 623992 C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EYTHM]
--a------ 2007-03-20 17:40 1884160 C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDRegion]
C:\Programme\Cyberlink\Shared Files\brs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM6bac821e]
C:\WINDOWS\system32\oyfuxqgv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTxfiHlp]
--a------ 2006-08-11 14:56 18944 C:\WINDOWS\system32\CTXFIHLP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreeCall]
C:\Programme\FreeCall.com\FreeCall\FreeCall.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-02-19 14:10 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2007-03-14 22:01 54832 C:\Programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
--a------ 2007-05-11 03:08 2512392 C:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-02-01 00:13 385024 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2007-03-14 22:01 71216 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 05:25 144784 C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"RichVideo"=2 (0x2)
"PnkBstrA"=2 (0x2)
"ose"=3 (0x3)
"O&O Defrag"=2 (0x2)
"LBTServ"=3 (0x3)
"iPod Service"=3 (0x3)
"Bonjour Service"=2 (0x2)
"uvnc_service"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Spiele\\Gas Powered Games\\Supreme Commander - Forged Alliance\\bin\\ForgedAlliance.exe"=
"D:\\Spiele\\Gas Powered Games\\GPGNet\\GPG.Multiplayer.Client.exe"=
"C:\\Programme\\UltraVNC\\vncviewer.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\QIP\\qip.exe"=
"D:\\Spiele\\Steam\\steamapps\\stevenking999\\counter-strike source\\hl2.exe"=
"C:\\Programme\\mIRC\\mirc.exe"=
"C:\\Programme\\WinSCP\\WinSCP.exe"=
"D:\\Spiele\\Unreal Tournament 3 (LG)\\Binaries\\UT3.exe"=
"D:\\Spiele\\Warcraft III\\Warcraft III.exe"=
"D:\\Spiele\\Crysis\\Bin32\\Crysis.exe"=
"D:\\Spiele\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Spiele\\Steam\\steamapps\\stevenking999\\counter-strike\\hl.exe"=
"D:\\Spiele\\Guitar Hero III\\GH3.exe"=
"C:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrHelper.exe"=
"C:\\Programme\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=
"C:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
"C:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrUpdate\\CinergyDvrUp_date.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"D:\\Spiele\\Dungeon Siege 2\\DungeonSiege2.exe"=
"D:\\Spiele\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"D:\\Spiele\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"D:\\Spiele\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"C:\\Programme\\EslWire\\wire.exe"=
"C:\\Programme\\EslWire\\service\\EslWireSrv.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Games\\Gears of War\\Binaries\\WarGame-G4WLive.exe"=
"D:\\Spiele\\Kane and Lynch Dead Men\\kaneandlynch.exe"=
"D:\\Spiele\\GRID Demo\\GRID.exe"=
"C:\\Programme\\Mass Effect\\Binaries\\MassEffect.exe"=
"C:\\Programme\\Mass Effect\\MassEffectLauncher.exe"=
"D:\\Spiele\\GRID\\GRID.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:TCP"= 5900:TCP:vnc5900
"5800:TCP"= 5800:TCP:vnc5800
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2007-09-19 22:37]
R2 PfDetNT;PfDetNT;C:\WINDOWS\system32\drivers\PfModNT.sys [2006-08-11 14:56]
R3 ESLvnic1;ESLvnic Virtual Network 32 Bit;C:\WINDOWS\system32\DRIVERS\ESLvnic.sys [2008-04-30 14:06]
R3 MTSBDA;Cinergy S2 BDA service;C:\WINDOWS\system32\DRIVERS\MtsBda.sys [2007-09-30 14:53]
R3 MtsHID;Cinergy C/S2 PCI HID service;C:\WINDOWS\system32\DRIVERS\MtsHid.sys [2006-09-04 15:45]
R3 tenCapture;tenCapture;C:\WINDOWS\system32\DRIVERS\tenCapture.sys [2007-04-21 16:15]
S2 EslWireService;EslWireService;C:\Programme\EslWire\service\EslWireSrv.exe [2008-04-30 18:26]
S3 jatmlano;jatmlano;C:\DOKUME~1\xxx\LOKALE~1\Temp\jatmlano.sys []
S3 SysInteg27961;SysInteg27961;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-23 21:07]
S4 uvnc_service;uvnc_service;"C:\Programme\UltraVNC\winvnc.exe" -service []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{16b5f616-e715-11dc-af5a-0018f3b6208b}]
\Shell\AutoRun\command - F:\autorun.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2008-06-06 18:46:09
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-06 18:49:44 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-06 16:49:23

11 Verzeichnis(se), 53,460,291,584 Bytes frei
14 Verzeichnis(se), 53,363,040,256 Bytes frei

299 --- E O F --- 2008-03-19 07:00:09

Steven16 · 06.06.2008, 17:58

und das hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:54:57, on 06.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\xxxDesktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: {ce004032-717c-477b-0034-d6bb5fa3f9ae} - {ea9f3af5-bb6d-4300-b774-c717230400ec} - C:\WINDOWS\system32\asojylhc.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [689fb182] rundll32.exe "C:\WINDOWS\system32\dqctjada.dll",b
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [BM6bac821e] Rundll32.exe "C:\WINDOWS\system32\kymfvvrr.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'Default user')
O8 - Extra context menu item: Append to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - hxxp://wxw.creative.com/su/ocx/15031/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://wxw.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203170986390
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - hxxp://wxw.creative.com/su/ocx/15034/CTPID.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
O23 - Service: EslWireService - Unknown owner - C:\Programme\EslWire\service\EslWireSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 9549 bytes

markusg · 06.06.2008, 18:36

na da kommen wir deinem problem ja auf die schliche.
* Lade Malwarebytes' Anti-Malware auf deinen Desktop herunter.
Malwarebytes.org - 10k -
* Mache einen Doppel-Klick auf die mbam-setup.exe und folge den Hinweisen, um das Programm zu installieren.
* Vergewissere dich nun, dass folgende Optionen angehakt sind:

o Malwarebytes' Anti-Malware updaten
o Malwarebytes' Anti-Malware starten

* Klicke nun auf Fertigstellen.
* Wenn ein Update gefunden wird, wird es heruntergeladen und die neueste Version installieren.
* Wenn das Programm fertig geladen ist, wähle kompletScan durchführen, klicke auf Scan.
* Wenn der Scan beendet ist, klicke auf OK, dann auf Ergebnisse anzeigen.
* Vergewissere dich, dass neben allen Malware-Einträgen ein Häkchen sitzt.
* Klicke dann auf 'Ausgewähltes entfernen' und auf OK.

Steven16 · 06.06.2008, 20:53

Ich denke es hat geklappt!

Malwarebytes hat alles gefundene gelöscht, 2 davon jedoch erst nach einem neustart..
soll ich nochmal ein HijackThis log posten?
Ansonsten:

Vielen dank!

BataAlexander · 06.06.2008, 21:59

Zitat:

Zitat von Steven16

soll ich nochmal ein HijackThis log posten?

Ja bitte

Steven16 · 06.06.2008, 22:29

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:26:09, on 06.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\EslWire\service\EslWireSrv.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\QIP\qip.exe
C:\Programme\Xfire\xfire.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157]MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896]Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896]Live Search
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: {ce004032-717c-477b-0034-d6bb5fa3f9ae} - {ea9f3af5-bb6d-4300-b774-c717230400ec} - C:\WINDOWS\system32\asojylhc.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'Default user')
O8 - Extra context menu item: Append to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - hxxp://www.creative.com/su/ocx/15031/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203170986390
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - hxxp://www.creative.com/su/ocx/15034/CTPID.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
O23 - Service: EslWireService - Unknown owner - C:\Programme\EslWire\service\EslWireSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 9177 bytes

BataAlexander · 06.06.2008, 22:54

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

Steven16 · 07.06.2008, 11:52

Verzeichnis von C:\

07.06.2008 12:44 2.145.386.496 pagefile.sys
06.06.2008 22:00 3.670 Bug.txt
06.06.2008 18:49 20.370 ComboFix.txt
06.06.2008 18:46 211 boot.ini

Verzeichnis von C:\WINDOWS\system32

07.06.2008 12:44 173.672 oodbs.lor
07.06.2008 01:33 11.564 DVCState-{00000001-00000000-00000001-00001102-00000004-20021102}.rfx
07.06.2008 01:33 1.080 settings.sfm
07.06.2008 01:33 1.080 settingsbkup.sfm
07.06.2008 01:33 31.056 BMXState-{00000001-00000000-00000001-00001102-00000004-20021102}.rfx
07.06.2008 01:33 30.528 BMXBkpCtrlState-{00000001-00000000-00000001-00001102-00000004-20021102}.rfx
07.06.2008 01:33 31.056 BMXStateBkp-{00000001-00000000-00000001-00001102-00000004-20021102}.rfx
07.06.2008 01:33 30.528 BMXCtrlState-{00000001-00000000-00000001-00001102-00000004-20021102}.rfx
06.06.2008 17:47 136.192 asojylhc.dll
06.06.2008 17:46 0 clkcnt.txt
06.06.2008 16:34 2.206 wpa.dbl
03.06.2008 18:19 80 HsInfo.dat
03.06.2008 14:54 355 qwxjqhyj.ini
02.06.2008 15:38 444.952 wrap_oal.dll
02.06.2008 15:38 109.080 OpenAL32.dll
26.05.2008 17:28 438.960 perfh009.dat
26.05.2008 17:28 456.616 perfh007.dat
26.05.2008 17:28 71.046 perfc009.dat
26.05.2008 17:28 83.976 perfc007.dat
26.05.2008 17:28 1.058.096 PerfStringBackup.INI
19.05.2008 15:22 1.451.912 FNTCACHE.DAT
16.05.2008 11:58 12.632 lsdelete.exe
14.05.2008 03:29 41.296 xfcodec.dll
12.05.2008 12:42 107.888 CmdLineExt.dll
11.05.2008 12:37 21.840 SIntfNT.dll
11.05.2008 12:37 17.212 SIntf32.dll
11.05.2008 12:37 12.067 SIntf16.dll
10.05.2008 14:20 107.832 PnkBstrB.exe
10.05.2008 14:20 66.872 PnkBstrA.exe
10.05.2008 14:20 2.337.865 pbsvc.exe

Verzeichnis von C:\WINDOWS\Prefetch

07.06.2008 12:47 126.996 WINRAR.EXE-3588DFE8.pf
07.06.2008 12:45 100.708 FIREFOX.EXE-0776F6A0.pf
07.06.2008 12:45 22.726 WUAUCLT.EXE-399A8E72.pf
07.06.2008 12:45 76.562 QIP.EXE-071FCCCB.pf
07.06.2008 12:45 90.280 ACRODIST.EXE-31C6F71B.pf
07.06.2008 12:45 69.814 SVCHOST.EXE-3530F672.pf
07.06.2008 12:45 22.772 RUNONCE.EXE-2803F297.pf
07.06.2008 12:45 14.410 ALG.EXE-0F138680.pf
07.06.2008 12:45 58.582 WMIPRVSE.EXE-28F301A9.pf
07.06.2008 12:45 18.532 IMAPI.EXE-0BF740A4.pf
07.06.2008 12:45 111.002 FNPLICENSINGSERVICE.EXE-1A968544.pf
07.06.2008 12:45 38.184 XFIRE.EXE-021C4593.pf
07.06.2008 12:45 42.446 RUNDLL32.EXE-1FB89F78.pf
07.06.2008 12:45 1.675.104 NTOSBOOT-B00DFAAD.pf
07.06.2008 01:30 29.182 AVWSC.EXE-3AC95876.pf
07.06.2008 01:07 58.906 RUNDLL32.EXE-2576181F.pf
06.06.2008 23:45 53.048 GRID.EXE-25E48963.pf
06.06.2008 23:34 23.946 RSD.EXE-19169293.pf
06.06.2008 23:34 14.910 RUNDLL32.EXE-140904C4.pf
06.06.2008 23:26 21.958 NOTEPAD.EXE-336351A9.pf
06.06.2008 23:26 62.456 HIJACKTHIS.EXE-11734B00.pf
06.06.2008 23:23 22.022 HELPER.EXE-17B0A7E3.pf
06.06.2008 23:23 66.968 UPDATER.EXE-0FEB268F.pf
06.06.2008 23:18 50.736 FIREFOX 3.0 RC 2 DEUTSCH.EXE-15F79AB4.pf
06.06.2008 23:18 21.268 SETUP.EXE-11CB7B03.pf
06.06.2008 23:11 61.534 MPLAYERC6491.EXE-2E1FE391.pf
06.06.2008 23:10 60.186 AZUREUS.EXE-018E10AA.pf
06.06.2008 23:10 106.646 FIREFOX.EXE-1D57670A.pf
06.06.2008 22:16 62.062 MASSEFFECT.EXE-0F147A65.pf
06.06.2008 22:00 38.458 RUNDLL32.EXE-1831A4F3.pf
06.06.2008 22:00 20.070 CONTROL.EXE-013DBFB5.pf
06.06.2008 22:00 26.450 CSCRIPT.EXE-1C26180C.pf
06.06.2008 22:00 8.306 NIRCMD.EXE-2C39EF53.pf
06.06.2008 22:00 7.350 NIRCMD.COM-323C21EC.pf
06.06.2008 22:00 10.264 CF31043.EXE-30588411.pf
06.06.2008 22:00 5.812 FINDSTR.CFEXE-38519B93.pf
06.06.2008 22:00 7.902 SWREG.CFEXE-2BF4FFCD.pf
06.06.2008 22:00 12.210 NIRCMD.CFEXE-19FF4781.pf
06.06.2008 22:00 6.268 SWXCACLS.CFEXE-365F7973.pf
06.06.2008 22:00 6.656 SWSC.CFEXE-3B4FE4FE.pf
06.06.2008 22:00 3.698 GREP.CFEXE-20443039.pf
06.06.2008 22:00 7.536 NIRCMDC.CFEXE-049E77E5.pf
06.06.2008 22:00 3.944 SED.CFEXE-268D7E58.pf
06.06.2008 22:00 20.284 PV.CFEXE-0E6F2701.pf
06.06.2008 22:00 3.920 MTEE.CFEXE-1E067BC7.pf
06.06.2008 22:00 4.732 CHCP.COM-18156052.pf
06.06.2008 22:00 2.810 VFIND.CFEXE-2033727F.pf
06.06.2008 22:00 56.776 COMBOFIX.EXE-17F3C643.pf
06.06.2008 22:00 19.118 CMD.EXE-087B4001.pf
06.06.2008 22:00 8.620 NIRCMD.CFEXE-02460B29.pf
06.06.2008 22:00 7.880 SWREG.CFEXE-287CC9EF.pf
06.06.2008 22:00 3.968 FINDSTR.CFEXE-32AC91D4.pf
06.06.2008 22:00 3.632 GREP.CFEXE-3924CAE1.pf
06.06.2008 22:00 7.624 SWXCACLS.CFEXE-24057B3B.pf
06.06.2008 22:00 5.088 ATTRIB.CFEXE-388F2310.pf
06.06.2008 22:00 21.430 PV.CFEXE-057B3499.pf
06.06.2008 22:00 3.690 SED.CFEXE-04C48F9F.pf
06.06.2008 22:00 22.782 REGEDIT.EXE-1B606482.pf
06.06.2008 22:00 18.332 NIRCMD.COM-223F42C3.pf
06.06.2008 22:00 11.164 GRPCONV.EXE-111CD845.pf
06.06.2008 22:00 17.322 RUNDLL32.EXE-36E71144.pf
06.06.2008 21:58 34.898 CHECKER.EXE-08940A57.pf
06.06.2008 21:55 12.694 MBAMTRAYCTRL.EXE-2AFAD734.pf
06.06.2008 21:55 15.698 MBAMSERVICE.EXE-26AA6270.pf
06.06.2008 21:54 45.986 TEAMSPEAK.EXE-1C1FA5B1.pf
06.06.2008 21:49 71.730 MSCONFIG.EXE-35E4DAE9.pf
06.06.2008 21:49 54.940 WSCNTFY.EXE-1B24F5EB.pf
06.06.2008 21:49 34.074 MBAM.EXE-11D8BBD8.pf
06.06.2008 21:49 42.434 RUNDLL32.EXE-4881B4B1.pf
06.06.2008 21:46 30.792 LOGONUI.EXE-0AF22957.pf
06.06.2008 21:46 32.488 GUARDGUI.EXE-3AFB6D88.pf
06.06.2008 20:37 686.708 Layout.ini
06.06.2008 19:38 29.552 REGSVR32.EXE-25EEFE2F.pf
06.06.2008 19:34 105.386 WINAMP.EXE-08C38ED9.pf
06.06.2008 18:51 23.828 HELPER.EXE-244ABC1F.pf
06.06.2008 18:49 110.866 EXPLORER.EXE-082F38A9.pf
06.06.2008 18:39 43.378 TASKMGR.EXE-20256C55.pf
06.06.2008 18:32 106.060 IEXPLORE.EXE-2CA9778D.pf
06.06.2008 17:51 54.434 AVCENTER.EXE-324B1681.pf
06.06.2008 17:47 71.576 AVNOTIFY.EXE-0B59FC42.pf
06.06.2008 17:37 19.038 LOGON.SCR-151EFAEA.pf
05.06.2008 21:23 61.494 GAMEOVERLAYUI.EXE-02EA74FF.pf
05.06.2008 21:23 69.238 HL2.EXE-0A4113B3.pf
05.06.2008 19:15 113.576 STEAM.EXE-1519C437.pf
05.06.2008 14:21 8.530 NC.EXE-22787822.pf

Verzeichnis von C:\WINDOWS

07.06.2008 12:45 34.287 WindowsUpdate.log
07.06.2008 12:45 18.551 setupapi.log
07.06.2008 12:44 0 0.log
07.06.2008 12:44 4.958.588 {00000001-00000000-00000001-00001102-00000004-20021102}.CDF
07.06.2008 12:44 2.048 bootstat.dat
07.06.2008 01:33 32.540 SchedLgU.Txt
06.06.2008 22:00 4.958.588 {00000001-00000000-00000001-00001102-00000004-20021102}.BAK
06.06.2008 19:38 109.834 BM6bac821e.xml
06.06.2008 18:58 20.225 BM6bac821e.txt
06.06.2008 18:49 21 pskt.ini
06.06.2008 18:46 573 win.ini
06.06.2008 18:46 227 system.ini
03.06.2008 15:19 54.156 QTFont.qfn
12.05.2008 22:51 317 doom3.ini
12.05.2008 18:24 316.640 WMSysPr9.prx
07.05.2008 18:30 120 disney.ini

Verzeichnis von C:\WINDOWS\tasks

07.06.2008 12:44 6 SA.DAT
04.08.2004 14:00 65 desktop.ini

Verzeichnis von C:\WINDOWS\temp

"leer"

Verzeichnis von C:\DOKUME~1\xxxx\LOKALE~1\Temp

07.06.2008 12:47 122.413 filelist.txt
07.06.2008 12:45 6.520 pic18235.gif
07.06.2008 12:45 6.520 pic15864.gif
07.06.2008 12:45 12.734 browserview-185a2f8.htm
07.06.2008 12:44 141 browserview-1760344.htm
06.06.2008 23:10 0 AZ_11972.exe
06.06.2008 21:46 141 browserview-1837d4c.htm

BataAlexander · 07.06.2008, 12:32

Gehe wiefolgt vor

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O2 - BHO: {ce004032-717c-477b-0034-d6bb5fa3f9ae} - {ea9f3af5-bb6d-4300-b774-c717230400ec} - C:\WINDOWS\system32\asojylhc.dll

dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.

Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\WINDOWS\system32\asojylhc.dll
C:\WINDOWS\system32\qwxjqhyj.ini
C:\WINDOWS\BM6bac821e.xml
C:\WINDOWS\BM6bac821e.txt
C:\WINDOWS\pskt.ini

Dann starte den Rechner im normalen Modus neu und erstelle ein neues HijackThis Log.

Steven16 · 07.06.2008, 13:08

konnte alle dateien entfernen, die qwxjqhyj.ini war jedoch nicht vorhanden.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:04:56, on 07.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\EslWire\service\EslWireSrv.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\rundll32.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157]MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896]Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896]Live Search
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'Default user')
O8 - Extra context menu item: Append to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - hxxp://www.creative.com/su/ocx/15031/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203170986390
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - hxxp://www.creative.com/su/ocx/15034/CTPID.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
O23 - Service: EslWireService - Unknown owner - C:\Programme\EslWire\service\EslWireSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 9078 bytes

BataAlexander · 07.06.2008, 13:12

Nichts mehr zu sehen, Update bitte Dein Avira und führe dann einen Systemscan durch.

Poste den Bericht dann bitte hier.

06.06.2008, 17:32	#4
markusg /// Malware-holic	TR/Crypt.XPACK.Gen - TR/Monder.126976.1 dann versuchs hiermit: Combofix

07.06.2008, 13:12	#15
BataAlexander > MalwareDB	TR/Crypt.XPACK.Gen - TR/Monder.126976.1 Nichts mehr zu sehen, Update bitte Dein Avira und führe dann einen Systemscan durch. Poste den Bericht dann bitte hier. __________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall

TR/Crypt.XPACK.Gen - TR/Monder.126976.1

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen - TR/Monder.126976.1