Trojaner-Board - Zlob, Virtumonde - Trojaner lassen sich nicht löschen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Zlob, Virtumonde - Trojaner lassen sich nicht löschen (https://www.trojaner-board.de/66582-zlob-virtumonde-trojaner-lassen-loeschen.html)

Zlob, Virtumonde - Trojaner lassen sich nicht löschen

Hallo an Alle,
ich habe seit ein paar Tagen einige Trojaner, wie Virtumonde, Zlob.downloader, win32 rootkit-gen, dyfuca und einiges an Spyware auf meinem Laptop, wobei sich manche nicht löschen lassen.
Am ersten Tag oder gleich nachdem mein Avast einen Wurm gemeldet hatte, wurden lauter windows von IE aufgemacht und mein Computer lies sich erstmal auch nicht mehr hochfahren also er blieb nach dem Windows XP logo haengen und ich hatte nur einen schwarzen Bildschirm.
Bin dann auf F8 und habe im letzten funktionierenden Modus hochgeladen, was dann geklappt hat.
Dann habe ich erstmal gegoogelt und einige Programme ausgeführt die vorgeschlagen wurden als erstes mein SuperAntiSpyware, dann Spybot, dann Malwarebytes. So jetzt läuft mein Computer wieder ganz gut keine Internetseiten die von selbst aufgehen und langsam läuft mein Computer auch nicht eigentlich läuft er so wie immer... aber Spybot und Malwarebytes finden immer noch die Trojaner und Spyware. Dann habe ich wie hier auf anderen threads empfohlen, CCleaner und Combofix im safemode laufen lassen. Aber ist immer noch alles da.

Jetzt hier mal das HJT log

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:53:29, on 16.12.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\system32\DVDRAMSV.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe

C:\Programme\Toshiba\Windows Utilities\Hotkey.exe

C:\WINDOWS\System32\DLA\DLACTRLW.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\igfxext.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Comcast\Desktop Doctor\bin\sprtcmd.exe

C:\Programme\Creative\Shared Files\CAMTRAY.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\WINDOWS\system32\RAMASST.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :0

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe

O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe

O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [RegKillElbyCheck] "C:\Programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" /L RegKill

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [ddoctorv2] "C:\Programme\Comcast\Desktop Doctor\bin\sprtcmd.exe" /P ddoctorv2

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient

O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra button: eBay - {9E958ACA-8CB9-414B-B5C6-2F044D71F7B2} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://w*w.businessonline.t-online.de

O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://w*w.snapfish.com/SnapfishActivia.cab

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - h**p://picasaweb.google.de/s/v/30.62/uploader2.cab

O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - h**p://lads.myspace.com/upload/MySpaceUploader1006.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://mysoldiermy1love.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - h**p://www.slide.com/uploader/SlideImageUploader.cab

O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - h**p://upload.facebook.com/controls/FacebookPhotoUploader3.cab

O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - h**p://meinefamilie.myphotoalbum.com/EasyUploadTool.cab

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - h**ps://webdl.symantec.com/activex/symdlmgr.cab

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.lokalisten.de/iup/ImageUploader4.cab

O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} - h**p://www.nick.com/common/groove/gx/GrooveAX27.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-d5f0a3992c2a1ca1.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: ypubsj.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SupportSoft Sprocket Service (ddoctorv2) (sprtsvc_ddoctorv2) - SupportSoft, Inc. - C:\Programme\Comcast\Desktop Doctor\bin\sprtsvc.exe

O24 - Desktop Component 0: (no name) - C:\Dokumente und Einstellungen\Doro\Eigene Dateien\Deployment\Anniversary.html
 

--

End of file - 9917 bytes

Hier das log von Malwarebytes

Code:

Malwarebytes' Anti-Malware 1.31

Database version: 1456

Windows 5.1.2600 Service Pack 3
 

16.12.2008 10:30:54

mbam-log-2008-12-16 (10-30-40).txt
 

Scan type: Full Scan (C:\|)

Objects scanned: 125052

Time elapsed: 59 minute(s), 30 second(s)
 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 5

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0
 

Memory Processes Infected:

(No malicious items detected)
 

Memory Modules Infected:

(No malicious items detected)
 

Registry Keys Infected:

HKEY_CLASSES_ROOT\CLSID\{8cba1b49-8144-4721-a7b1-64c578c9eed7} (Trojan.BHO) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{a3fdd654-a057-4971-9844-4ed8e67dbbb8} (Trojan.BHO) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{2ab289ae-4b90-4281-b2ae-1f4bb034b647} (Trojan.Agent) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{86227d9c-0efe-4f8a-aa55-30386a3f5686} (Adware.ISTBar) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
 

Registry Values Infected:

(No malicious items detected)
 

Registry Data Items Infected:

(No malicious items detected)
 

Folders Infected:

(No malicious items detected)
 

Files Infected:

(No malicious items detected)

Vielen Dank schon mal an alle die sich die Mühe gemacht haben mein Post zu lesen und im voraus auch schonmal Danke für Eure Hilfe.

-proud.mommie-

Update MBAM und scanne nochmal

Updated MBAM, leider beim scannen gleiches Resultat, wieder die 5 registry keys infected.

Code:

Malwarebytes' Anti-Malware 1.31

Database version: 1506

Windows 5.1.2600 Service Pack 3
 

16.12.2008 11:19:44

mbam-log-2008-12-16 (11-19-36).txt
 

Scan type: Quick Scan

Objects scanned: 51776

Time elapsed: 6 minute(s), 20 second(s)
 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 5

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0
 

Memory Processes Infected:

(No malicious items detected)
 

Memory Modules Infected:

(No malicious items detected)
 

Registry Keys Infected:

HKEY_CLASSES_ROOT\CLSID\{8cba1b49-8144-4721-a7b1-64c578c9eed7} (Trojan.BHO) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{a3fdd654-a057-4971-9844-4ed8e67dbbb8} (Trojan.BHO) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{2ab289ae-4b90-4281-b2ae-1f4bb034b647} (Trojan.Agent) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{86227d9c-0efe-4f8a-aa55-30386a3f5686} (Adware.ISTBar) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
 

Registry Values Infected:

(No malicious items detected)
 

Registry Data Items Infected:

(No malicious items detected)
 

Folders Infected:

(No malicious items detected)
 

Files Infected:

(No malicious items detected)

sorry das kam jetzt leider doppelt, habe die 2 Antwort dann raus genommen.

Hast du sie durch MBAM auch entfernen lassen?

SDFix für Windows 2000 und Windows XP
Download link 1 SDFix zum Desktop
Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte

Kopiere den Inhalt des Berichts SophosReport.txt in diesen Thread

Scanne danach in Normal Modus via SDFix mit Norman Malwarescanner
http://i186.photobucket.com/albums/x...011/sdfix1.jpg

Hallo, hier der Report vom SDFix
Der Norman scan läuft noch schaut so aus als ob das was dauert, werde dann die Ergebnisse posten. Danke Dir!

Code:

SDFix: Version 1.240 

Run by Doro on 16.12.2008 at 13:33
 

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix
 
 Checking Services :
 

AUTOEXEC.NT Restored from backups
 

Restoring Default Security Values

Restoring Default Hosts File
 

Rebooting
 
 
 Checking Files : 
 

No Trojan Files Found
 
 
 
 
 
 

Removing Temp Files
 
 ADS Check :

 
 
 

                                 Final Check :
 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-16 13:41:05

Windows 5.1.2600 Service Pack 3 NTFS
 

scanning hidden processes ...
 

scanning hidden services & system hive ...
 

scanning hidden registry entries ...
 

scanning hidden files ...
 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0
 
 
 Remaining Services :
 
 
 
 

Authorized Application Key Export:
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"

"C:\\Programme\\BuddyW\\BuddyW.exe"="C:\\Programme\\BuddyW\\BuddyW.exe:*:Enabled:BuddyW"

"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"

"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"="C:\\Programme\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"

"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Disabled:Windows Messenger"

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"

"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"

"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"

"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"

"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
 
 Remaining Files :
 
 
 
 Files with Hidden Attributes :
 

Sat 26 Apr 2008            72 ..SH. --- "C:\WINDOWS\SFA56C7BD.tmp"

Wed 15 Oct 2008       633,632 A.SH. --- "C:\Programme\Internet Explorer\iexplore.exe"

Tue 17 Oct 2006       622,080 A.SH. --- "C:\Programme\Internet Explorer\SET55F4.tmp"

Sun 13 Apr 2008     1,695,232 A.SH. --- "C:\Programme\Messenger\msmsgs.exe"

Sun 13 Apr 2008        60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"

Sun 31 Jul 2005            56 ..SHR --- "C:\WINDOWS\system32\BF4A0DBFE2.sys"

Sun 31 Jul 2005         3,766 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"

Sun 17 Apr 2005         4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"

Thu 19 Jul 2007             0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv03.tmp"

Sun 17 Apr 2005         4,348 ...H. --- "C:\Dokumente und Einstellungen\Doro\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"

Sun 17 Apr 2005            20 A..H. --- "C:\Dokumente und Einstellungen\Doro\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"

Sun 17 Apr 2005           400 A.SH. --- "C:\Dokumente und Einstellungen\Doro\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
 
 Finished!

Hier ist der Report von Norman und zu Deiner Frage ich habe MBAM schon immer die gefundenen Sachen fixen lassen, hat halt immer gesagt es wird beim reboot gelöscht.

Code:

Norman Malware Cleaner

Copyright © 1990 - 2008, Norman ASA. Built 2008/12/16 05:28:45
 

Norman Scanner Engine Version: 5.93.01

Nvcbin.def Version: 5.93.00, Date: 2008/12/16 05:28:45, Variants: 2316442
 

Running pre-scan cleanup routine:

Operating System: Microsoft Windows XP Home 5.1.2600 Service Pack 3

Logged on user: ******\***
 

Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = "ypubsj.dll" -> ""

Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDrives = 0x00000000

Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDrives = 0x00000000
 

Scan started: 16/12/2008 14:03:55
 
 

Scanning running processes and process memory...
 

Number of processes/threads found: 2109

Number of processes/threads scanned: 2109

Number of processes/threads not scanned: 0

Number of infected processes/threads terminated: 0

Total scanning time: 1m 38s
 
 

Scanning file system...
 

Scanning: C:\*.*
 

C:\Dokumente und Einstellungen\*******\Desktop\SmitfraudFix.exe (Infected with IEDefender.E.dropper)

Deleted file
 

C:\Dokumente und Einstellungen\Doro\Desktop\SmitfraudFix\Agent.OMZ.Fix.exe (Infected with W32/Zlob.gen123)

Deleted file
 

C:\Dokumente und Einstellungen\Doro\Desktop\SmitfraudFix\VACFix.exe (Infected with W32/Smalldrp.APNN)

Deleted file
 

C:\Dokumente und Einstellungen\Doro\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\538uob3x.default\Cache\63329BDCd01 (Infected with IEDefender.E.dropper)

Deleted file
 

C:\Qoobox\Quarantine\C\WINDOWS\system32\VACFix.exe.vir (Infected with W32/Smalldrp.APNN)

Deleted file
 

C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP1245\A0443807.sys (Infected with W32/Agent.HHSF)

Deleted file
 

C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP1257\A0445463.exe (Infected with IEDefender.E.dropper)

Deleted file
 

C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP1257\A0445464.exe (Infected with W32/Zlob.gen123)

Deleted file
 

C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP1257\A0445465.exe (Infected with W32/Smalldrp.APNN)

Deleted file
 

C:\WINDOWS\system32\Agent.OMZ.Fix.exe (Infected with W32/Zlob.gen123)

Deleted file
 

Scanning: c:\System Volume Information\*.*
 

c:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP1257\A0445466.exe (Infected with W32/Zlob.gen123)

Deleted file
 
 

Running post-scan cleanup routine:
 

Number of files found: 172037

Number of archives unpacked: 8833

Number of files scanned: 171952

Number of files not scanned: 85

Number of files skipped due to exclude list: 0

Number of infected files found: 11

Number of infected files repaired/deleted: 11

Number of infections removed: 11

Total scanning time: 1h 2m 41s

Leider zeigt MBAM wenn ich es laufen lasse immer noch die selben Trojaner wie oben genannt an, stimmt da was mit MBAM nicht oder sind die wirklich noch drauf?

Lg, proud.mommie

Halli hallo.

Ich übernehme mal an dieser Stelle.

Vergiss alles was du bisher so gemacht hast.. ;)

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste danach bitte ein frisches HJT log.

Hallo undoreal hier der combofix log habe alles nach den Angaben ausgeführt.... hoffe das hilft

Code:

ComboFix 08-12-14.04 - Doro 2008-12-17 15:03:29.4 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.494.214 [GMT -5:00]

ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe

.
 

(((((((((((((((((((((((   Dateien erstellt von 2008-11-17 bis 2008-12-17  ))))))))))))))))))))))))))))))

.
 

2008-12-16 13:31 . 2008-12-16 13:31        580,096        --a--c---        c:\windows\system32\dllcache\user32.dll

2008-12-16 13:28 . 2008-12-16 13:29        <DIR>        d--------        c:\windows\ERUNT

2008-12-16 13:28 . 2001-08-18 12:00        1,688        --a------        c:\windows\system32\AUTOEXEC.NT

2008-12-16 13:25 . 2008-12-16 14:00        <DIR>        d--------        C:\SDFix

2008-12-15 19:01 . 2008-04-13 13:45        26,112        --a------        c:\windows\system32\drivers\usbser.sys

2008-12-15 19:01 . 2008-04-13 13:45        26,112        --a--c---        c:\windows\system32\dllcache\usbser.sys

2008-12-15 18:37 . 2008-12-15 18:37        <DIR>        d--------        c:\programme\Trend Micro

2008-12-14 22:13 . 2008-12-14 22:13        <DIR>        d--------        c:\programme\CCleaner

2008-12-14 21:36 . 2008-12-14 23:28        <DIR>        d--------        c:\programme\Enigma Software Group

2008-12-14 20:02 . 2008-12-14 20:02        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2008-12-14 20:02 . 2008-12-14 20:02        <DIR>        d--------        c:\dokumente und einstellungen\Doro\Anwendungsdaten\Malwarebytes

2008-12-14 20:02 . 2008-12-14 20:02        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-12-14 20:02 . 2008-12-03 19:54        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys

2008-12-14 20:02 . 2008-12-03 19:54        15,504        --a------        c:\windows\system32\drivers\mbam.sys

2008-12-14 14:48 . 2008-12-14 23:14        <DIR>        d--------        c:\programme\Spybot - Search & Destroy

2008-12-14 14:48 . 2008-12-16 17:29        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-12-14 11:41 . 2008-12-14 11:41        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com

2008-12-14 11:40 . 2008-12-14 11:40        <DIR>        d--------        c:\programme\SUPERAntiSpyware

2008-12-14 11:40 . 2008-12-14 11:40        <DIR>        d--------        c:\dokumente und einstellungen\Doro\Anwendungsdaten\SUPERAntiSpyware.com

2008-12-14 11:38 . 2008-12-14 11:38        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2008-12-05 01:09 . 2008-09-15 10:24        1,846,528        -----c---        c:\windows\system32\dllcache\win32k.sys

2008-12-05 01:09 . 2008-09-08 05:41        333,824        -----c---        c:\windows\system32\dllcache\srv.sys

2008-12-05 01:09 . 2008-06-14 12:32        273,024        -----c---        c:\windows\system32\dllcache\bthport.sys

2008-12-05 01:09 . 2008-08-14 05:04        138,496        -----c---        c:\windows\system32\dllcache\afd.sys

2008-12-05 01:08 . 2008-08-14 08:19        2,191,488        -----c---        c:\windows\system32\dllcache\ntoskrnl.exe

2008-12-05 01:08 . 2008-08-14 08:19        2,147,840        -----c---        c:\windows\system32\dllcache\ntkrnlmp.exe

2008-12-05 01:08 . 2008-08-14 08:19        2,068,352        -----c---        c:\windows\system32\dllcache\ntkrnlpa.exe

2008-12-05 01:08 . 2008-08-14 08:19        2,026,496        -----c---        c:\windows\system32\dllcache\ntkrpamp.exe

2008-12-05 01:08 . 2008-04-11 14:04        691,712        -----c---        c:\windows\system32\dllcache\inetcomm.dll

2008-12-05 01:08 . 2008-10-24 06:21        455,296        -----c---        c:\windows\system32\dllcache\mrxsmb.sys

2008-12-05 01:08 . 2008-05-08 09:02        203,136        -----c---        c:\windows\system32\dllcache\rmcast.sys

2008-12-05 01:07 . 2008-10-15 11:35        337,408        -----c---        c:\windows\system32\dllcache\netapi32.dll

2008-12-04 07:27 . 2008-12-04 07:27        <DIR>        d--------        c:\windows\system32\de

2008-12-04 07:27 . 2008-12-04 07:27        <DIR>        d--------        c:\windows\system32\bits

2008-12-04 07:27 . 2008-12-04 07:27        <DIR>        d--------        c:\windows\l2schemas

2008-12-04 07:23 . 2008-12-04 07:29        <DIR>        d--------        c:\windows\ServicePackFiles

2008-12-04 07:11 . 2008-12-04 07:11        <DIR>        d--------        c:\windows\EHome

2008-12-03 10:20 . 2008-12-03 10:20        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\hps

2008-12-03 10:05 . 2008-12-15 18:57        <DIR>        d--------        c:\programme\dm

2008-12-03 09:23 . 2008-12-03 09:23        410,976        --a------        c:\windows\system32\deploytk.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-16 01:32        ---------        d-----w        c:\dokumente und einstellungen\Doro\Anwendungsdaten\Skype

2008-12-16 01:12        ---------        d-----w        c:\programme\Java

2008-12-16 01:11        ---------        d-----w        c:\programme\Hewlett-Packard

2008-12-16 01:07        ---------        d-----w        c:\programme\Elaborate Bytes

2008-12-16 01:06        ---------        d-----w        c:\programme\SlySoft

2008-12-16 00:00        ---------        d--h--w        c:\programme\InstallShield Installation Information

2008-12-15 23:58        ---------        d-----w        c:\programme\Google

2008-12-14 22:13        ---------        d-----w        c:\programme\Gemeinsame Dateien\GMT

2008-12-14 15:36        ---------        d-----w        c:\dokumente und einstellungen\Doro\Anwendungsdaten\Slide

2008-12-05 12:16        ---------        d-----w        c:\dokumente und einstellungen\Doro\Anwendungsdaten\ICQ

2008-11-30 14:06        ---------        d-----w        c:\programme\ICQ6

2008-11-12 08:00        ---------        d-----w        c:\programme\MSXML 4.0

2008-10-24 11:21        455,296        ----a-w        c:\windows\system32\drivers\mrxsmb.sys

2008-10-23 12:36        286,720        ----a-w        c:\windows\system32\gdi32.dll

2008-10-16 20:04        826,368        ----a-w        c:\windows\system32\wininet.dll

2008-10-16 19:13        202,776        ----a-w        c:\windows\system32\wuweb.dll

2008-10-16 19:13        1,809,944        ----a-w        c:\windows\system32\wuaueng.dll

2008-10-16 19:12        561,688        ----a-w        c:\windows\system32\wuapi.dll

2008-10-16 19:12        323,608        ----a-w        c:\windows\system32\wucltui.dll

2008-10-16 19:09        92,696        ----a-w        c:\windows\system32\cdm.dll

2008-10-16 19:09        51,224        ----a-w        c:\windows\system32\wuauclt.exe

2008-10-16 19:09        43,544        ----a-w        c:\windows\system32\wups2.dll

2008-10-16 19:08        34,328        ----a-w        c:\windows\system32\wups.dll

2008-10-16 19:06        268,648        ----a-w        c:\windows\system32\mucltui.dll

2008-10-16 19:06        208,744        ----a-w        c:\windows\system32\muweb.dll

2008-10-03 10:03        247,326        ----a-w        c:\windows\system32\strmdll.dll

2008-09-30 21:43        1,286,152        ----a-w        c:\windows\system32\msxml4.dll

2008-07-23 22:43        92,064        ----a-w        c:\dokumente und einstellungen\Doro\mqdmmdm.sys

2008-07-23 22:43        9,232        ----a-w        c:\dokumente und einstellungen\Doro\mqdmmdfl.sys

2008-07-23 22:43        79,328        ----a-w        c:\dokumente und einstellungen\Doro\mqdmserd.sys

2008-07-23 22:43        66,656        ----a-w        c:\dokumente und einstellungen\Doro\mqdmbus.sys

2008-07-23 22:43        6,208        ----a-w        c:\dokumente und einstellungen\Doro\mqdmcmnt.sys

2008-07-23 22:43        5,936        ----a-w        c:\dokumente und einstellungen\Doro\mqdmwhnt.sys

2008-07-23 22:43        4,048        ----a-w        c:\dokumente und einstellungen\Doro\mqdmcr.sys

2008-07-23 22:43        25,600        ----a-w        c:\dokumente und einstellungen\Doro\usbsermptxp.sys

2008-07-23 22:43        22,768        ----a-w        c:\dokumente und einstellungen\Doro\usbsermpt.sys

2005-07-31 23:54        56        -csh--r        c:\windows\system32\BF4A0DBFE2.sys

2005-07-31 23:54        3,766        -csha-w        c:\windows\system32\KGyGaAvL.sys

.
 

(((((((((((((((((((((((((((((   snapshot@2008-12-14_22.53.41.55   )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-08-07 20:27:04        163,328        ----a-w        c:\windows\ERUNT\SDFIX\ERDNT.EXE

+ 2008-12-16 18:29:29        9,191,424        ----a-w        c:\windows\ERUNT\SDFIX\Users\00000001\NTUSER.DAT

+ 2008-12-16 18:29:30        3,174,400        ----a-w        c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat

+ 2008-08-07 20:27:04        163,328        ----a-w        c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE

+ 2008-12-16 18:29:13        9,191,424        ----a-w        c:\windows\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT

+ 2008-12-16 18:29:14        3,174,400        ----a-w        c:\windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat

- 2008-11-11 11:35:25        63,778        ----a-w        c:\windows\system32\perfc007.dat

+ 2008-12-15 22:19:34        63,778        ----a-w        c:\windows\system32\perfc007.dat

- 2008-11-11 11:35:26        52,962        ----a-w        c:\windows\system32\perfc009.dat

+ 2008-12-15 22:19:34        52,962        ----a-w        c:\windows\system32\perfc009.dat

- 2008-11-11 11:35:26        391,244        ----a-w        c:\windows\system32\perfh007.dat

+ 2008-12-15 22:19:34        391,244        ----a-w        c:\windows\system32\perfh007.dat

- 2008-11-11 11:35:26        380,548        ----a-w        c:\windows\system32\perfh009.dat

+ 2008-12-15 22:19:34        380,548        ----a-w        c:\windows\system32\perfh009.dat

+ 2008-12-16 18:37:52        16,384        ----atw        c:\windows\temp\Perflib_Perfdata_5a8.dat

+ 2008-12-16 21:14:43        16,384        ----atw        c:\windows\temp\Perflib_Perfdata_d4.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-12-04 1809648]

"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 65536]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]

"PadTouch"="c:\programme\TOSHIBA\Touch and Launch\PadExe.exe" [2004-11-17 1077327]

"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2004-11-15 118784]

"Toshiba Hotkey Utility"="c:\programme\Toshiba\Windows Utilities\Hotkey.exe" [2004-12-01 1089536]

"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2006-06-13 127036]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-03 136600]

"RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-31 385024]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-02-19 267048]

"ddoctorv2"="c:\programme\Comcast\Desktop Doctor\bin\sprtcmd.exe" [2008-04-24 202560]

"Creative WebCam Tray"="c:\programme\Creative\Shared Files\CAMTRAY.EXE" [2004-07-30 245760]

"CFSServ.exe"="CFSServ.exe" [BU]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
 

c:\dokumente und einstellungen\Doro\Startmen\Programme\Autostart\

Microsoft Office OneNote 2003 Schnellstart.lnk - c:\programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 64864]
 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]

Source= c:\dokumente und einstellungen\Doro\Eigene Dateien\Deployment\Anniversary.html

FriendlyName= 
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2008-12-03 14:56 352256 c:\programme\SUPERAntiSpyware\SASWINLO.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=

"c:\\Programme\\BuddyW\\BuddyW.exe"=

"c:\\Programme\\IncrediMail\\bin\\IncMail.exe"=

"c:\\Programme\\IncrediMail\\bin\\IMApp.exe"=

"c:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"c:\\Programme\\ICQ6\\ICQ.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-31 111184]

R1 SASDIFSV;SASDIFSV;\??\c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2008-12-04 8944]

R1 SASKUTIL;SASKUTIL;\??\c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2008-12-04 55024]

R1 SMBHC;Microsoft SM Bus-Hostcontrollertreiber;c:\windows\system32\DRIVERS\SMBHC.sys [2004-11-24 6784]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-31 20560]

R3 IPN2220;INPROCOMM IPN2220 Wireless LAN Card Driver;c:\windows\system32\DRIVERS\i2220ntx.sys [2004-11-25 155392]

R3 RegKill;RegKill;c:\windows\system32\Drivers\RegKill.sys [2007-02-15 11984]

R3 SASENUM;SASENUM;\??\c:\programme\SUPERAntiSpyware\SASENUM.SYS [2008-12-04 7408]

R3 SMBBATT;Microsoft Smart Battery-Treiber;c:\windows\system32\DRIVERS\SMBBATT.sys [2004-11-24 16000]

S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\DRIVERS\motccgp.sys [2008-07-23 17792]

S3 motccgpfl;MotCcgpFlService;c:\windows\system32\DRIVERS\motccgpfl.sys [2008-07-23 7680]

S3 motport;Motorola USB Diagnostic Port;c:\windows\system32\DRIVERS\motport.sys [2008-07-23 21504]

S3 V0090VID;Creative WebCam Vista Plus;c:\windows\system32\DRIVERS\V0090Vid.sys [2005-07-19 138112]

S4 Sysdfu9uerv;Sysdfu9uerv; []
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b41d09d6-93c2-11dc-bc05-00c09f7acb86}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL h**p://www.mgae.com/keylauncher/?code=3654406265443444
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cdf8a290-6391-11dc-bbe0-00c09f7acb86}]

\Shell\AutoRun\command - E:\LaunchU3.exe -a

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = w*w.yahoo.com/

mWindow Title = Windows Internet Explorer provided by Comcast
 

c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\ImageUploader3.ocx

O16 -: {5F8A33E7-6A32-4EE0-887A-134C627CB052}

hxxp://meinefamilie.myphotoalbum.com/EasyUploadTool.cab

c:\windows\Downloaded Program Files\ImageUploader3.inf

FF - ProfilePath - c:\dokumente und einstellungen\Doro\Anwendungsdaten\Mozilla\Firefox\Profiles\538uob3x.default\

FF - user.js: yahoo.homepage.dontask - trueFF - prefs.js: browser.startup.homepage - hxxps://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl&bsv=1k96igf4806cy&ltmpl=default&ltmplcache=2&hl=en|http://www.incredimail.com/german/gifts/christmas-2008-player.aspx?mid=1

FF - plugin: c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF - plugin: c:\programme\iTunes\Mozilla Plugins\npitunes.dll

FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll

FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npjp2.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeploytk.dll

FF - plugin: c:\programme\Yahoo!\Shared\npYState.dll

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-17 15:07:08

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(636)

c:\programme\SUPERAntiSpyware\SASWINLO.dll

.

Zeit der Fertigstellung: 2008-12-17 15:09:03

ComboFix-quarantined-files.txt  2008-12-17 20:08:39

ComboFix2.txt  2008-12-16 04:15:04

ComboFix3.txt  2008-12-15 16:56:30

ComboFix4.txt  2008-12-15 03:55:13
 

Vor Suchlauf: 28 Verzeichnis(se), 34.131.947.520 Bytes frei

Nach Suchlauf: 28 Verzeichnis(se), 34,116,960,256 Bytes frei
 

231        --- E O F ---        2008-12-12 08:08:33

und der Hjt log

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:15:51, on 17.12.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\system32\DVDRAMSV.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe

C:\Programme\Toshiba\Windows Utilities\Hotkey.exe

C:\WINDOWS\System32\DLA\DLACTRLW.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\igfxext.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Comcast\Desktop Doctor\bin\sprtcmd.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\WINDOWS\system32\RAMASST.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\explorer.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :0

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe

O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe

O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [RegKillElbyCheck] "C:\Programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" /L RegKill

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [ddoctorv2] "C:\Programme\Comcast\Desktop Doctor\bin\sprtcmd.exe" /P ddoctorv2

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra button: eBay - {9E958ACA-8CB9-414B-B5C6-2F044D71F7B2} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.businessonline.t-online.de

O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www.snapfish.com/SnapfishActivia.cab

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.de/s/v/30.62/uploader2.cab

O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1006.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://mysoldiermy1love.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab

O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab

O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - http://meinefamilie.myphotoalbum.com/EasyUploadTool.cab

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab

O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} - http://www.nick.com/common/groove/gx/GrooveAX27.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-d5f0a3992c2a1ca1.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SupportSoft Sprocket Service (ddoctorv2) (sprtsvc_ddoctorv2) - SupportSoft, Inc. - C:\Programme\Comcast\Desktop Doctor\bin\sprtsvc.exe

O24 - Desktop Component 0: (no name) - C:\Dokumente und Einstellungen\Doro\Eigene Dateien\Deployment\Anniversary.html
 

--

End of file - 9565 bytes

Ich kann von den beiden logs nicht viel ablesen also :dankeschoen: dass Du Dir die Mühe machst da mal rein zu schauen!

Überprüfe das System noch mit SuperAntiPSyware und poste das log.

Wie geht's dem Rechner? Gibt es noch Probleme?

Hi Sorry das ich jetzt erst antworte hatte gestern einen busy day. Also dem Rechner geht es glaub ich ganz gut ;) läuft eigentlich wie immer. Habe gestern dann noch Superantispyware laufen lassen. Hat leider wieder was gefunden... Vielen Dank fuer die Hilfe.

Code:

SUPERAntiSpyware Scan Log

h**p://www.superantispyware.com
 

Generated 12/17/2008 at 09:53 PM
 

Application Version : 4.23.1006
 

Core Rules Database Version : 3674

Trace Rules Database Version: 1653
 

Scan type       : Complete Scan

Total Scan Time : 01:07:15
 

Memory items scanned      : 464

Memory threats detected   : 0

Registry items scanned    : 5411

Registry threats detected : 67

File items scanned        : 26896

File threats detected     : 6
 

Unclassified.Unknown Origin

        HKLM\Software\Classes\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}

        HKCR\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}

        HKCR\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}

        HKCR\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}\InprocServer32

        HKCR\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}\InprocServer32#ThreadingModel

        HKCR\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}\KeyPhrasesFileName

        HKCR\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}\ProgID

        HKCR\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}\VersionIndependentProgID

        HKCR\RXResult.RXResultFilter.1

        HKCR\RXResult.RXResultFilter

        C:\PROGRA~1\RXTOOL~1\SFCONT.DLL

        HKLM\Software\Classes\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}

        HKCR\CLSID\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}

        HKCR\CLSID\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\InprocServer32

        HKCR\CLSID\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\InprocServer32#ThreadingModel

        C:\WINDOWS\SYSTEM32\DDCCTNOH.DLL

        HKCR\CLSID\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}
 

Adware.RX Toolbar

        HKLM\Software\Classes\CLSID\{59879FA4-4790-461c-A1CC-4EC4DE4CA483}

        HKCR\CLSID\{59879FA4-4790-461C-A1CC-4EC4DE4CA483}

        HKCR\CLSID\{59879FA4-4790-461C-A1CC-4EC4DE4CA483}

        HKCR\CLSID\{59879FA4-4790-461C-A1CC-4EC4DE4CA483}\InprocServer32

        HKCR\CLSID\{59879FA4-4790-461C-A1CC-4EC4DE4CA483}\InprocServer32#ThreadingModel

        HKCR\CLSID\{59879FA4-4790-461C-A1CC-4EC4DE4CA483}\ProgID

        HKCR\CLSID\{59879FA4-4790-461C-A1CC-4EC4DE4CA483}\VersionIndependentProgID

        HKCR\RXResult.RXResultTracker.1

        HKCR\RXResult.RXResultTracker
 

Trojan.Homepage

        HKLM\Software\Classes\CLSID\{5f4c3d09-b3b9-4f88-aa82-31332fee1c08}

        HKCR\CLSID\{5F4C3D09-B3B9-4F88-AA82-31332FEE1C08}

        HKCR\CLSID\{5F4C3D09-B3B9-4F88-AA82-31332FEE1C08}\InprocServer32

        HKCR\CLSID\{5F4C3D09-B3B9-4F88-AA82-31332FEE1C08}\InprocServer32#ThreadingModel
 

Adware.IST/YourSiteBar

        HKLM\Software\Classes\CLSID\{86227D9C-0EFE-4f8a-AA55-30386A3F5686}

        HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}

        HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}

        HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\Implemented Categories

        HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}

        HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}

        HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\InprocServer32

        HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\InprocServer32#ThreadingModel

        HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\ProgID

        HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\Programmable

        HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\TypeLib

        HKCR\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}\VersionIndependentProgID

        HKCR\Ysb.YsbObj.1

        HKCR\Ysb.YsbObj

        HKCR\TypeLib\{86227D9C-0EFE-4f8a-AA55-30386A3F5686}

        C:\PROGRA~1\YOURSI~1\YSB.DLL
 

Adware.IST/SideFind

        HKLM\Software\Classes\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}

        HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}

        HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}

        HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\Implemented Categories

        HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\Implemented Categories\{00021493-0000-0000-C000-000000000046}

        HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}

        HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}

        HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\InprocServer32

        HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\InprocServer32#ThreadingModel

        HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\ProgID

        HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\Programmable

        HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\TypeLib

        HKCR\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\VersionIndependentProgID

        HKCR\SideFind.Finder.1

        HKCR\SideFind.Finder

        HKCR\TypeLib\{58634367-D62B-4C2C-86BE-5AAC45CDB671}

        C:\PROGRAMME\SIDEFIND\SIDEFIND.DLL

        HKLM\Software\Classes\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}

        HKCR\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}

        HKCR\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}\InprocServer32

        HKCR\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}\InprocServer32#ThreadingModel

        HKCR\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}\ProgID

        HKCR\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}\Programmable

        HKCR\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}\TypeLib

        HKCR\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}\VersionIndependentProgID
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Doro\Cookies\doro@atwola[2].txt

        C:\Dokumente und Einstellungen\Doro\Cookies\doro@atwola[1].txt

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Files to delete:
 
 
 

Folders to delete:

C:\PROGRA~1\RXTOOL~1

C:\PROGRA~1\YOURSI~1

C:\PROGRAMME\SIDEFIND

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

CureIT Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Und überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.