Trojaner-Board - swizzor gen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - swizzor gen (https://www.trojaner-board.de/51748-swizzor-gen.html)

welche filelist?? meinst du das main.txt oder das extra.txt, was ich vorher reingestellt hab??

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl :)

Code:

----- Root ----------------------------- 

 Datentr„ger in Laufwerk C: ist BOOT

 Volumeseriennummer: 3CDB-6672
 

 Verzeichnis von C:\
 

21.04.2008  18:47       526.569.472 hiberfil.sys

21.04.2008  18:47       792.723.456 pagefile.sys

20.04.2008  00:58               268 sqmdata15.sqm

20.04.2008  00:58               244 sqmnoopt15.sqm

20.04.2008  00:49               268 sqmdata14.sqm

20.04.2008  00:49               244 sqmnoopt14.sqm

20.04.2008  00:33               268 sqmdata13.sqm

20.04.2008  00:33               244 sqmnoopt13.sqm

18.04.2008  18:34               232 sqmdata12.sqm

18.04.2008  18:34               244 sqmnoopt12.sqm

04.04.2008  16:41               268 sqmdata11.sqm

04.04.2008  16:41               244 sqmnoopt11.sqm

04.04.2008  11:38               232 sqmdata10.sqm

04.04.2008  11:38               244 sqmnoopt10.sqm

20.03.2008  19:19               232 sqmdata09.sqm

20.03.2008  19:19               244 sqmnoopt09.sqm

06.03.2008  18:48               268 sqmdata08.sqm

06.03.2008  18:48               244 sqmnoopt08.sqm

06.03.2008  10:47               268 sqmdata07.sqm

06.03.2008  10:47               244 sqmnoopt07.sqm

04.03.2008  15:11               268 sqmdata06.sqm

04.03.2008  15:11               244 sqmnoopt06.sqm

02.03.2008  05:14               268 sqmdata05.sqm

02.03.2008  05:14               244 sqmnoopt05.sqm

02.03.2008  02:28               268 sqmdata04.sqm

02.03.2008  02:28               244 sqmnoopt04.sqm

28.02.2008  14:07               268 sqmdata03.sqm

28.02.2008  14:07               244 sqmnoopt03.sqm

13.02.2008  16:06               268 sqmdata02.sqm

13.02.2008  16:06               244 sqmnoopt02.sqm

12.02.2008  21:29               268 sqmdata01.sqm

12.02.2008  21:29               244 sqmnoopt01.sqm

12.02.2008  16:42               268 sqmdata00.sqm

12.02.2008  16:42               244 sqmnoopt00.sqm

12.02.2008  09:36               268 sqmdata19.sqm

12.02.2008  09:36               244 sqmnoopt19.sqm

12.02.2008  01:00               268 sqmdata18.sqm

12.02.2008  01:00               244 sqmnoopt18.sqm

28.01.2008  15:34               268 sqmdata17.sqm

28.01.2008  15:34               244 sqmnoopt17.sqm

28.01.2008  13:45               268 sqmdata16.sqm

28.01.2008  13:45               244 sqmnoopt16.sqm

07.09.2006  12:48               209 boot.ini

15.07.2006  10:35               794 IPH.PH

06.07.2006  17:23                 0 CONFIG.SYS

06.07.2006  17:23                 0 MSDOS.SYS

06.07.2006  17:23                 0 IO.SYS

06.07.2006  17:23                 0 AUTOEXEC.BAT

24.03.2006  14:00           251.184 ntldr

24.03.2006  14:00            47.564 NTDETECT.COM

24.03.2006  14:00             4.952 bootfont.bin

              51 Datei(en)  1.319.607.763 Bytes

               0 Verzeichnis(se), 46.174.097.408 Bytes frei

Code:

 ----- System32 ------------------------- 

 Datentr„ger in Laufwerk C: ist BOOT

 Volumeseriennummer: 3CDB-6672
 

 Verzeichnis von C:\WINDOWS\system32
 

21.04.2008  18:48             2.206 wpa.dbl

11.04.2008  02:03           408.004 perfh009.dat

11.04.2008  02:03           423.648 perfh007.dat

11.04.2008  02:03            78.128 perfc007.dat

11.04.2008  02:03            64.534 perfc009.dat

11.04.2008  02:03           940.440 PerfStringBackup.INI

09.04.2008  18:20         1.525.480 FNTCACHE.DAT

06.04.2008  07:56        19.836.024 MRT.exe

20.03.2008  10:03         1.845.376 win32k.sys

Code:

 ----- Prefetch ------------------------- 

 Datentr„ger in Laufwerk C: ist BOOT

 Volumeseriennummer: 3CDB-6672
 

 Verzeichnis von C:\WINDOWS\Prefetch
 

21.04.2008  23:51            11.118 FIND.EXE-0EC32F1E.pf

21.04.2008  23:51            14.818 CMD.EXE-087B4001.pf

21.04.2008  23:51            16.184 VERCLSID.EXE-3667BD89.pf

21.04.2008  23:47            30.678 AVWSC.EXE-3AC95876.pf

21.04.2008  23:17            52.476 FIREFOX.EXE-1BB603CB.pf

21.04.2008  23:17            92.400 AVNOTIFY.EXE-0B59FC42.pf

21.04.2008  23:17            57.674 UPDATE.EXE-3A80F1D2.pf

21.04.2008  23:17            14.612 PREUPD.EXE-18CBCD87.pf

21.04.2008  23:00            20.366 WUAUCLT.EXE-399A8E72.pf

21.04.2008  23:00            33.600 MSNTBUP.EXE-0FE4C519.pf

21.04.2008  22:43            81.854 WMIPRVSE.EXE-28F301A9.pf

21.04.2008  22:32            56.122 NOTEPAD.EXE-336351A9.pf

21.04.2008  22:32            52.254 HIJACKTHIS.EXE-39024128.pf

21.04.2008  22:29            25.210 R1PUNINST.EXE-2B4226D1.pf

21.04.2008  22:29            60.236 MSIEXEC.EXE-2F8A8CAE.pf

21.04.2008  22:28            59.222 IDRIVER.EXE-2B899D9D.pf

21.04.2008  22:27            31.262 IDRIVER.EXE-18BC780C.pf

21.04.2008  22:27            12.296 IDRIVERT.EXE-311FC647.pf

21.04.2008  22:27            16.770 AU_.EXE-28649703.pf

21.04.2008  22:27            14.736 UNINST-EMUSIC-PROMOTION.EXE-1E1AC7DF.pf

21.04.2008  22:27            35.972 IKERNEL.EXE-2B93D17C.pf

21.04.2008  22:27            15.806 SET59.TMP-2702BC71.pf

21.04.2008  22:27            58.502 RUNDLL32.EXE-28D1B909.pf

21.04.2008  22:25            27.592 EASYCLEA.EXE-33E355EE.pf

21.04.2008  22:07            14.606 NOTEPAD.EXE-189578DA.pf

21.04.2008  22:06            10.628 SORT.EXE-194AE83C.pf

21.04.2008  22:06            30.762 CSCRIPT.EXE-1C26180C.pf

21.04.2008  22:06             4.388 SED.EXE-3AB193D6.pf

21.04.2008  22:06            20.122 SWREG.EXE-0F0B2377.pf

21.04.2008  22:06            11.794 FINDSTR.EXE-0CA6274B.pf

21.04.2008  22:06            49.830 EVA KELLNER.EXE-03ED1329.pf

21.04.2008  22:06             6.034 MD5DEEP.EXE-1C579C7B.pf

21.04.2008  22:04            19.272 DSS.EXE-26D32021.pf

21.04.2008  21:21            17.770 HJTINSTALL.EXE-19BEF9D4.pf

21.04.2008  21:21            19.380 IGFXSRVC.EXE-2FB63FE8.pf

21.04.2008  19:42            55.854 SSSTARS.SCR-2D6FC20D.pf

21.04.2008  19:13           115.856 ACRORD32.EXE-0EC716D9.pf

21.04.2008  18:57            50.808 WINAMP.EXE-08C38ED9.pf

21.04.2008  18:50            62.078 USNSVC.EXE-1D8C2356.pf

21.04.2008  18:49            49.734 AVSCAN.EXE-0D0CD933.pf

21.04.2008  18:49            43.900 AVCENTER.EXE-324B1681.pf

21.04.2008  18:49         1.263.604 NTOSBOOT-B00DFAAD.pf

21.04.2008  15:37            22.562 LOGONUI.EXE-0AF22957.pf

21.04.2008  11:38            10.180 QKXYIBCKM.EXE-17CC8312.pf

21.04.2008  11:37             8.402 DRWTSN32.EXE-2B4B52AC.pf

20.04.2008  23:17            15.514 REGSVR32.EXE-25EEFE2F.pf

20.04.2008  23:17            21.286 AVGNT.EXE-18356F59.pf

20.04.2008  22:10            35.514 WMPLAYER.EXE-09969336.pf

20.04.2008  21:50           320.584 Layout.ini

20.04.2008  21:29            36.344 IMAPI.EXE-0BF740A4.pf

20.04.2008  21:29            12.488 RUNDLL32.EXE-451FC2C0.pf

20.04.2008  21:26            21.696 RASAUTOU.EXE-18B88A68.pf

20.04.2008  18:59            37.662 HELPSVC.EXE-2878DDA2.pf

20.04.2008  18:56            44.348 DFRGNTFS.EXE-269967DF.pf

20.04.2008  18:56            15.894 DEFRAG.EXE-273F131E.pf

20.04.2008  16:56            16.954 MSN_SL.EXE-3A7EBB4D.pf

20.04.2008  16:56            30.176 WLLOGINPROXY.EXE-33926225.pf

20.04.2008  16:56            82.070 IEXPLORE.EXE-2CA9778D.pf

20.04.2008  16:47            74.796 EHREC.EXE-3B4F59C8.pf

20.04.2008  16:47            11.626 EHMSAS.EXE-181DA6C9.pf

20.04.2008  00:57            34.232 ACRORD32INFO.EXE-30CEC19C.pf

20.04.2008  00:46            14.430 HELPER.EXE-284FD6A3.pf

20.04.2008  00:46            76.190 FIREFOX.EXE-1D57670A.pf

20.04.2008  00:44            20.980 SETUP.EXE-0D5E987A.pf

20.04.2008  00:44            46.878 FIREFOX SETUP 3.0 BETA 5.EXE-01AD9D06.pf

20.04.2008  00:37            37.488 NNBRZW.EXE-28E20145.pf

20.04.2008  00:37            11.896 READER_SL.EXE-36135169.pf

20.04.2008  00:37            15.188 CTFMON.EXE-0E17969B.pf

20.04.2008  00:37            25.462 TEATIMER.EXE-38E505A8.pf

20.04.2008  00:37            24.716 MSNMSGR.EXE-091111D0.pf

20.04.2008  00:37            23.446 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf

20.04.2008  00:37            10.388 WINAMPA.EXE-2BDF6A16.pf

20.04.2008  00:37            15.416 SYNTPENH.EXE-3967AE36.pf

20.04.2008  00:37             9.668 IGFXPERS.EXE-2C07C174.pf

20.04.2008  00:37             9.650 HKCMD.EXE-1D05234B.pf

20.04.2008  00:37            17.204 EHTRAY.EXE-02EFC9BD.pf

20.04.2008  00:37            13.446 SKYTEL.EXE-12751D3A.pf

20.04.2008  00:37            12.606 IGFXTRAY.EXE-3391579A.pf

              78 Datei(en)      3.975.560 Bytes

               0 Verzeichnis(se), 46.173.982.720 Bytes frei

Code:

----- Windows -------------------------- 

 Datentr„ger in Laufwerk C: ist BOOT

 Volumeseriennummer: 3CDB-6672
 

 Verzeichnis von C:\WINDOWS
 

21.04.2008  18:48             4.186 ModemLog_Motorola SM56 Data Fax Modem.txt

21.04.2008  18:47                 0 0.log

21.04.2008  18:47               159 wiadebug.log

21.04.2008  18:47         1.321.066 WindowsUpdate.log

21.04.2008  18:47                50 wiaservc.log

21.04.2008  18:47             2.048 bootstat.dat

21.04.2008  15:37            32.442 SchedLgU.Txt

19.04.2008  23:28             9.438 setupapi.log

17.04.2008  12:20               754 WORDPAD.INI

09.04.2008  16:02           131.090 MedCtrOC.log

09.04.2008  16:02            62.518 ehOCGen.log

09.04.2008  16:02           216.786 ntdtcsetup.log

09.04.2008  16:02           351.288 comsetup.log

09.04.2008  16:02         1.275.678 iis6.log

09.04.2008  16:02            50.743 tabletoc.log

09.04.2008  16:02           494.786 tsoc.log

09.04.2008  16:02             1.355 imsins.log

09.04.2008  16:02            57.890 ocmsn.log

09.04.2008  16:02            12.176 KB948881.log

09.04.2008  16:02           541.206 ocgen.log

09.04.2008  16:02           131.835 plusoc.log

09.04.2008  16:02           195.643 netfxocm.log

09.04.2008  16:02            53.182 msgsocm.log

09.04.2008  16:02         1.043.293 FaxSetup.log

09.04.2008  16:02           344.772 msmqinst.log

09.04.2008  16:02             1.355 imsins.BAK

09.04.2008  16:02            37.553 KB947864.log

09.04.2008  16:02            55.696 updspapi.log

09.04.2008  16:02            14.865 KB941693.log

09.04.2008  16:02            14.669 KB948590.log

09.04.2008  16:00            15.356 KB944338.log

09.04.2008  16:00            14.641 KB945553.log

06.04.2008  19:32            54.156 QTFont.qfn

01.04.2008  22:10             1.421 IE4 Error Log.txt

28.03.2008  12:21               202 NeroDigital.ini

11.03.2008  00:25           123.826 wmsetup.log

Code:

 ----- Tasks ---------------------------- 

 Datentr„ger in Laufwerk C: ist BOOT

 Volumeseriennummer: 3CDB-6672
 

 Verzeichnis von C:\WINDOWS\tasks
 

21.04.2008  23:00               258 Auf Updates fr Windows Live Toolbar prfen.job

21.04.2008  18:47                 6 SA.DAT

24.03.2006  14:00                65 desktop.ini

               3 Datei(en)            329 Bytes

               0 Verzeichnis(se), 46.173.966.336 Bytes frei

Code:

----- Wintemp -------------------------- 

 Datentr„ger in Laufwerk C: ist BOOT

 Volumeseriennummer: 3CDB-6672
 

 Verzeichnis von C:\WINDOWS\temp
 

 

----- Temp ----------------------------- 

 Datentr„ger in Laufwerk C: ist BOOT

 Volumeseriennummer: 3CDB-6672
 

 Verzeichnis von C:\DOKUME~1\EVAKEL~1\LOKALE~1\Temp
 

21.04.2008  23:51           134.528 filelist.txt

21.04.2008  22:32           114.688 ~DF1770.tmp

21.04.2008  22:29            25.414 MSIab6d9.LOG

das müsste alles sein.... =)

Da seh ich nichts, trotzdem noch mal dies bitte:

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Code:

ComboFix 08-04-20.5 - xxx 2008-04-22  0:12:48.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.143 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\HJT\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\gsdhyjfwg_navtmp.dat

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\qkxyibckm.dat

c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\qkxyibckm.exe

c:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\qkxyibckm_nav.dat

c:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\qkxyibckm_navps.dat
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-03-21 bis 2008-04-21  ))))))))))))))))))))))))))))))

.
 

2008-04-21 22:04 . 2008-04-21 22:04        <DIR>        d--------        C:\Deckard

2008-04-21 21:21 . 2008-04-21 21:21        <DIR>        d--------        C:\Programme\Trend Micro

2008-04-20 00:44 . 2008-04-21 19:50        <DIR>        d--------        C:\Programme\Mozilla Firefox 3 Beta 5

2008-04-20 00:09 . 2008-04-20 00:13        <DIR>        d--------        C:\Programme\EasyCleaner2_0

2008-04-19 23:40 . 2008-04-19 23:40        <DIR>        d--------        C:\Programme\Spybot - Search & Destroy

2008-04-19 23:40 . 2008-04-20 00:12        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-21 20:29        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-04-21 20:29        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Real

2008-04-21 20:27        ---------        d-----w        C:\Programme\Winamp

2008-04-19 22:16        ---------        d-----w        C:\Programme\Elaborate Bytes

2008-04-14 18:03        ---------        d-----w        C:\Programme\eMule

2008-03-20 08:03        1,845,376        ----a-w        C:\WINDOWS\system32\win32k.sys

2008-03-04 12:26        5,344        -c--a-w        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\wklnhst.dat

2008-02-22 16:06        74,752        ----a-w        C:\WINDOWS\ST6UNST.EXE

2008-02-22 16:06        253,952        ------w        C:\WINDOWS\Setup1.exe

2008-02-22 16:06        ---------        d-----w        C:\Programme\Nettoentgelt

2008-02-20 06:50        282,624        ----a-w        C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:33        45,568        ----a-w        C:\WINDOWS\system32\dnsrslvr.dll

2008-02-16 09:30        671,744        ----a-w        C:\WINDOWS\system32\wininet.dll

2006-07-07 07:13        8        -csh--r        C:\WINDOWS\system32\B63ACF7CE3.sys

2006-08-25 15:46        617,472        --sha-w        C:\WINDOWS\system32\comctl32.dll

2006-07-07 07:13        4,704        -csha-w        C:\WINDOWS\system32\KGyGaAvL.sys

2006-03-24 12:00        1,028,096        --sha-w        C:\WINDOWS\system32\mfc42.dll

2006-03-24 12:00        413,696        --sha-w        C:\WINDOWS\system32\msvcp60.dll

2006-03-24 12:00        343,040        --sha-w        C:\WINDOWS\system32\msvcrt.dll

2006-03-24 12:00        253,952        -csha-w        C:\WINDOWS\system32\msvcrt20.dll

2006-03-24 12:00        30,749        -csha-w        C:\WINDOWS\system32\vbajet32.dll

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-22 00:25 68856]

"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]

"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]

"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 14:00 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34 64512]

"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-07-19 11:09 94208]

"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-07-19 11:06 77824]

"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-07-19 11:10 114688]

"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]

"SMSERIAL"="sm56hlpr.exe" [2005-09-16 21:01 557056 C:\WINDOWS\sm56hlpr.exe]

"RTHDCPL"="RTHDCPL.EXE" [2006-07-06 21:00 16251904 C:\WINDOWS\RTHDCPL.exe]

"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-07-14 14:06 798810]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2006-08-05 08:23 108160]

"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.exe" [2005-02-08 06:00 98304]

"Omnipage"="C:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-10 10:56 49152]

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-07-07 08:20 155648]

"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-15 00:22 35328]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]

"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 21:56 262401]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 14:00 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm

"msacm.mpegacm"= mpegacm.acm

"msacm.ulmp3acm"= ulmp3acm.acm
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLMIcon]

C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BullGuard]

C:\Programme\BullGuard Software\BullGuard\bullguard.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CtrlVol]

--a--c--- 2003-09-16 14:28 20480 C:\Programme\Launch Manager\CtrlVol.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotkeyApp]

--a--c--- 2006-07-17 10:48 65536 C:\Programme\Launch Manager\HotkeyApp.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchAp]

--a--c--- 2005-07-25 13:36 32768 C:\Programme\Launch Manager\LaunchAp.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LMgrOSD]

--a--c--- 2005-03-16 13:52 204800 C:\Programme\Launch Manager\OSD.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wbutton]

--a--c--- 2006-07-10 19:02 86016 C:\Programme\Launch Manager\Wbutton.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\WINDOWS\\system32\\sessmgr.exe"=

"C:\\Programme\\Messenger\\msmsgs.exe"=

"C:\\WINDOWS\\system32\\fxsclnt.exe"=

"C:\\Programme\\NetMeeting\\Conf.exe"=

"C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"=

"C:\\Programme\\InterVideo\\MediaOne Gallery\\mediaone.exe"=

"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=

"C:\\Programme\\MSN Messenger\\livecall.exe"=

"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

"C:\\Programme\\eMule\\emule.exe"=
 

R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27]

R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2008-01-10 18:34]

R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2008-01-10 18:34]

S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys []
 

*Newly Created Service* - CATCHME

.

Inhalt des "geplante Tasks" Ordners

"2008-04-21 22:00:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"

- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE

.

**************************************************************************
 

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-22 00:15:24

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 2
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-04-22  0:16:35

ComboFix-quarantined-files.txt  2008-04-21 22:16:28
 

               8 Verzeichnis(se), 46,209,204,224 Bytes frei

              10 Verzeichnis(se), 46,702,469,120 Bytes frei
 

140        --- E O F ---        2008-04-11 00:04:48

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:28:51, on 22.04.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\sm56hlpr.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\Programme\ScanSoft\OmniPageSE\opware32.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\Winamp\winampa.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Programme\MSN Messenger\MsnMsgr.Exe

C:\Programme\Windows Media Player\WMPNSCFG.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Programme\MSN Messenger\usnsvc.exe

C:\Programme\Mozilla Firefox 3 Beta 5\firefox.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\explorer.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{710C9174-03FC-4E31-9ACE-CC00D8F191F9}: NameServer = 212.114.152.1 212.114.153.1

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
 

--

End of file - 8398 bytes

Schön, Combofix hat die Infektionen gefunden und gelöscht.
Bekommst Du noch Meldungen?

im moment nicht =)

ich tests mal...

ich glaub es ist echt weg...... :huepp: :Boogie:

mein held ;)

vielen vielen vielen lieben dank :daumenhoc

Du kannst noch mit Avira (vorher updaten und wie hier beschrieben einstellen) einen Systemscan machen.
Es kann sein, dass in der Systemwiederherstellung noch was gefunden wird.

Den Scanbericht von Avira postest Du dann auch noch.