Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Brauche Hilfe bei Trojanerbefall (https://www.trojaner-board.de/68267-brauche-hilfe-trojanerbefall.html)

vik66 08.01.2009 17:57
Brauche Hilfe bei Trojanerbefall
 
Hallo zusammen, habe mächtige Probs mit einigen "Untermietern" und bitte um Hilfe/Lösungen, die Logfiles von HJT und Malwarebytes poste ich hier gleich mit:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:41:57, on 08.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\wscntfy.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: {8972b9f4-07d6-9839-e214-44264faa8e62} - {26e8aaf4-6244-412e-9389-6d704f9b2798} - C:\WINDOWS\system32\pxzpbc.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\cbXQjhhf.dll (file missing)
O2 - BHO: (no name) - {86049858-12AC-4DC3-BC06-F9493527E8C4} - C:\WINDOWS\system32\qoMeDWon.dll (file missing)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ecb3a271] rundll32.exe "C:\WINDOWS\system32\oxjctmex.dll",b
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O20 - AppInit_DLLs: pxzpbc.dll
O20 - Winlogon Notify: cbXQjhhf - cbXQjhhf.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5092 bytes

Code:
Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1631
Windows 5.1.2600 Service Pack 3

08.01.2009 15:26:59
mbam-log-2009-01-08 (15-26-41).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 63037
Laufzeit: 28 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 22

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\pxzpbc.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{26e8aaf4-6244-412e-9389-6d704f9b2798} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{26e8aaf4-6244-412e-9389-6d704f9b2798} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbxqjhhf (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{26e8aaf4-6244-412e-9389-6d704f9b2798} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ecb3a271 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\pxzpbc.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\cbXQjhhf.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\bjeycqhk.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\khqcyejb.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\mshedaup.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\puadehsm.ini (Trojan.Vundo.H) -> No action taken.
C:\ARK2A.tmp (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Haerger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9HDJY75B\upd105320[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Haerger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N50UDZEG\index[1] (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{9F619A94-73EF-4B90-8E63-DCBDEA8BDA14}\RP12\A0001357.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{9F619A94-73EF-4B90-8E63-DCBDEA8BDA14}\RP12\A0001358.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{9F619A94-73EF-4B90-8E63-DCBDEA8BDA14}\RP12\A0001376.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{9F619A94-73EF-4B90-8E63-DCBDEA8BDA14}\RP12\A0001377.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{9F619A94-73EF-4B90-8E63-DCBDEA8BDA14}\RP12\A0001378.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cxxvdx.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hqfsis.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jjodcdhm.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mmiedliv.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\svdmiz.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ukooqwcv.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\yhdetpkn.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ddcYoPJC.dll (Trojan.Vundo) -> No action taken.
vorab schon Danke für jedwede Hilfe!
lg vik

schrauber 08.01.2009 19:21
hi,

ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

vik66 08.01.2009 19:33
bedankt :daumenhoc @ schrauber26,

werd ich dann jetzt so durchführen und mich dann wieder melden.


lg, vik

vik66 08.01.2009 20:15
So, hier die 1. Rückmeldung:

CCleaner genau nach Anweisung laufen gelassen, scheint soweit ok bis auf ein Prob mit der Registry, die folgenden 2 Einträge tauchen immer wieder als Fehler auf und lassen sich nicht beseitigen, habe jetzt so 7-8 mal probiert.

Code:
ActiveX/COM Fehler        InProcServer32\C:\WINDOWS\system32\cbXQjhhf.dll        HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
ActiveX/COM Fehler        InProcServer32\C:\WINDOWS\system32\qoMeDWon.dll        HKCR\CLSID\{86049858-12AC-4DC3-BC06-F9493527E8C4}

schrauber 08.01.2009 20:16
weglassen, weitermachen :)

vik66 08.01.2009 20:19
Zitat:
Zitat von schrauber26 (Beitrag 404370)
weglassen, weitermachen :)
aye, aye ! :)

ich mache also weiter mit Combofix und poste dann das Log ...

vik66 08.01.2009 21:14
Sodele, hier isses denn:

Code:
ComboFix 09-01-08.01 - xxxx 2009-01-08 20:32:29.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.511.317 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxxx\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\bjeycqhk.dll
c:\windows\system32\cxxvdx.dll
c:\windows\system32\eepaxnil.dll
c:\windows\system32\hqfsis.dll
c:\windows\system32\jfiuai.dll
c:\windows\system32\jjodcdhm.dll
c:\windows\system32\khqcyejb.ini
c:\windows\system32\ksrsvejt.ini
c:\windows\system32\mmiedliv.dll
c:\windows\system32\mshedaup.dll
c:\windows\system32\noWDeMoq.ini
c:\windows\system32\noWDeMoq.ini2
c:\windows\system32\puadehsm.ini
c:\windows\system32\pxzpbc.dll
c:\windows\system32\svdmiz.dll
c:\windows\system32\tjevsrsk.dll
c:\windows\system32\ukooqwcv.dll
c:\windows\system32\vwrclnat.ini
c:\windows\system32\xemtcjxo.ini
c:\windows\system32\xrndwlqm.ini
c:\windows\system32\yhdetpkn.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2008-12-08 bis 2009-01-08  ))))))))))))))))))))))))))))))
.

2009-01-08 19:48 . 2009-01-08 19:48        <DIR>        d--------        c:\programme\CCleaner
2009-01-08 14:55 . 2009-01-08 14:55        <DIR>        d--------        c:\dokumente und einstellungen\xxxx\Anwendungsdaten\Malwarebytes
2009-01-08 14:54 . 2009-01-08 15:28        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware
2009-01-08 14:54 . 2009-01-08 14:54        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-08 14:54 . 2009-01-04 18:38        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-08 14:54 . 2009-01-04 18:38        15,504        --a------        c:\windows\system32\drivers\mbam.sys
2009-01-08 14:43 . 2009-01-08 14:43        <DIR>        d--------        c:\programme\Trend Micro
2009-01-06 19:40 . 2009-01-06 19:40        45,568        --a------        c:\windows\system32\ddcYoPJC.dll
2009-01-05 19:55 . 2009-01-05 20:11        <DIR>        d--------        c:\dokumente und einstellungen\xxxx\Anwendungsdaten\Winamp
2009-01-05 17:11 . 2009-01-05 17:14        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-01-05 14:48 . 2009-01-05 14:51        <DIR>        d--------        c:\windows\system32\NtmsData
2008-12-31 15:33 . 2009-01-08 10:29        116        --a------        c:\windows\NeroDigital.ini
2008-12-30 16:28 . 2008-12-30 16:37        <DIR>        d--------        c:\dokumente und einstellungen\xxxx\Anwendungsdaten\vlc
2008-12-30 16:25 . 2008-12-30 16:25        <DIR>        d--------        c:\programme\VideoLAN
2008-12-30 16:05 . 2003-03-09 00:32        571,904        --a------        c:\windows\system32\WinGrabEngine.dll
2008-12-29 06:22 . 2008-10-16 14:06        268,648        --a------        c:\windows\system32\mucltui.dll
2008-12-29 06:22 . 2008-10-16 14:06        208,744        --a------        c:\windows\system32\muweb.dll
2008-12-29 06:22 . 2008-10-16 14:06        27,496        --a------        c:\windows\system32\mucltui.dll.mui
2008-12-29 06:18 . 2008-12-29 06:18        268        --ah-----        C:\sqmdata00.sqm
2008-12-29 06:18 . 2008-12-29 06:18        244        --ah-----        C:\sqmnoopt00.sqm
2008-12-28 16:39 . 2008-12-28 16:39        <DIR>        d--------        c:\dokumente und einstellungen\xxxx\Anwendungsdaten\Ahead
2008-12-28 16:19 . 2008-12-31 13:54        <DIR>        d--------        c:\dokumente und einstellungen\xxxx\Contacts
2008-12-28 16:15 . 2008-12-28 16:15        <DIR>        d----c---        c:\windows\system32\DRVSTORE
2008-12-28 16:10 . 2008-12-28 16:14        <DIR>        d--------        c:\programme\Windows Live
2008-12-28 16:10 . 2008-12-28 16:13        <DIR>        d--hsc---        c:\programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-12-28 16:09 . 2008-12-28 16:09        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-12-28 14:47 . 2008-12-28 14:47        2,331,264        --a------        c:\windows\system32\TUKernel.exe
2008-12-28 11:55 . 2008-12-28 11:55        603,904        --a------        c:\windows\system32\TUProgSt.exe
2008-12-28 11:55 . 2008-12-28 11:55        360,192        --a------        c:\windows\system32\TuneUpDefragService.exe
2008-12-28 11:55 . 2008-12-11 13:31        27,904        --a------        c:\windows\system32\uxtuneup.dll
2008-12-28 11:54 . 2008-12-28 11:54        <DIR>        d--------        c:\dokumente und einstellungen\xxxx\Anwendungsdaten\TuneUp Software
2008-12-28 11:53 . 2008-12-28 11:55        <DIR>        d--------        c:\programme\TuneUp Utilities 2009
2008-12-28 11:53 . 2008-12-28 11:53        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-12-28 11:52 . 2008-12-28 11:52        <DIR>        d--hs----        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-28 11:10 . 2008-12-05 18:48        499,712        --a------        c:\windows\system32\msvcp71.dll
2008-12-28 11:10 . 2008-12-05 18:48        348,160        --a------        c:\windows\system32\msvcr71.dll
2008-12-28 11:09 . 2008-12-28 11:12        <DIR>        d--------        c:\windows\system32\Adobe
2008-12-28 10:52 . 2008-12-28 10:52        <DIR>        d--------        c:\programme\NOS
2008-12-28 10:52 . 2008-12-28 11:02        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2008-12-28 08:54 . 2008-12-28 09:00        45        --a------        C:\TEST.XML
2008-12-28 08:25 . 2008-12-28 08:30        <DIR>        d--------        c:\windows\system32\drivers\UMDF
2008-12-28 08:25 . 2008-12-28 07:47        <DIR>        d--------        c:\windows\system32\de-de
2008-12-28 08:25 . 2008-12-28 08:29        <DIR>        d--------        c:\windows\system32\de
2008-12-28 08:25 . 2008-12-28 08:25        <DIR>        d--------        c:\windows\Provisioning
2008-12-28 08:25 . 2008-12-28 08:30        <DIR>        d--------        c:\windows\PeerNet
2008-12-28 08:25 . 2008-12-28 08:31        <DIR>        d--------        c:\windows\L2Schemas
2008-12-28 08:25 . 2008-12-28 08:28        <DIR>        d--------        c:\windows\ehome
2008-12-28 08:05 . 2008-12-28 08:05        <DIR>        d---s----        c:\windows\system32\Microsoft
2008-12-28 07:59 . 2008-05-27 18:23        765,952        -----c---        c:\windows\system32\dllcache\vgx.dll
2008-12-28 07:59 . 2007-10-05 15:42        23,856        --a------        c:\windows\system32\spupdsvc.exe
2008-12-28 07:55 . 2008-12-28 07:55        749        -rah-----        c:\windows\WindowsShell.Manifest
2008-12-28 07:55 . 2008-12-28 07:55        749        -rah-----        c:\windows\system32\wuaucpl.cpl.manifest
2008-12-28 07:55 . 2008-12-28 07:55        749        -rah-----        c:\windows\system32\sapi.cpl.manifest
2008-12-28 07:55 . 2008-12-28 07:55        749        -rah-----        c:\windows\system32\nwc.cpl.manifest
2008-12-28 07:55 . 2008-12-28 07:55        749        -rah-----        c:\windows\system32\ncpa.cpl.manifest
2008-12-28 07:55 . 2008-12-28 07:55        488        -rah-----        c:\windows\system32\logonui.exe.manifest
2008-12-28 07:52 . 2008-04-14 14:00        129,792        --a------        c:\windows\system32\drivers\fltMgr.sys
2008-12-28 07:52 . 2008-04-14 14:00        23,040        --a------        c:\windows\system32\fltMc.exe
2008-12-28 07:52 . 2008-04-14 14:00        16,896        --a------        c:\windows\system32\fltlib.dll
2008-12-28 07:49 . 2008-12-28 07:49        <DIR>        d--------        c:\programme\Windows Media Connect 2
2008-12-28 07:47 . 2008-04-14 14:00        290,304        --a------        c:\windows\system32\rhttpaa.dll
2008-12-28 07:47 . 2008-04-14 14:00        136,192        --a------        c:\windows\system32\aaclient.dll
2008-12-28 07:47 . 2008-04-14 14:00        53,248        --a------        c:\windows\system32\tsgqec.dll
2008-12-28 07:39 . 2001-08-17 11:12        19,017        --a------        c:\windows\system32\drivers\RTL8029.sys
2008-12-28 07:36 . 2008-12-28 07:36        4,444        --a------        c:\windows\system32\pid.PNF
2008-12-28 07:35 . 2008-04-14 14:00        66,082        --a------        c:\windows\system32\c_28603.nls
2008-12-28 07:35 . 2008-04-14 14:00        24,661        --a------        c:\windows\system32\spxcoins.dll
2008-12-28 07:35 . 2008-04-14 14:00        13,824        --a------        c:\windows\system32\irclass.dll
2008-12-26 11:32 . 2005-09-01 12:03        127,488        ---------        c:\windows\system32\drivers\imagesrv.sys
2008-12-26 11:32 . 2005-09-01 12:03        5,888        ---------        c:\windows\system32\drivers\imagedrv.sys
2008-12-26 11:31 . 2008-12-26 11:31        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Ahead
2008-12-26 11:31 . 2008-12-26 11:31        <DIR>        d--------        c:\programme\Ahead
2008-12-26 11:31 . 2004-07-26 17:16        1,568,768        ---------        c:\windows\system32\ImagX7.dll
2008-12-26 11:31 . 2004-07-26 17:16        476,320        ---------        c:\windows\system32\ImagXpr7.dll
2008-12-26 11:31 . 2004-07-26 17:16        471,040        ---------        c:\windows\system32\ImagXRA7.dll
2008-12-26 11:31 . 2004-07-09 09:43        364,544        ---------        c:\windows\system32\TwnLib4.dll
2008-12-26 11:31 . 2004-07-26 17:16        262,144        ---------        c:\windows\system32\ImagXR7.dll
2008-12-26 11:31 . 2001-07-09 11:50        155,648        --a------        c:\windows\system32\NeroCheck.exe
2008-12-26 11:31 . 2000-06-26 11:45        106,496        --a------        c:\windows\system32\TwnLib20.dll
2008-12-23 11:39 . 2008-12-23 11:39        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-12-23 11:35 . 2008-12-28 08:04        <DIR>        d--------        c:\windows\nview
2008-12-23 11:35 . 2005-04-01 16:16        176,128        --a------        c:\windows\system32\nvudisp.exe
2008-12-23 11:35 . 2005-04-01 16:16        14,435        --a------        c:\windows\system32\nvdisp.nvu
2008-12-23 11:33 . 2008-12-23 11:33        <DIR>        d--------        C:\NVIDIA
2008-12-21 03:22 . 2008-12-25 02:34        1,187        --a------        C:\ignore.list
2008-12-17 23:37 . 2008-12-17 23:38        <DIR>        d--------        c:\programme\FlashFXP
2008-12-17 23:37 . 2008-12-17 23:37        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashFXP
2008-12-17 21:18 . 2008-12-17 23:12        <DIR>        d--------        c:\programme\Bouquet Wizard
2008-12-17 18:36 . 2008-12-17 18:36        <DIR>        d--------        c:\programme\Shareaza
2008-12-17 11:12 . 2008-12-17 11:12        <DIR>        d--------        c:\programme\Avira
2008-12-17 11:12 . 2008-12-17 11:12        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-17 09:31 . 2008-12-17 09:31        <DIR>        d--------        c:\dokumente und einstellungen\xxxx\AVM_Driver
2008-12-10 19:32 . 2008-12-10 19:32        286,720        --a------        c:\windows\system32\gdi32.dll
2008-12-10 19:32 . 2008-12-10 19:32        247,326        --a------        c:\windows\system32\strmdll.dll
2008-12-10 19:30 . 2008-12-10 19:30        1,847,040        --a------        c:\windows\system32\win32k.sys
2008-12-10 19:30 . 2008-12-10 19:30        1,379,840        --a------        c:\windows\system32\msxml6.dll
2008-12-10 19:30 . 2008-12-10 19:30        1,106,944        --a------        c:\windows\system32\msxml3.dll
2008-12-10 19:30 . 2008-12-10 19:30        455,936        --a------        c:\windows\system32\drivers\mrxsmb.sys
2008-12-10 18:33 . 2008-12-10 18:33        1,661,440        --a------        c:\windows\system32\WMPEncEn.dll
2008-12-10 18:31 . 2008-12-10 18:31        1,571,840        --a------        c:\windows\system32\sfcfiles.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-28 10:00        ---------        d-----w        c:\programme\Gemeinsame Dateien\Adobe
2008-12-28 06:53        ---------        d-----w        c:\programme\Gemeinsame Dateien\Dienste
2008-12-10 18:35        86,073        ----a-w        c:\windows\system32\usrfaxa.dll
2008-12-10 18:31        938,496        ----a-w        c:\windows\system32\wmnetmgr.dll
2008-12-10 17:34        991,744        ----a-w        c:\windows\system32\drmv2clt.dll
2008-12-10 17:33        8,704        ----a-w        c:\windows\system32\wdfmgr.exe
2008-12-10 17:31        78,336        ----a-w        c:\windows\system32\ieencode.dll
2008-12-10 17:31        71,680        ----a-w        c:\windows\system32\admparse.dll
2008-12-10 17:31        55,296        ----a-w        c:\windows\system32\iesetup.dll
2008-12-10 17:31        48,128        ----a-w        c:\windows\system32\mshtmler.dll
2008-12-10 17:31        45,568        ----a-w        c:\windows\system32\mshta.exe
2008-12-10 17:31        40,960        ----a-w        c:\windows\system32\licmgr10.dll
2008-12-10 17:31        36,352        ----a-w        c:\windows\system32\imgutil.dll
2008-12-10 17:31        26,112        ----a-w        c:\windows\system32\idndl.dll
2008-12-10 17:31        24,576        ----a-w        c:\windows\system32\nlsdl.dll
2008-12-10 17:31        23,552        ----a-w        c:\windows\system32\normaliz.dll
2008-12-10 17:31        17,408        ----a-w        c:\windows\system32\corpol.dll
2008-12-10 17:31        156,160        ----a-w        c:\windows\system32\msls31.dll
2008-12-10 17:31        1,005,056        ----a-w        c:\windows\system32\syssetup.dll
2008-12-06 22:12        ---------        d--h--w        c:\programme\InstallShield Installation Information
2008-12-06 22:12        ---------        d-----w        c:\programme\Logitech
2008-12-06 22:12        ---------        d-----w        c:\programme\Gemeinsame Dateien\Logitech
2008-12-06 22:12        ---------        d-----w        c:\programme\Gemeinsame Dateien\InstallShield
2008-12-06 07:24        ---------        d-----w        c:\dokumente und einstellungen\xxxx\Anwendungsdaten\Logitech
2008-12-06 05:37        ---------        d-----w        c:\programme\microsoft frontpage
2008-12-06 05:33        ---------        d-----w        c:\programme\Online-Dienste
2008-10-16 21:04        826,368        ----a-w        c:\windows\system32\wininet.dll
2008-10-16 09:43        202,776        ----a-w        c:\windows\system32\wuweb.dll
2008-10-16 09:43        1,809,944        ----a-w        c:\windows\system32\wuaueng.dll
2008-10-16 09:42        561,688        ----a-w        c:\windows\system32\wuapi.dll
2008-10-16 09:42        323,608        ----a-w        c:\windows\system32\wucltui.dll
2008-10-16 09:39        92,696        ----a-w        c:\windows\system32\cdm.dll
2008-10-16 09:39        51,224        ----a-w        c:\windows\system32\wuauclt.exe
2008-10-16 09:39        43,544        ----a-w        c:\windows\system32\wups2.dll
2008-10-16 09:38        34,328        ----a-w        c:\windows\system32\wups.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2005-09-16 1961984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-04-01 5562368]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\KEM.exe [2008-12-06 573440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=jfiuai.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 06:52 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]
--a------ 2002-11-23 02:15 631362 c:\programme\Logitech\iTouch\iTouch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"nwiz"=nwiz.exe /install
"NvMediaCenter"=RUNDLL32.EXE c:\windows\System32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\FlashFXP\\FlashFXP.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Shareaza\\Shareaza.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=


R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2008-12-17 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2008-12-17 45376]
R4 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2008-12-28 603904]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-12-28 33752]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-01-08 c:\windows\Tasks\rtycnivz.job
- c:\windows\system32\rundll32.exe [2008-04-14 14:00]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{306117df-d814-4a59-8aa8-1f457a2cabe9} - c:\windows\system32\jfiuai.dll
BHO-{86049858-12AC-4DC3-BC06-F9493527E8C4} - c:\windows\system32\qoMeDWon.dll
Notify-cbXQjhhf - cbXQjhhf.dll
MSConfigStartUp-STYLEXP - c:\programme\TGTSoft\StyleXP\StyleXP.exe


.
------- Zusätzlicher Suchlauf -------
.
IE: Mit &Google suchen - c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
FF - ProfilePath - c:\dokumente und einstellungen\xxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\zrst0mpp.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.msn.com/

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-08 20:38:47
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Logitech\SetPoint\KHALMNPR.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-08 20:42:22 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-01-08 19:42:19

Vor Suchlauf: 434.139.136 Bytes frei
Nach Suchlauf: 502,824,960 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /TUTag=OZOY5N /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /noexecute=optin /fastdetect /TUTag=OZOY5N-BAK

274        --- E O F ---        2008-12-28 08:44:07
lg, vik

schrauber 08.01.2009 22:34
Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Zitat:
File::
c:\windows\system32\ddcYoPJC.dll
C:\sqmdata00.sqm
C:\sqmnoopt00.sqm
c:\windows\system32\c_28603.nls
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

==========

malwarebytes updaten, komplettscan, funde löschen lassen, log posten.

==========


Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

===

poste ein frisches hjt-logfile.

vik66 08.01.2009 22:37
okay, ich mache wie von dir beschrieben weiter und poste dann wieder...

thx a lot so far! :party:

vik

vik66 08.01.2009 22:53
..fast vergessen, wie sieht das mit der systemwiederherstellung aus? die hatte ich vorhin nach combofix ausführung bereits deaktiviert weil die jungs sich da ja auch niedergelassen hatten...

ich vermute mal weiterhin deaktiviert lassen, oder?

schrauber 09.01.2009 06:40
hatte ich gesagt du sollst sie deaktivieren?

die hätten wir am schluss deaktiviert und aktiviert, da es bei einer bereinigung immer dazu kommen kann, dass sich der rechner verabschiedet, und dann ist eine eingeschaltete SWH die letzte rettung.

lieber auf einen verseuchten alten punkt zurück als gar nicht mehr.....

mach bitte mit dem rest der anleitung weiter.

vik66 09.01.2009 16:02
Zitat:
Zitat von schrauber26 (Beitrag 404465)
hatte ich gesagt du sollst sie deaktivieren?

die hätten wir am schluss deaktiviert und aktiviert, da es bei einer bereinigung immer dazu kommen kann, dass sich der rechner verabschiedet, und dann ist eine eingeschaltete SWH die letzte rettung.

lieber auf einen verseuchten alten punkt zurück als gar nicht mehr.....

mach bitte mit dem rest der anleitung weiter.
Moin Moin,

na ich wieder, :rolleyes: dachte ich mach damit was "halbwegs" richtiges...

hab sie denn zur Sicherheit vor dem 2. Combofix-Durchlauf wieder aktiviert, hoffe das war dann nicht wieder falsch..?:heilig:

So, nun zum Aktuellen Status:

Combofix mit dem Script ausgeführt, Log dazu:

Code:
ComboFix 09-01-08.01 - Haerger 2009-01-09 14:19:16.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.511.337 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Haerger\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Haerger\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\sqmdata00.sqm
C:\sqmnoopt00.sqm
c:\windows\system32\c_28603.nls
c:\windows\system32\ddcYoPJC.dll
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\sqmdata00.sqm
C:\sqmnoopt00.sqm
c:\windows\system32\c_28603.nls
c:\windows\system32\ddcYoPJC.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2008-12-09 bis 2009-01-09  ))))))))))))))))))))))))))))))
.

2009-01-08 19:48 . 2009-01-08 19:48        <DIR>        d--------        c:\programme\CCleaner
2009-01-08 14:55 . 2009-01-08 14:55        <DIR>        d--------        c:\dokumente und einstellungen\Haerger\Anwendungsdaten\Malwarebytes
2009-01-08 14:54 . 2009-01-08 15:28        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware
2009-01-08 14:54 . 2009-01-08 14:54        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-08 14:54 . 2009-01-04 18:38        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-08 14:54 . 2009-01-04 18:38        15,504        --a------        c:\windows\system32\drivers\mbam.sys
2009-01-08 14:43 . 2009-01-08 14:43        <DIR>        d--------        c:\programme\Trend Micro
2009-01-05 19:55 . 2009-01-05 20:11        <DIR>        d--------        c:\dokumente und einstellungen\Haerger\Anwendungsdaten\Winamp
2009-01-05 17:11 . 2009-01-05 17:14        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-01-05 14:48 . 2009-01-05 14:51        <DIR>        d--------        c:\windows\system32\NtmsData
2008-12-31 15:33 . 2009-01-09 01:50        116        --a------        c:\windows\NeroDigital.ini
2008-12-30 16:28 . 2008-12-30 16:37        <DIR>        d--------        c:\dokumente und einstellungen\Haerger\Anwendungsdaten\vlc
2008-12-30 16:25 . 2008-12-30 16:25        <DIR>        d--------        c:\programme\VideoLAN
2008-12-30 16:05 . 2003-03-09 00:32        571,904        --a------        c:\windows\system32\WinGrabEngine.dll
2008-12-29 06:22 . 2008-10-16 14:06        268,648        --a------        c:\windows\system32\mucltui.dll
2008-12-29 06:22 . 2008-10-16 14:06        208,744        --a------        c:\windows\system32\muweb.dll
2008-12-29 06:22 . 2008-10-16 14:06        27,496        --a------        c:\windows\system32\mucltui.dll.mui
2008-12-28 16:39 . 2008-12-28 16:39        <DIR>        d--------        c:\dokumente und einstellungen\Haerger\Anwendungsdaten\Ahead
2008-12-28 16:19 . 2008-12-31 13:54        <DIR>        d--------        c:\dokumente und einstellungen\Haerger\Contacts
2008-12-28 16:15 . 2008-12-28 16:15        <DIR>        d----c---        c:\windows\system32\DRVSTORE
2008-12-28 16:10 . 2008-12-28 16:14        <DIR>        d--------        c:\programme\Windows Live
2008-12-28 16:10 . 2008-12-28 16:13        <DIR>        d--hsc---        c:\programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-12-28 16:09 . 2008-12-28 16:09        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-12-28 14:47 . 2008-12-28 14:47        2,331,264        --a------        c:\windows\system32\TUKernel.exe
2008-12-28 11:55 . 2008-12-28 11:55        603,904        --a------        c:\windows\system32\TUProgSt.exe
2008-12-28 11:55 . 2008-12-28 11:55        360,192        --a------        c:\windows\system32\TuneUpDefragService.exe
2008-12-28 11:55 . 2008-12-11 13:31        27,904        --a------        c:\windows\system32\uxtuneup.dll
2008-12-28 11:54 . 2008-12-28 11:54        <DIR>        d--------        c:\dokumente und einstellungen\Haerger\Anwendungsdaten\TuneUp Software
2008-12-28 11:53 . 2008-12-28 11:55        <DIR>        d--------        c:\programme\TuneUp Utilities 2009
2008-12-28 11:53 . 2008-12-28 11:53        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-12-28 11:52 . 2008-12-28 11:52        <DIR>        d--hs----        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-28 11:10 . 2008-12-05 18:48        499,712        --a------        c:\windows\system32\msvcp71.dll
2008-12-28 11:10 . 2008-12-05 18:48        348,160        --a------        c:\windows\system32\msvcr71.dll
2008-12-28 11:09 . 2008-12-28 11:12        <DIR>        d--------        c:\windows\system32\Adobe
2008-12-28 10:52 . 2008-12-28 10:52        <DIR>        d--------        c:\programme\NOS
2008-12-28 10:52 . 2008-12-28 11:02        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2008-12-28 08:54 . 2008-12-28 09:00        45        --a------        C:\TEST.XML
2008-12-28 08:25 . 2008-12-28 08:30        <DIR>        d--------        c:\windows\system32\drivers\UMDF
2008-12-28 08:25 . 2008-12-28 07:47        <DIR>        d--------        c:\windows\system32\de-de
2008-12-28 08:25 . 2008-12-28 08:29        <DIR>        d--------        c:\windows\system32\de
2008-12-28 08:25 . 2008-12-28 08:25        <DIR>        d--------        c:\windows\Provisioning
2008-12-28 08:25 . 2008-12-28 08:30        <DIR>        d--------        c:\windows\PeerNet
2008-12-28 08:25 . 2008-12-28 08:31        <DIR>        d--------        c:\windows\L2Schemas
2008-12-28 08:25 . 2008-12-28 08:28        <DIR>        d--------        c:\windows\ehome
2008-12-28 08:05 . 2008-12-28 08:05        <DIR>        d---s----        c:\windows\system32\Microsoft
2008-12-28 07:59 . 2008-05-27 18:23        765,952        -----c---        c:\windows\system32\dllcache\vgx.dll
2008-12-28 07:59 . 2007-10-05 15:42        23,856        --a------        c:\windows\system32\spupdsvc.exe
2008-12-28 07:55 . 2008-12-28 07:55        749        -rah-----        c:\windows\WindowsShell.Manifest
2008-12-28 07:55 . 2008-12-28 07:55        749        -rah-----        c:\windows\system32\wuaucpl.cpl.manifest
2008-12-28 07:55 . 2008-12-28 07:55        749        -rah-----        c:\windows\system32\sapi.cpl.manifest
2008-12-28 07:55 . 2008-12-28 07:55        749        -rah-----        c:\windows\system32\nwc.cpl.manifest
2008-12-28 07:55 . 2008-12-28 07:55        749        -rah-----        c:\windows\system32\ncpa.cpl.manifest
2008-12-28 07:55 . 2008-12-28 07:55        488        -rah-----        c:\windows\system32\logonui.exe.manifest
2008-12-28 07:52 . 2008-04-14 14:00        129,792        --a------        c:\windows\system32\drivers\fltMgr.sys
2008-12-28 07:52 . 2008-04-14 14:00        23,040        --a------        c:\windows\system32\fltMc.exe
2008-12-28 07:52 . 2008-04-14 14:00        16,896        --a------        c:\windows\system32\fltlib.dll
2008-12-28 07:49 . 2008-12-28 07:49        <DIR>        d--------        c:\programme\Windows Media Connect 2
2008-12-28 07:47 . 2008-04-14 14:00        290,304        --a------        c:\windows\system32\rhttpaa.dll
2008-12-28 07:47 . 2008-04-14 14:00        136,192        --a------        c:\windows\system32\aaclient.dll
2008-12-28 07:47 . 2008-04-14 14:00        53,248        --a------        c:\windows\system32\tsgqec.dll
2008-12-28 07:39 . 2001-08-17 11:12        19,017        --a------        c:\windows\system32\drivers\RTL8029.sys
2008-12-28 07:36 . 2008-12-28 07:36        4,444        --a------        c:\windows\system32\pid.PNF
2008-12-28 07:35 . 2008-04-14 14:00        24,661        --a------        c:\windows\system32\spxcoins.dll
2008-12-28 07:35 . 2008-04-14 14:00        13,824        --a------        c:\windows\system32\irclass.dll
2008-12-26 11:32 . 2005-09-01 12:03        127,488        ---------        c:\windows\system32\drivers\imagesrv.sys
2008-12-26 11:32 . 2005-09-01 12:03        5,888        ---------        c:\windows\system32\drivers\imagedrv.sys
2008-12-26 11:31 . 2008-12-26 11:31        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Ahead
2008-12-26 11:31 . 2008-12-26 11:31        <DIR>        d--------        c:\programme\Ahead
2008-12-26 11:31 . 2004-07-26 17:16        1,568,768        ---------        c:\windows\system32\ImagX7.dll
2008-12-26 11:31 . 2004-07-26 17:16        476,320        ---------        c:\windows\system32\ImagXpr7.dll
2008-12-26 11:31 . 2004-07-26 17:16        471,040        ---------        c:\windows\system32\ImagXRA7.dll
2008-12-26 11:31 . 2004-07-09 09:43        364,544        ---------        c:\windows\system32\TwnLib4.dll
2008-12-26 11:31 . 2004-07-26 17:16        262,144        ---------        c:\windows\system32\ImagXR7.dll
2008-12-26 11:31 . 2001-07-09 11:50        155,648        --a------        c:\windows\system32\NeroCheck.exe
2008-12-26 11:31 . 2000-06-26 11:45        106,496        --a------        c:\windows\system32\TwnLib20.dll
2008-12-23 11:39 . 2008-12-23 11:39        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-12-23 11:35 . 2008-12-28 08:04        <DIR>        d--------        c:\windows\nview
2008-12-23 11:35 . 2005-04-01 16:16        176,128        --a------        c:\windows\system32\nvudisp.exe
2008-12-23 11:35 . 2005-04-01 16:16        14,435        --a------        c:\windows\system32\nvdisp.nvu
2008-12-23 11:33 . 2008-12-23 11:33        <DIR>        d--------        C:\NVIDIA
2008-12-21 03:22 . 2008-12-25 02:34        1,187        --a------        C:\ignore.list
2008-12-21 03:14 . 2008-12-23 10:43        <DIR>        d--------        c:\programme\cwshare
2008-12-17 23:37 . 2008-12-17 23:38        <DIR>        d--------        c:\programme\FlashFXP
2008-12-17 23:37 . 2008-12-17 23:37        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashFXP
2008-12-17 21:18 . 2008-12-17 23:12        <DIR>        d--------        c:\programme\Bouquet Wizard
2008-12-17 18:36 . 2008-12-17 18:36        <DIR>        d--------        c:\programme\Shareaza
2008-12-17 11:23 . 2008-12-17 11:23        0        --a------        c:\windows\nsreg.dat
2008-12-17 11:12 . 2008-12-17 11:12        <DIR>        d--------        c:\programme\Avira
2008-12-17 11:12 . 2008-12-17 11:12        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-17 09:31 . 2008-12-17 09:31        <DIR>        d--------        c:\dokumente und einstellungen\Haerger\AVM_Driver
2008-12-10 19:32 . 2008-12-10 19:32        286,720        --a------        c:\windows\system32\gdi32.dll
2008-12-10 19:32 . 2008-12-10 19:32        247,326        --a------        c:\windows\system32\strmdll.dll
2008-12-10 19:30 . 2008-12-10 19:30        1,847,040        --a------        c:\windows\system32\win32k.sys
2008-12-10 19:30 . 2008-12-10 19:30        1,379,840        --a------        c:\windows\system32\msxml6.dll
2008-12-10 19:30 . 2008-12-10 19:30        1,106,944        --a------        c:\windows\system32\msxml3.dll
2008-12-10 19:30 . 2008-12-10 19:30        455,936        --a------        c:\windows\system32\drivers\mrxsmb.sys
2008-12-10 18:33 . 2008-12-10 18:33        1,661,440        --a------        c:\windows\system32\WMPEncEn.dll
2008-12-10 18:31 . 2008-12-10 18:31        1,571,840        --a------        c:\windows\system32\sfcfiles.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-28 10:00        ---------        d-----w        c:\programme\Gemeinsame Dateien\Adobe
2008-12-28 06:53        ---------        d-----w        c:\programme\Gemeinsame Dateien\Dienste
2008-12-10 18:35        86,073        ----a-w        c:\windows\system32\usrfaxa.dll
2008-12-10 18:31        938,496        ----a-w        c:\windows\system32\wmnetmgr.dll
2008-12-10 17:34        991,744        ----a-w        c:\windows\system32\drmv2clt.dll
2008-12-10 17:33        8,704        ----a-w        c:\windows\system32\wdfmgr.exe
2008-12-10 17:31        78,336        ----a-w        c:\windows\system32\ieencode.dll
2008-12-10 17:31        71,680        ----a-w        c:\windows\system32\admparse.dll
2008-12-10 17:31        55,296        ----a-w        c:\windows\system32\iesetup.dll
2008-12-10 17:31        48,128        ----a-w        c:\windows\system32\mshtmler.dll
2008-12-10 17:31        45,568        ----a-w        c:\windows\system32\mshta.exe
2008-12-10 17:31        40,960        ----a-w        c:\windows\system32\licmgr10.dll
2008-12-10 17:31        36,352        ----a-w        c:\windows\system32\imgutil.dll
2008-12-10 17:31        26,112        ----a-w        c:\windows\system32\idndl.dll
2008-12-10 17:31        24,576        ----a-w        c:\windows\system32\nlsdl.dll
2008-12-10 17:31        23,552        ----a-w        c:\windows\system32\normaliz.dll
2008-12-10 17:31        17,408        ----a-w        c:\windows\system32\corpol.dll
2008-12-10 17:31        156,160        ----a-w        c:\windows\system32\msls31.dll
2008-12-10 17:31        1,005,056        ----a-w        c:\windows\system32\syssetup.dll
2008-12-06 22:12        ---------        d--h--w        c:\programme\InstallShield Installation Information
2008-12-06 22:12        ---------        d-----w        c:\programme\Logitech
2008-12-06 22:12        ---------        d-----w        c:\programme\Gemeinsame Dateien\Logitech
2008-12-06 22:12        ---------        d-----w        c:\programme\Gemeinsame Dateien\InstallShield
2008-12-06 07:24        ---------        d-----w        c:\dokumente und einstellungen\Haerger\Anwendungsdaten\Logitech
2008-12-06 05:37        ---------        d-----w        c:\programme\microsoft frontpage
2008-12-06 05:33        ---------        d-----w        c:\programme\Online-Dienste
2008-10-16 21:04        826,368        ----a-w        c:\windows\system32\wininet.dll
2008-10-16 09:43        202,776        ----a-w        c:\windows\system32\wuweb.dll
2008-10-16 09:43        1,809,944        ----a-w        c:\windows\system32\wuaueng.dll
2008-10-16 09:42        561,688        ----a-w        c:\windows\system32\wuapi.dll
2008-10-16 09:42        323,608        ----a-w        c:\windows\system32\wucltui.dll
2008-10-16 09:39        92,696        ----a-w        c:\windows\system32\cdm.dll
2008-10-16 09:39        51,224        ----a-w        c:\windows\system32\wuauclt.exe
2008-10-16 09:39        43,544        ----a-w        c:\windows\system32\wups2.dll
2008-10-16 09:38        34,328        ----a-w        c:\windows\system32\wups.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2005-09-16 1961984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-04-01 5562368]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\KEM.exe [2008-12-06 573440]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 06:52 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]
--a------ 2002-11-23 02:15 631362 c:\programme\Logitech\iTouch\iTouch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"nwiz"=nwiz.exe /install
"NvMediaCenter"=RUNDLL32.EXE c:\windows\System32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\FlashFXP\\FlashFXP.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Shareaza\\Shareaza.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=


R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2008-12-17 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2008-12-17 45376]
R4 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2008-12-28 603904]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-12-28 33752]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-01-09 c:\windows\Tasks\rtycnivz.job
- c:\windows\system32\rundll32.exe [2008-04-14 14:00]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Mit &Google suchen - c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
FF - ProfilePath - c:\dokumente und einstellungen\Haerger\Anwendungsdaten\Mozilla\Firefox\Profiles\zrst0mpp.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.msn.com/

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-09 14:21:39
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-01-09 14:23:32
ComboFix-quarantined-files.txt  2009-01-09 13:23:08
ComboFix2.txt  2009-01-08 19:42:24

Vor Suchlauf: 535.830.528 Bytes frei
Nach Suchlauf: 528,519,168 Bytes frei

235        --- E O F ---        2008-12-28 08:44:07
Mittendrin kam irgendwann eine Meldung bzgl. wichtiger Systemdateien die durch "unbekannte" ersetzt würden und ich sollte ne XP-SP3 CD einlegen, dies habe ich aber nicht ausgeführt sondern abgelehnt, Combofix lief dann jedoch weiter !

Malwarebytes nach aktuellem Update ebenfalls ausgeführt, alle noch gefundenen Dateien löschen lassen, Log dazu:

Code:
Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1634
Windows 5.1.2600 Service Pack 3

09.01.2009 15:22:12
mbam-log-2009-01-09 (15-22-12).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 55584
Laufzeit: 22 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\bjeycqhk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\cxxvdx.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\eepaxnil.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\hqfsis.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\jfiuai.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\jjodcdhm.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\mmiedliv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\mshedaup.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\pxzpbc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\svdmiz.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\tjevsrsk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ukooqwcv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\yhdetpkn.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
Kaspersky Onlinescan kann ich nicht durchführen, der IE7 quittiert mit Fehlermeldung ( Lizenz für K-Onlinescanner...) und Kaspersky meint dazu: Initialisierung der Anwendung sei fehlgeschlagen ... witzigerweise taucht er jedoch bei mir in der (Systemsteuerung-) Software auf, sonst jedoch nirgends, kann ihn also auch nicht ausführen ... hmh... :confused:

dann noch das aktuelle HJT Log:


Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:00:48, on 09.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 4494 bytes
lg, vik

schrauber 09.01.2009 19:37
Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Zitat:
FILE::
c:\windows\Tasks\rtycnivz.job
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

=====


Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
===

Um zu erfahren, was sich auf deinem System alles für Programme verbergen gehe bitte wie folgt vor. Erstelle eine Uninstall list mit HijackThis
  • Öffne "HijackThis"
  • Klick "open the Misc Tools section"
  • Klick "Open Uninstall Manager"
  • Klick "Save List" (jetzt wird eine uninstall_list.txt im Ordner Hijackthis angelegt.)
  • Diese Datei öffnest du, und kopiertst ihren Inhalt hier in deinem Thread.
Hinweis! Um dieses Ausführen zu können, muß HijackThis in einen eigenem Verzeichnis gestartet werden. Am besten: c:\Programme\HijackThis

=====

neues hjt-log

vik66 11.01.2009 14:00
Moin,

hier nun die neuesten Ergebnisse ( hatte leider noch was anderes aufm Zettel, daher etwas verspätet! :) )

Log vom letzten ausgeführten Combofix Script:

Code:
ComboFix 09-01-08.01 - Haerger 2009-01-09 20:57:11.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.511.311 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Haerger\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Haerger\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\Tasks\rtycnivz.job
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Tasks\rtycnivz.job

.
(((((((((((((((((((((((  Dateien erstellt von 2008-12-09 bis 2009-01-09  ))))))))))))))))))))))))))))))
.

2009-01-09 15:31 . 2009-01-09 15:31        <DIR>        d--------        c:\windows\system32\Kaspersky Lab
2009-01-09 15:31 . 2009-01-09 15:31        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-01-08 19:48 . 2009-01-08 19:48        <DIR>        d--------        c:\programme\CCleaner
2009-01-08 14:55 . 2009-01-08 14:55        <DIR>        d--------        c:\dokumente und einstellungen\Haerger\Anwendungsdaten\Malwarebytes
2009-01-08 14:54 . 2009-01-08 15:28        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware
2009-01-08 14:54 . 2009-01-08 14:54        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-08 14:54 . 2009-01-04 18:38        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-08 14:54 . 2009-01-04 18:38        15,504        --a------        c:\windows\system32\drivers\mbam.sys
2009-01-08 14:43 . 2009-01-08 14:43        <DIR>        d--------        c:\programme\Trend Micro
2009-01-05 19:55 . 2009-01-05 20:11        <DIR>        d--------        c:\dokumente und einstellungen\Haerger\Anwendungsdaten\Winamp
2009-01-05 17:11 . 2009-01-05 17:14        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-01-05 14:48 . 2009-01-05 14:51        <DIR>        d--------        c:\windows\system32\NtmsData
2008-12-31 15:33 . 2009-01-09 01:50        116        --a------        c:\windows\NeroDigital.ini
2008-12-30 16:28 . 2008-12-30 16:37        <DIR>        d--------        c:\dokumente und einstellungen\Haerger\Anwendungsdaten\vlc
2008-12-30 16:25 . 2008-12-30 16:25        <DIR>        d--------        c:\programme\VideoLAN
2008-12-30 16:05 . 2003-03-09 00:32        571,904        --a------        c:\windows\system32\WinGrabEngine.dll
2008-12-29 06:22 . 2008-10-16 14:06        268,648        --a------        c:\windows\system32\mucltui.dll
2008-12-29 06:22 . 2008-10-16 14:06        208,744        --a------        c:\windows\system32\muweb.dll
2008-12-29 06:22 . 2008-10-16 14:06        27,496        --a------        c:\windows\system32\mucltui.dll.mui
2008-12-28 16:39 . 2008-12-28 16:39        <DIR>        d--------        c:\dokumente und einstellungen\Haerger\Anwendungsdaten\Ahead
2008-12-28 16:19 . 2008-12-31 13:54        <DIR>        d--------        c:\dokumente und einstellungen\Haerger\Contacts
2008-12-28 16:15 . 2008-12-28 16:15        <DIR>        d----c---        c:\windows\system32\DRVSTORE
2008-12-28 16:10 . 2008-12-28 16:14        <DIR>        d--------        c:\programme\Windows Live
2008-12-28 16:10 . 2008-12-28 16:13        <DIR>        d--hsc---        c:\programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-12-28 16:09 . 2008-12-28 16:09        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-12-28 14:47 . 2008-12-28 14:47        2,331,264        --a------        c:\windows\system32\TUKernel.exe
2008-12-28 11:55 . 2008-12-28 11:55        603,904        --a------        c:\windows\system32\TUProgSt.exe
2008-12-28 11:55 . 2008-12-28 11:55        360,192        --a------        c:\windows\system32\TuneUpDefragService.exe
2008-12-28 11:55 . 2008-12-11 13:31        27,904        --a------        c:\windows\system32\uxtuneup.dll
2008-12-28 11:54 . 2008-12-28 11:54        <DIR>        d--------        c:\dokumente und einstellungen\Haerger\Anwendungsdaten\TuneUp Software
2008-12-28 11:53 . 2008-12-28 11:55        <DIR>        d--------        c:\programme\TuneUp Utilities 2009
2008-12-28 11:53 . 2008-12-28 11:53        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-12-28 11:52 . 2008-12-28 11:52        <DIR>        d--hs----        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-28 11:10 . 2008-12-05 18:48        499,712        --a------        c:\windows\system32\msvcp71.dll
2008-12-28 11:10 . 2008-12-05 18:48        348,160        --a------        c:\windows\system32\msvcr71.dll
2008-12-28 11:09 . 2008-12-28 11:12        <DIR>        d--------        c:\windows\system32\Adobe
2008-12-28 10:52 . 2008-12-28 10:52        <DIR>        d--------        c:\programme\NOS
2008-12-28 10:52 . 2008-12-28 11:02        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2008-12-28 08:54 . 2008-12-28 09:00        45        --a------        C:\TEST.XML
2008-12-28 08:25 . 2008-12-28 08:30        <DIR>        d--------        c:\windows\system32\drivers\UMDF
2008-12-28 08:25 . 2008-12-28 07:47        <DIR>        d--------        c:\windows\system32\de-de
2008-12-28 08:25 . 2008-12-28 08:29        <DIR>        d--------        c:\windows\system32\de
2008-12-28 08:25 . 2008-12-28 08:25        <DIR>        d--------        c:\windows\Provisioning
2008-12-28 08:25 . 2008-12-28 08:30        <DIR>        d--------        c:\windows\PeerNet
2008-12-28 08:25 . 2008-12-28 08:31        <DIR>        d--------        c:\windows\L2Schemas
2008-12-28 08:25 . 2008-12-28 08:28        <DIR>        d--------        c:\windows\ehome
2008-12-28 08:05 . 2008-12-28 08:05        <DIR>        d---s----        c:\windows\system32\Microsoft
2008-12-28 07:59 . 2008-05-27 18:23        765,952        -----c---        c:\windows\system32\dllcache\vgx.dll
2008-12-28 07:59 . 2007-10-05 15:42        23,856        --a------        c:\windows\system32\spupdsvc.exe
2008-12-28 07:55 . 2008-12-28 07:55        749        -rah-----        c:\windows\WindowsShell.Manifest
2008-12-28 07:55 . 2008-12-28 07:55        749        -rah-----        c:\windows\system32\wuaucpl.cpl.manifest
2008-12-28 07:55 . 2008-12-28 07:55        749        -rah-----        c:\windows\system32\sapi.cpl.manifest
2008-12-28 07:55 . 2008-12-28 07:55        749        -rah-----        c:\windows\system32\nwc.cpl.manifest
2008-12-28 07:55 . 2008-12-28 07:55        749        -rah-----        c:\windows\system32\ncpa.cpl.manifest
2008-12-28 07:55 . 2008-12-28 07:55        488        -rah-----        c:\windows\system32\logonui.exe.manifest
2008-12-28 07:52 . 2008-04-14 14:00        129,792        --a------        c:\windows\system32\drivers\fltMgr.sys
2008-12-28 07:52 . 2008-04-14 14:00        23,040        --a------        c:\windows\system32\fltMc.exe
2008-12-28 07:52 . 2008-04-14 14:00        16,896        --a------        c:\windows\system32\fltlib.dll
2008-12-28 07:49 . 2008-12-28 07:49        <DIR>        d--------        c:\programme\Windows Media Connect 2
2008-12-28 07:47 . 2008-04-14 14:00        290,304        --a------        c:\windows\system32\rhttpaa.dll
2008-12-28 07:47 . 2008-04-14 14:00        136,192        --a------        c:\windows\system32\aaclient.dll
2008-12-28 07:47 . 2008-04-14 14:00        53,248        --a------        c:\windows\system32\tsgqec.dll
2008-12-28 07:39 . 2001-08-17 11:12        19,017        --a------        c:\windows\system32\drivers\RTL8029.sys
2008-12-28 07:36 . 2008-12-28 07:36        4,444        --a------        c:\windows\system32\pid.PNF
2008-12-28 07:35 . 2008-04-14 14:00        24,661        --a------        c:\windows\system32\spxcoins.dll
2008-12-28 07:35 . 2008-04-14 14:00        13,824        --a------        c:\windows\system32\irclass.dll
2008-12-26 11:32 . 2005-09-01 12:03        127,488        ---------        c:\windows\system32\drivers\imagesrv.sys
2008-12-26 11:32 . 2005-09-01 12:03        5,888        ---------        c:\windows\system32\drivers\imagedrv.sys
2008-12-26 11:31 . 2008-12-26 11:31        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Ahead
2008-12-26 11:31 . 2008-12-26 11:31        <DIR>        d--------        c:\programme\Ahead
2008-12-26 11:31 . 2004-07-26 17:16        1,568,768        ---------        c:\windows\system32\ImagX7.dll
2008-12-26 11:31 . 2004-07-26 17:16        476,320        ---------        c:\windows\system32\ImagXpr7.dll
2008-12-26 11:31 . 2004-07-26 17:16        471,040        ---------        c:\windows\system32\ImagXRA7.dll
2008-12-26 11:31 . 2004-07-09 09:43        364,544        ---------        c:\windows\system32\TwnLib4.dll
2008-12-26 11:31 . 2004-07-26 17:16        262,144        ---------        c:\windows\system32\ImagXR7.dll
2008-12-26 11:31 . 2001-07-09 11:50        155,648        --a------        c:\windows\system32\NeroCheck.exe
2008-12-26 11:31 . 2000-06-26 11:45        106,496        --a------        c:\windows\system32\TwnLib20.dll
2008-12-23 11:39 . 2008-12-23 11:39        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-12-23 11:35 . 2008-12-28 08:04        <DIR>        d--------        c:\windows\nview
2008-12-23 11:35 . 2005-04-01 16:16        176,128        --a------        c:\windows\system32\nvudisp.exe
2008-12-23 11:35 . 2005-04-01 16:16        14,435        --a------        c:\windows\system32\nvdisp.nvu
2008-12-23 11:33 . 2008-12-23 11:33        <DIR>        d--------        C:\NVIDIA
2008-12-21 03:22 . 2008-12-25 02:34        1,187        --a------        C:\ignore.list
2008-12-21 03:14 . 2008-12-23 10:43        <DIR>        d--------        c:\programme\cwshare
2008-12-17 23:37 . 2008-12-17 23:38        <DIR>        d--------        c:\programme\FlashFXP
2008-12-17 23:37 . 2008-12-17 23:37        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashFXP
2008-12-17 21:18 . 2008-12-17 23:12        <DIR>        d--------        c:\programme\Bouquet Wizard
2008-12-17 18:36 . 2008-12-17 18:36        <DIR>        d--------        c:\programme\Shareaza
2008-12-17 11:23 . 2008-12-17 11:23        0        --a------        c:\windows\nsreg.dat
2008-12-17 11:12 . 2008-12-17 11:12        <DIR>        d--------        c:\programme\Avira
2008-12-17 11:12 . 2008-12-17 11:12        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-17 09:31 . 2008-12-17 09:31        <DIR>        d--------        c:\dokumente und einstellungen\Haerger\AVM_Driver
2008-12-10 19:32 . 2008-12-10 19:32        286,720        --a------        c:\windows\system32\gdi32.dll
2008-12-10 19:32 . 2008-12-10 19:32        247,326        --a------        c:\windows\system32\strmdll.dll
2008-12-10 19:30 . 2008-12-10 19:30        1,847,040        --a------        c:\windows\system32\win32k.sys
2008-12-10 19:30 . 2008-12-10 19:30        1,379,840        --a------        c:\windows\system32\msxml6.dll
2008-12-10 19:30 . 2008-12-10 19:30        1,106,944        --a------        c:\windows\system32\msxml3.dll
2008-12-10 19:30 . 2008-12-10 19:30        455,936        --a------        c:\windows\system32\drivers\mrxsmb.sys
2008-12-10 18:33 . 2008-12-10 18:33        1,661,440        --a------        c:\windows\system32\WMPEncEn.dll
2008-12-10 18:31 . 2008-12-10 18:31        1,571,840        --a------        c:\windows\system32\sfcfiles.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-28 10:00        ---------        d-----w        c:\programme\Gemeinsame Dateien\Adobe
2008-12-28 06:53        ---------        d-----w        c:\programme\Gemeinsame Dateien\Dienste
2008-12-10 18:35        86,073        ----a-w        c:\windows\system32\usrfaxa.dll
2008-12-10 18:31        938,496        ----a-w        c:\windows\system32\wmnetmgr.dll
2008-12-10 17:34        991,744        ----a-w        c:\windows\system32\drmv2clt.dll
2008-12-10 17:33        8,704        ----a-w        c:\windows\system32\wdfmgr.exe
2008-12-10 17:31        78,336        ----a-w        c:\windows\system32\ieencode.dll
2008-12-10 17:31        71,680        ----a-w        c:\windows\system32\admparse.dll
2008-12-10 17:31        55,296        ----a-w        c:\windows\system32\iesetup.dll
2008-12-10 17:31        48,128        ----a-w        c:\windows\system32\mshtmler.dll
2008-12-10 17:31        45,568        ----a-w        c:\windows\system32\mshta.exe
2008-12-10 17:31        40,960        ----a-w        c:\windows\system32\licmgr10.dll
2008-12-10 17:31        36,352        ----a-w        c:\windows\system32\imgutil.dll
2008-12-10 17:31        26,112        ----a-w        c:\windows\system32\idndl.dll
2008-12-10 17:31        24,576        ----a-w        c:\windows\system32\nlsdl.dll
2008-12-10 17:31        23,552        ----a-w        c:\windows\system32\normaliz.dll
2008-12-10 17:31        17,408        ----a-w        c:\windows\system32\corpol.dll
2008-12-10 17:31        156,160        ----a-w        c:\windows\system32\msls31.dll
2008-12-10 17:31        1,005,056        ----a-w        c:\windows\system32\syssetup.dll
2008-12-06 22:12        ---------        d--h--w        c:\programme\InstallShield Installation Information
2008-12-06 22:12        ---------        d-----w        c:\programme\Logitech
2008-12-06 22:12        ---------        d-----w        c:\programme\Gemeinsame Dateien\Logitech
2008-12-06 22:12        ---------        d-----w        c:\programme\Gemeinsame Dateien\InstallShield
2008-12-06 07:24        ---------        d-----w        c:\dokumente und einstellungen\Haerger\Anwendungsdaten\Logitech
2008-12-06 05:37        ---------        d-----w        c:\programme\microsoft frontpage
2008-12-06 05:33        ---------        d-----w        c:\programme\Online-Dienste
2008-10-16 21:04        826,368        ----a-w        c:\windows\system32\wininet.dll
2008-10-16 09:43        202,776        ----a-w        c:\windows\system32\wuweb.dll
2008-10-16 09:43        1,809,944        ----a-w        c:\windows\system32\wuaueng.dll
2008-10-16 09:42        561,688        ----a-w        c:\windows\system32\wuapi.dll
2008-10-16 09:42        323,608        ----a-w        c:\windows\system32\wucltui.dll
2008-10-16 09:39        92,696        ----a-w        c:\windows\system32\cdm.dll
2008-10-16 09:39        51,224        ----a-w        c:\windows\system32\wuauclt.exe
2008-10-16 09:39        43,544        ----a-w        c:\windows\system32\wups2.dll
2008-10-16 09:38        34,328        ----a-w        c:\windows\system32\wups.dll
.

(((((((((((((((((((((((((((((  snapshot@2009-01-08_20.41.15.60  )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-05-24 11:27:16        213,048        ----a-w        c:\windows\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
+ 2007-10-21 20:40:14        94,208        ----a-w        c:\windows\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
+ 2007-10-21 20:40:16        950,272        ----a-w        c:\windows\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2005-09-16 1961984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-04-01 5562368]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\KEM.exe [2008-12-06 573440]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 06:52 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]
--a------ 2002-11-23 02:15 631362 c:\programme\Logitech\iTouch\iTouch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"nwiz"=nwiz.exe /install
"NvMediaCenter"=RUNDLL32.EXE c:\windows\System32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\FlashFXP\\FlashFXP.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Shareaza\\Shareaza.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2008-12-17 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2008-12-17 45376]
R4 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2008-12-28 603904]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-12-28 33752]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Mit &Google suchen - c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
FF - ProfilePath - c:\dokumente und einstellungen\Haerger\Anwendungsdaten\Mozilla\Firefox\Profiles\zrst0mpp.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.msn.com/

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-09 20:59:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-01-09 21:01:05
ComboFix-quarantined-files.txt  2009-01-09 20:00:44
ComboFix2.txt  2009-01-09 13:23:33
ComboFix3.txt  2009-01-08 19:42:24

Vor Suchlauf: 488.198.144 Bytes frei
Nach Suchlauf: 484,409,344 Bytes frei

234        --- E O F ---        2008-12-28 08:44:07

Der Panda Active Scan ( mit IE probiert ) bleibt immer bei 77% und folgender Datei hängen:

C:\WINDOWS\WinSxS\x86_Microsoft.Tools.VisualCPlusPlus.Runtime-Libraries_6595b64144ccf1df_6.0.0.0_x-ww_ff9986d7\mfc42.dll

:confused:

hier die uninstall-list von HJT:

Code:
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9 - Deutsch
Adobe Shockwave Player 11
Avira AntiVir Personal - Free Antivirus
Bouquet Wizard
CCleaner (remove only)
cwshare 4.3.7.0 open edition
FlashFXP v3
getPlus(R) for Adobe
HijackThis 2.0.2
Kaspersky Online Scanner
Logitech iTouch Software
Logitech SetPoint
Malwarebytes' Anti-Malware
Mozilla Firefox (3.0.5)
Nero 6 Ultra Edition
NVIDIA Drivers
Panda ActiveScan 2.0
Shareaza 2.4.0.0
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
TuneUp Utilities 2009
VLC media player 0.9.8a
Winamp
Windows Live Anmelde-Assistent
Windows Live installer
Windows Live Messenger
WinRAR
und das aktuelle HJT-Logfile:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:58:44, on 11.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 4447 bytes

lg, vik

schrauber 11.01.2009 14:37
noch probleme mit dem rechner?



Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Damit ist Combofix und alle weiteren Programme entfernt wurden.



wenn du keine probs mehr hast wars das :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:43 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131