Trojaner-Board - Desktop läßt sich nicht mehr ändern

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Desktop läßt sich nicht mehr ändern (https://www.trojaner-board.de/56843-desktop-laesst-mehr-aendern.html)

Desktop läßt sich nicht mehr ändern

Hallo,
ich bin ein kleiner Anwender, der ein Befall seines Computers festgestellt hat "Warning spyware detected on your computer...." Diese Warnung ist wohl bereits vielen bekannt. Die fachliche Hilfe, die ich mir bereits geholt habe, hat mich leider auf KW 33 und später vertröstet. Bisher habe ich den Computer scannen lassen (mit Ad-aware) und dieser zeigt nun 0 Teffer an. Doch obige Meldung bleibt bestehen und Desktop Bild läßt sich nicht ändern. Nun habe ich ein wenig im Internet gelesen und ein Hijack log file erstellt. Kann mir einer helfen und zwar so, das ein "DAU" es versteht?

Ich habe Windows XP home (service pack 2 installiert) laufen.
Ein Wiederherstellungsprogramm oder backup habe ich nicht oder weiß nichts davon.
Es laufen Ad-aware und avast und Windows firewall.

Sollte ich etwas falsch eingetragen haben, es ist mein erstes Mal hier....

Danke, schon mal im voraus!

C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [lphc5kcj0ep35] C:\WINDOWS\system32\lphc5kcj0ep35.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7597 bytes

Habe Malwarebytes durchgeführt und viele "Treffer"

Hier das Log file von malwarebytes:

Malwarebytes' Anti-Malware 1.23
Datenbank Version: 1000
Windows 5.1.2600 Service Pack 2

14:39:38 28.07.2008
mbam-log-7-28-2008 (14-39-38).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|I:\|J:\|K:\|L:\|S:\|)
Durchsuchte Objekte: 149265
Laufzeit: 1 hour(s), 14 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 8
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 2
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc5kcj0ep35 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\backupwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphc5kcj0ep35.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phc5kcj0ep35.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

Zitat:

C:\WINDOWS\system32\wsnpoem

Kram schonmal deine WinXP CD raus..

Folge dem Link Neuaufsetzen in meiner Signatur.
Zudem noch:
- Passwörter, Zugangsdaten ändern (von einem sauberen Rechner)
- Konten wie ebay, Online Banking, PayPal sperren lassen
- Kontakt mit deiner Bank aufnehmen

mfg

Habe noch Combofix laufen lassen

Hi,

@Dark Viruz: Ist das wirklich so dramatisch? Ich habe noch den Combofix laufen lassen. Analog zu folgendem Thread (http://www.trojaner-board.de/55953-blauer-desktop-mit-warnung.html). Kann ich nicht auch so verfahren? Was meinst Du zu unten stehenden Logfile?

Was bedeutet das Zitat in deiner Antwort ?
Gruß

Molly2007

ComboFix 08-07-28.1 - ***** 2008-07-28 21:10:35.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.241 [GMT 2:00]
ausgeführt von:: C:\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\system32\uninstall.exe
C:\WINDOWS\system32\userini.exe

----- BITS: Eventuell infizierte Webseiten -----

http://fixaserver.ru
.
((((((((((((((((((((((( Dateien erstellt von 2008-06-28 bis 2008-07-28 ))))))))))))))))))))))))))))))
.

2008-07-28 14:53 . 2008-07-28 20:58 <DIR> d----c--- C:\Programme\Combofix
2008-07-28 13:22 . 2008-07-28 13:22 <DIR> d----c--- C:\Programme\Malware
2008-07-28 13:22 . 2008-07-28 13:22 <DIR> d----c--- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes
2008-07-28 13:22 . 2008-07-28 13:22 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-28 13:22 . 2008-07-23 20:09 38,472 --a--c--- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-28 13:22 . 2008-07-23 20:09 17,144 --a--c--- C:\WINDOWS\system32\drivers\mbam.sys
2008-07-28 13:20 . 2008-07-28 14:53 <DIR> d----c--- C:\Programme\Malwarebytes
2008-07-26 11:04 . 2008-07-26 11:04 <DIR> d----c--- C:\Programme\Alwil Software
2008-07-26 10:33 . 2008-07-26 10:33 <DIR> d----c--- C:\Programme\Lavasoft
2008-07-26 10:33 . 2008-07-26 10:34 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-23 14:08 . 2008-07-23 14:45 46,536 --a--c--- C:\WINDOWS\system32\drivers\MiniIcpt.sys
2008-07-23 14:03 . 2008-07-28 21:05 54,156 --ah-c--- C:\WINDOWS\QTFont.qfn
2008-07-23 14:03 . 2008-07-23 14:03 1,409 --a--c--- C:\WINDOWS\QTFont.for
2008-07-16 17:17 . 2008-07-16 17:17 148 --a--c--- C:\WINDOWS\system32\MRT.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-26 08:32 --------- dc----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-23 21:11 --------- dc-h--w C:\Programme\InstallShield Installation Information
2008-07-23 19:58 52,810 -c--a-w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\wklnhst.dat
2008-07-23 12:55 --------- dc----w C:\Programme\Microsoft ActiveSync
2008-07-14 18:01 --------- dc----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Apple Computer
2008-06-20 17:39 247,296 -c--a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 -c--a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 -c--a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 -c--a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 -c----w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-04 11:23 --------- dc----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Move Networks
2008-05-16 09:58 12,632 -c--a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-07 05:14 1,293,312 -c--a-w C:\WINDOWS\system32\quartz.dll
2006-11-03 14:15 70,968 -c--a-w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2003-08-14 17:13 40,960 -c--a-w C:\Programme\Uninstall_PCM.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCMService"="C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" [2003-06-24 15:23 61440]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 21:10 335872]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 17:14 50688]
"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-05-28 16:37 394240]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-11-23 14:34 180269]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008]
"Dit"="Dit.exe" [2002-08-28 13:43 73728 C:\WINDOWS\Dit.exe]
"CHotkey"="mHotkey.exe" [2003-06-27 15:39 506368 C:\WINDOWS\mHotkey.exe]
"Cmaudio"="cmicnfg.cpl" [2003-10-14 18:31 2269184 C:\WINDOWS\CMICNFG.CPL]
"PRISMSTA.EXE"="PRISMSTA.EXE" [2003-08-04 15:54 215552 C:\WINDOWS\system32\PRISMSTA.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM1"= pclepim1.dll
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=

R0 WDMCAPI;ISDN PCI CAPI;C:\WINDOWS\system32\DRIVERS\WDMCAPI.sys [2002-12-17 11:36]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R2 BCMNTIO;BCMNTIO;C:\PROGRA~1\CheckIt\DIAGNO~1\BCMNTIO.sys [2004-03-05 17:09]
R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 16:29]
R2 MAPMEM;MAPMEM;C:\PROGRA~1\CheckIt\DIAGNO~1\MAPMEM.sys [2004-03-05 17:09]
R3 WDMWANMP;NDIS WAN miniport;C:\WINDOWS\system32\DRIVERS\wdmwanmp.sys [2002-12-09 11:21]
S3 ACCSKMD;Canon Camera Storage Device;C:\WINDOWS\system32\DRIVERS\accskmd.sys [2002-06-26 22:44]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 16:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 16:41]
S3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 08:04]
S3 FLIRUSBNET;FLIR USB Network Adapter;C:\WINDOWS\system32\DRIVERS\FLIRUSB.sys [2003-12-22 17:46]
S3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-06-12 08:47]
S3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2003-08-07 16:36]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d643bad6-cfe2-11dc-a273-487444737531}]
\Shell\AutoRun\command - H:\Launch.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-AOLMIcon - C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
HKU-Default-Run-ALUAlert - C:\Programme\Symantec\LiveUpdate\ALUNotify.exe

.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com/
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/keyword/%s
O8 -: &Google-Suche - C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 -: &Ins Deutsche übersetzen - C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 -: Im Cache gespeicherte Seite - C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 -: Verweisseiten - C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 -: Ähnliche Seiten - C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-28 21:12:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-28 21:15:35
ComboFix-quarantined-files.txt 2008-07-28 19:14:33

Pre-Run: 11 Verzeichnis(se), 63,898,132,480 Bytes frei
Post-Run: 13 Verzeichnis(se), 63,959,506,944 Bytes frei

142 --- E O F --- 2008-07-16 15:18:51

Zitat:

Ist das wirklich so dramatisch?

Ja, leider.

Zitat:

Ich habe noch den Combofix laufen lassen. Analog zu folgendem Thread (http://www.trojaner-board.de/55953-b...t-warnung.html). Kann ich nicht auch so verfahren?

Tut mir leid, ComboFix gehört nicht in mein Gebiet, es ist nur von Kompetenzlern und von Leuten, die sich mit dem Tool auskennen berechtigt, es zu empfehlen.

Zitat:

Was bedeutet das Zitat in deiner Antwort ?

Das ist der Schädling, der dieses sofortige Eingreifen von dir erforderlichen sollte.
WSNPoem wird von den Trojanern verwendet, die die Eigenschaft haben Passwörter und insbesondere TAN's beim Onlinebanking zu stehlen und an Remotebenutzer zu senden.

mfg

Edit: Eine Frage, hast du den Anhang einer UPS - Email geöffnet, bzw. ausgeführt?

Erstmal vielen Dank für deine schnelle Hilfe!!
Nee, ich habe keine solche Mail erhalten oder geöffnet.

Kein Problem,
wenn du gerade nichts zu tun hast, kannst du bitte systemweit nach einer userini.exe (nicht userinit.exe) suchen?

Und wenn du einen Zweitrechner besitzt, trenne den infizierten physikalisch vom Netz.

mfg

nö, hab nix anderes zu tun:heulen:
Zweitrechner steht bereit und begebe mich auf die Suche... bis gleich

hast du eine neue Idee?

Die Suche deswegen, weil mich dieser Eintrag irritiert:

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit .exe

Das ist normalerweise das Anzeichen des UPS-Trojaners.
WSNPoem wird nämlich oft in Verbindung mit dem Teufel (ntos.exe) gebracht, deshalb würd ich gern wissen, um was es sich handelt.
Aber egal, wenn wsnpoem im Spiel ist, wird man ums Neuaufsetzen wohl kaum herumkommen.

mfg

so, habe eine Datei gefunden:

C:\QooBox\Quarantine\CWINDOWS\system32

Zitat:

C:\QooBox\Quarantine\CWINDOWS\system32

Das ist die Quarantäne von ComboFix.
Mache mal zur Sicherheit folgendes:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\WINDOWS\system32\userinit.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Mir ist die ganze Sache überhaupt nicht geheuer.

bei meinen ersten Scannen habe ich auch eine Infizierte Datei namens "ntos" gehabt. Die wurde dann umbenannt (mittels Bootscan CD von GDATA) GDATA ist aber nicht mehr installiert und wurde durch Avast und Adaware ersetzt (durch fachliche Hilfe).

Zitat:

bei meinen ersten Scannen habe ich auch eine Infizierte Datei namens "ntos" gehabt.

Wenn das dein Ernst ist, dann handelt es sich jedenfalls um den TAN-liebenden ZBot.
Betreibst du Online Banking, oder sowas in der Art?

mal ganz doof, aber dazu soll ich wieder online gehen?

Für das VirusTotal, ja.
Großen Schaden wird die kurze Zeit wohl kaum nehmen, du solltest nur nichts passwortrelevantes betreiben.