Trojaner-Board - nervige werbepopups, firefox lädt nicht mehr flüssig

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - nervige werbepopups, firefox lädt nicht mehr flüssig (https://www.trojaner-board.de/54342-nervige-werbepopups-firefox-laedt-mehr-fluessig.html)

nervige werbepopups, firefox lädt nicht mehr flüssig

habe seit kurzem ein paar nervige probleme:
wenn ich mit firefox im internet surfen will, öffne ich firefox, dann lädt es meine startseite (google) ganz normal..sobald ich dann aber z.b. einen suchbegriff eingebe oder auf eine andere seite wechseln will, geht meistens gar nichts mehr..d.h. es steht "laden" dran, der lade balken füllt sich jedoch nicht mehr..mit der firewall (zonealarm) hat das nichts zu tun, es geht nämlich auch nicht, wenn ich sie deaktivier..
da firefox also nicht richtig läuft, versuchte ich mit dem internet explorer ins internet zu gehen, dort lädt es auch alles relativ normal, jedoch kommen dauernd irgendwelche nervigen popups in den vordergrund, auch wenn ich nur google besuche (diese kommen auch erst, seit das problem mit firefox ist)..wenn man sie minimiert, kommen sie ca alle 10 sekunden trotzdem wieder in den vordergrund, was z.b. auch das schreiben hier im forum sehr mühselig macht :P

ein beispiel:
fenstername: "Microsoft Internet Explorer"
Inhalt:
"Beachten Sie: Wenn ihr PC von Viren befallen ist, kann es Datenverluste, Störungen bei der Arbeit, Verlangsamungen und Abbrüche zur Folge haben.
Alle Viren werden noch vor der Installation auf ihrem PC entdeckt und entfernt, was die Möglichkeit gibt, viele Probleme zu verhindern.

Möchten Sie SichererAntivirus installieren, um ihren PC nach schädlichen Programmen zu scannen? (empfohlen)"

OK ... Abbrechen

vorher kam ich versehentlich auf (return in dem moment gedrückt, um in eine
neue zeile zu kommen, als das fenster aufging) OK
antivir meldete daraufhin sofort einen fund:
C:\Windows\rmec.hta
HTML/Rce.Gen

und "install_sbd_de.exe" welches laut antivir ein trojanisches pferd ist..

zudem kommen noch andere popups wie z.b. "messengerskinner" und irgendwelche casinos und sonstiger kram..

ab und zu downloadet es auch irgendetwas (sehe ich am tdsl speed manager, der balken wird aufeinmal "rosa", obwohl ich nichts im internet mache, und nur der generic host prozess laut firewall zugriff auf das internet hat!)

diese ganzen probleme treten erst seit vorgestern dauernd auf! vorgestern habe ich "messengerdiscovery live" installiert, könnte es vllt daran liegen? ist schon längst alles wieder deinstalliert, zudem hab ich antivir schon über den pc laufen lassen, ad aware auch schon im abgesicherten modus..jedoch keine funde mit antivir, und mit adaware nur unbedeutendes..

da ich mich nicht so auskenne mit spyware, wäre ich sehr froh, wenn ihr mir helfen könntet ;) wenn ihr noch irgendwelche infos braucht, kann ich diese gerne posten..
mfg und danke schonmal im voraus
the11

Hallo The11 und
:hallo:

Poste uns als erstes ein Hijackthis Logfile, damit ich sehen kann was so los ist im System.

ist das auch sicher?? also werden da keine daten von mir, oder gespeicherte dateien oder ähnliches von mir geliefert??:) nicht dass hier nachher jeder meine ganze festplatte kennt :P!?

Hijackthis erstellt einen Log und da kann ich sehen, ob Schädlinge bei dir mit starten.
Allerdings editiere Persönliche links bei z.B. http://Trojaner-board.de, in Hxxp:/www.trojaner-board.de.
Und Namen wie z.B. C:\Dokumente und Einstellungen\DEIN NAME\... in C:\Dokumente und Einstellungen\XXX\...

Es werden keine gespeicherten Dateien usw. gesendet, man sieht nur die Programme die du installiert hast.

Poste es in diesen Thread.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:26:44, on 20.06.2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\Prismsta.exe

C:\WINDOWS\mHotkey.exe

C:\WINDOWS\Dit.exe

C:\Programme\T-DSL SpeedManager\SpeedMgr.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\RunDll32.exe

C:\Programme\Logitech\MouseWare\system\em_exec.exe

C:\WINDOWS\System32\Rundll32.exe

C:\Programme\ICQLite\ICQLite.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Programme\Creative\MediaSource\Detector\CTDetect.exe

C:\Programme\Microsoft Office\Office\OSA.EXE

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\T-DSL SpeedManager\TSMSvc.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\rundll32.exe

C:\Programme\MSN Messenger\msnmsgr.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\WINDOWS\system32\mshta.exe

C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.kwick.de/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

F1 - win.ini: run= D:\SPIELE\C&C\INSTICON.EXE

O2 - BHO: (no name) - {1CE98729-5AAF-4452-ACB1-BE94C329C771} - C:\WINDOWS\System32\mlJYrspO.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: {d5a0df7f-68b0-8968-dff4-6d0cd4ab28e7} - {7e82ba4d-c0d6-4ffd-8698-0b86f7fd0a5d} - C:\WINDOWS\System32\iqlubvgf.dll

O2 - BHO: (no name) - {9C28EAFB-FF50-4F42-8D39-A006129CC907} - C:\WINDOWS\System32\ljJcbaWp.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [BM27a59cde] Rundll32.exe "C:\WINDOWS\System32\vyactooi.dll",s

O4 - HKLM\..\Run: [2496af42] rundll32.exe "C:\WINDOWS\System32\yaqvjqsd.dll",b

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

O4 - HKLM\..\Policies\Explorer\Run: [wininet.dll] regperf.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE

O8 - Extra context menu item: Open with ScanSoft PDF Converter 4.0 - res://C:\Programme\ScanSoft\PDF Professional 4.0\cnvres_eng.dll /100

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\ActiveSync\INETREPL.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker.com\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker.com\PartyPoker\RunApp.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - hxxp://www.medionshop.de/ (file missing) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: START_PAGE_URL=hxxp://www.strato.de/dsl/

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - hxxp://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - hxxp://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - hxxp://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - hxxp://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - hxxp://player.virtools.com/downloads/player/Install2.5/Installer.exe

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - hxxp://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O20 - Winlogon Notify: ljJcbaWp - C:\WINDOWS\SYSTEM32\ljJcbaWp.dll

O20 - Winlogon Notify: winhoo32 - winhoo32.dll (file missing)

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe

O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe

O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\System32\CTsvcCDA.EXE (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe

O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
 

--

End of file - 9775 bytes

Auweia... da hast du ja ganz schon zugelangt^^

Lade dir Combofix

-Das Tool allerdings noch nicht ausführen sondern vorher ALLE Anti Virenprogramme und eventuell Firewalls deaktivieren.

-Starte das Tool und Lasse es scannen
-Danach den Inhalt der Report.txt hier hin posten.

HINWEIS: Während des scans NICHT in das Fenster klicken, sonst kann der Rechner einfrieren!

der link lädt irgendwie nicht, das forum hier aber schon oO ;) hab mir das tool jetzt von nem kollegen downloaden lassen, icq geht ja immerhin noch :)..
jedoch wär ne kurze anleitung, was ich machn soll nicht schlecht ;)

thx für die schnelle hilfe!!!

was hab ich mir denn schönes eingefangen?:P

mfg

ERSTMAL:
Dein IE ist steinalt:
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
mittlerweile gibt es den 7ner:kloppen:
WAS HABE ICH MIR EINGEFANGE:
"yaqvjqsd.dll"
"regperf.exe"
"Installer.exe"~>schädlicher code
"winhoo32.dll"
"vyactooi.dll"
"ljJcbaWp.dll"
"iqlubvgf.dll"
DAS ZUM IE:
"prosearching.c*m"
SO DAS BEIM DRÜBERSCHauen ^^ ,im TV heißt es: und viele mehr...: BEDENKE: HJT ist nicht das Beste,und lückenhaft,und hier NICHT ausreichend :kloppen::daumenhoc
ALSO HIER DER TEXT

Code:

Einleitung
 

ComboFix ist ein von sUBs erstelltes Programm, welches den PC nach bekannter Malware durchsucht und versucht, Funde zu entfernen. Zusätzlich zu dem Entfernen einer großen Menge bekannter Malware, erstellt ComboFix eine Log-Datei, wenn der Durchlauf beendet ist. Dieses Log enthält eine Vielzahl an Informationen, die ein erfahrener Helfer zur Diagnose, zum Erhalten von Proben und zur Entfernung von Infizierungen nutzen kann, welche normalerweise nicht automatisch entfernt werden würden.
 

Im Zuge der enormen Fähigkeiten dieses Programmes ist es dringend empfohlen, dass Du nicht ohne Betreuung durch einen erfahrenen Helfer versuchst, mit den von ComboFix dargestellten Informationen auf eigene Faust zu arbeiten. Wenn dem dennoch so ist, kann es zu Problemen mit der Funktionalität des Computers kommen. Stattdessen solltest Du dieses Tutorium dazu nutzen, ComboFix herunterzuladen, es auszuführen und die erhaltene Log-Datei im Anschluss daran in einem Forum einzufügen, in welchem Du Helfer hast, die dieses Log interpretieren können. Die Helfer werden Dir helfen, den Computer von Infizierungen zu befreien, so dass der Computer wieder vernünftig läuft.
 

Bitte beachte, dass dieses Tutorium das einzige authorisierte Tutorium zur Nutzung von ComboFix ist und dass es nicht ohne Genehmigung von BleepingComputer.com und sUBs kopiert werden darf. Desweiteren erfolgt die Nutzung von ComboFix auf eigene Gefahr.
 

ComboFix benutzen:
 

Als erstes solltest Du Dir dieses Tutorium ausdrucken, da wir alle offenen Fenster und Programme, inklusive Deines Internet-Browsers schließen werden, bevor wir das ComboFix starten.
 

Als nächstes solltest Du Combofix von einem der folgenden URLs herunterladen:
 

    * BleepingComputer.com

    * ForoSpyware.com

    * GeeksTogo.com
 

Um ComboFix herunterzuladen, klicke einfach einen der obigen Links an. Wenn Du den Internet-Explorer nutzt, wirst Du eine Aufforderung vorfinden, die der folgenden Abbildung ähnelt.
 

 
 
 Aufforderung zum Speichern von ComboFix
 

 ---
 

Klicke auf Speichern und wenn nach dem Speicherort gefragt wird, stelle sicher, dass Du ComboFix auf dem Desktop abspeicherst. Das Dialogfenster ähnelt der folgenden Abbildung.
 

 
 

ComboFix auf dem Desktop abspeichern
 
 

 
 

Wenn Du den "Speichern unter" Schirm so eingestellt hast, dass ComboFix.exe auf dem Desktop gespeichert wird, klicke auf Speichern. ComboFix wird nun auf Deinen PC heruntergeladen. Wenn Du ein Modem nutzt, kann dies mehrere Minuten dauern. Wenn ComboFix fertig heruntergeladen ist, wirst Du ein Piktogramm auf Deinem Desktop vorfinden, welches dem Folgenden ähnelt.
 

 
 
 ComboFix Ikon (weißes kreuz mit schwarzem hintergrund)
 
 

Fürs Erste starte ComboFix noch nicht, da zunächst einige andere Schritte ausgeführt werden müssen.
 

Wir schlagen nun vor, die Windows Wiederherstellungskonsole zu installieren. Die Windows Wiederherstellungskonsole erlaubt es Dir, in einem speziellen Wiederherstellungs-Modus zu booten, welcher uns erlaubt, Dir zu helfen, falls der PC nach einer versuchten Bereinigung von Malware Probleme aufweist. Solltest Du Windows XP nutzen und eine Windows CD haben, kannst Du den Anweisungen in dem folgenden Tutorium folgen.
 

    Wie man die Windows XP Wiederherstellungskonsole installiert und nutzt 
 

Windows Vista Benutzer können ihre Windows CD benutzen, um in die Vista Wiederherstellungsumgebung zu booten.
 

Solltest Du Windows XP nutzen und keine Windows CD griffbereit haben, beinhaltet ComboFix eine Methode, mit der die Wiederherstellungskonsole durch herunterladen einer Datei von Microsoft installiert werden kann. Um die Wiederherstellungskonsole zu installieren, ohne eine Windows CD zu benutzen, folge bitte diesen Anweisungen.
 

   1. Klicke auf den folgenden Link um auf Microsofts Webseite zu gelangen:
 

      http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=13&y=11
 

   2. Auf dieser Seite navigiere und klicke auf den für Deine Windows XP Version (Home oder Professional) und Service Pack entsprechenden Download. Wenn Du auf den Link klickst, um die Datei herunterzuladen stelle sicher, dass die Datei auf dem Desktop gespeichert wird. Solltest Du Dir unsicher sein, welche Version von Windows Du benutzt und welches Service Pack installiert ist, kannst Du folgenden Anweisungen folgen, um dies herauszufinden.
 

         1. Klicke auf Start

         2. Klicke auf Ausführen...

         3. In dem Öffnen: Feld, gebe folgendes ein: sysdm.cpl und klicke auf OK.

         4. Ein Schirm wird sich öffnen, der Informationen zu dem installierten System anzeigt. Unter der Kategorie System: solltest Du die Windows Version und das installierte Service Pack vorfinden. Wenn Du Dir nun Dein System und das Service Pack notiert hast, fahre mit Schritt 2 fort.
 

   3. Sobald die Microsoft-Datei fertig heruntergeladen wurde, solltest Du diese auf das ComboFix-Piktogramm ziehen und Deinen Mausknopf loslassen. Dies wird in der folgenden Grafik illustriert.
 
 
 
 
 
 

   4. ComboFix wird nun automatisch die Windows Wiederherstellungskonsole auf Deinem PC installieren und sie wird als neue Option beim Hochfahren des PCs erscheinen. Wähle die Wiederherstellung nur dann aus, wenn Du von einem erfahrenen Helfer dazu aufgefordert wurdest.
 

Wenn Du mit der Installation von der Wiederherstellung fertig bist, fahre bitte mit dem Rest dieses Tutoriums fort.
 

Wir sind fast soweit, dass wir ComboFix starten können. Aber bevor wir dies tun, müssen wir noch einige Vorsorgeschritte ausführen. Dies ist notwendig, damit keine Konflikte zwischen ComboFix und anderen Programmen auftreten, wenn wir ComboFix ausführen werden. Zu diesem Zeitpunkt solltest Du nun folgendes tun:
 

    * Schließe alle offenen Fenster, inklusive diesem.

    * Schließe oder deaktiviere alle laufenden Antivirus-, Antispyware- und Firewall-Programme. Dies ist notwendig, da diese die korrekte Ausführung von ComboFix beeinträchtigen können. Anweisungen zur Deaktivierung von Programmen dieser Art können in diesem Thema gefunden werden.
 

Sobald diese beiden Schritte ausgeführt wurden, mache einen Doppelklick auf das ComboFix-Piktogramm auf Deinem Desktop. Bitte beachte, dass Du nirgendwo mehr mit der Maus hinklicken solltest, sobald ComboFix ausgeführt wurde, da dies das Programm aufhängen kann. Besser noch, solange ComboFix läuft, mache am besten gar nichts mit Deinem PC und mache einfach eine kurze Pause, da es eine Weile dauern kann, bis ComboFix fertig ist.
 

Sobald Du einen Doppelklick auf das Piktogramm machst, siehst Du eventuell folgende Aufforderung.
 

 
 
 Windows Datei öffnen Sicherheitswarnung
 

 
 

Windows zeigt diese Aufforderung, weil ComboFix keine digitale Signatur hat. Dies ist absolut normal und sicher, Du kannst auf Ausführen klicken, um fortzufahren. Solltest Du Windows Vista benutzen und eine Benutzerkontenschutz-Aufforderung mit der Frage erscheinen, ob Du mit dem Ausführen dieser Datei fortfahren möchtest, klicke auf Fortfahren. Du wirst nun den ersten Schirm von ComboFix vorfinden, der wie folgt aussieht.
 

 
 

ComboFix bereitet sich zur Ausführung vor
 

 
 

ComboFix bereitet sich nun zur Ausführung vor und wenn es damit fertig ist, wird es den unten aufgeführten Haftungsausschluss anzeigen.
 

 
 
 ComboFix Haftungsausschluss
 

 
 

Solltest Du mit dem Haftungsausschluss nicht einverstanden sein, tippe die Nummer 2 Taste auf Deinem Keyboard und bestätige mit Enter, um das Programm zu verlassen. Andernfalls tippe die Nummer 1 und Enter, um fortzufahren. Wenn Du Dich entschlossen hast weiterzumachen, wird ComboFix einen Wiederherstellungspunkt erstellen, um im Falle jeglicher Probleme durch die Nutzung dieses Programmes die Möglichkeit zu haben, auf die vorherigen Einstellungen zurückgreifen zu können. Wenn ComboFix mit der Erstellung des Wiederherstellungspunktes fertig ist, wird es eine Sicherung Deiner Registrierung machen, wie in dem folgenden Bild illustriert.
 

 
 
 ComboFix erstellt eine Sicherung der Registrierung
 

 
 

Nachdem die Sicherung der Windows-Registrierung abgeschlossen ist, wird ComboFix Deinen PC vom Internet trennen. Solltest Du daher also benachrichtigt werden, dass Deine Internetverbindung unterbrochen wurde, so liegt dies am ComboFix. Die Verbindung mit dem Internet wird zu einem späteren Zeitpunkt wiederhergestellt. Es besteht daher also kein Grund zur Sorge.
 

ComboFix wird nun den Durchlauf starten und nach bekannten Infizierungen suchen. Diese Prozedur kann einiges an Zeit in Anspruch nehmen, sei daher bitte geduldig.
 

 
 

ComboFix durchsucht den PC nach Infizierungen

 
 

Während das Programm nach Infizierungen sucht, wird es Dein Zeitformat abändern. Wenn ComboFix fertig mit dem Durchlauf ist, wird es das Zeitformat wieder in den Ursprungszustand versetzen. Es besteht daher also auch hier kein Grund zur Sorge. Du wirst außerdem auch sehen, wie sich der Text in dem ComboFix-Fenster regelmäßig aktualisiert, während es die verschiedenen Abschnitte durchläuft. Ein Beispiel dafür kann man im folgenden Bild sehen.
 
  
 

Abschnitte des ComboFix Autoscans
 

 
 

Zum Zeitpunkt der Veröffentlichung dieses Tutoriums existieren 41 Abschnitte, wie im unten aufgeführten Bild illustriert wird. Bitte sei daher geduldig.
 

 
 
 41. Abschnitt des ComboFix Autoscans
 
 

 
 

Wenn ComboFix mit dem Durchlauf fertig ist, wirst Du einen Schirm sehen, in dem es mitteilt, dass eine Log-Datei erstellt wird. Siehe folgende Illustration als Beispiel.
 

 
 

ComboFix bereitet eine Log-Datei vor
 
 

 
 

Dies kann eine Weile dauern. Sei daher nach wie vor geduldig. Solltest Du Deinen Windows-Desktop kurzfristig verschwinden sehen, so mache Dir keine Sorgen. Dies ist normal, da ComboFix Deinen Desktop wiederherstellt, wenn es mit dem Durchlauf fertig ist. Schlussendlich wirst Du einen Schirm sehen, der darauf hinweist, dass ComboFix fast fertig ist und Dich außerdem darauf hinweist, dass das ComboFix-Log oder der Bericht unter C:\ComboFix.txt zu finden ist. Ein Beispiel hierfür sieht wie folgt aus.
 

 
 
 Combofix ist fast fertig!
 

 
 

Wenn ComboFix fertig ist, wird es automatisch das Programm schließen und Deine Uhr in das ursprüngliche Format bringen. Es wird dann automatisch den Report bzw. die Log-Datei für Dich anzeigen. Ein Beispiel hierfür sieht aus wie folgt.
 

 
 
 ComboFix Log-Datei
 

 
 

Du solltest Dir nun ein Benutzerkonto bei einem der unten aufgelisteten Foren erstellen, und das ComboFix-Log dort in einem neuen Beitrag zusammen mit einem HijackThis-Log einfügen. Wenn Du diese Informationen in einen neuen Beitrag einfügst, gebe bitte zusätzlich noch eine Beschreibung Deiner Probleme und jegliche darauf hindeutenden Symptome an. Wenn Du Deine Logs in das Forum gestellt hast, sei bitte darauf eingestellt, dass eine Antwort etwas dauern kann. Die Foren sind dieser Tage sehr beschäftigt und daher kann es zu einer Verzögerung kommen. Solltest Du Probleme mit der Verbindung zum Internet haben, nachdem Du ComboFix ausgeführt hast, dann beziehe Dich bitte auf diese Sektion des Tutoriums.
 

Es ist möglich, dass ComboFix bereits nach dem ersten Durchlauf Deine Probleme gelöst haben kann. Wir raten allerdings ausdrücklich dazu, dass Du trotzdem Dein Log im Forum einfügst, da Du höchstwahrscheinlich noch Infizierungen auf Deinem PC hast, die der Helfer noch weiter analysieren muss.
 

Foren, die Hilfe anbieten, um ComboFix-Logs zu analysieren
 

Unten ist eine Liste von Foren aufgeführt, in denen Du Deine Log-Dateien einfügen kannst und authorisierte Hilfe bei der Analyse des Logs bekommen kannst. Wir haben die Foren nach Sprache kategorisiert, da ComboFix international verwendet wird. Bitte registriere ein Benutzerkonto für Dich und stelle Dein ComboFix-Log und ein HijackThis-Log in einem dieser Foren ein. Bitte beachte, dass jedes Forum andere Regeln hat. Stelle daher also bitte vorher sicher, dass Du zuerst die Themen liest, die in den Unterforen oben festgemacht und/oder als wichtig gekennzeichnet wurden.

So steht es auf der Seite,unverändert,ohne Bilder.
"kurze anleitung"..ähm sorry...

Code:

ComboFix 08-06-19.2 - XXX 2008-06-20 16:41:57.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.1.1252.1.1031.18.555 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\XXX\ComboFix.exe

Command switches used :: C:\Dokumente und Einstellungen\XXX\Desktop\XXX\winxpsp1_de_hom_bf.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOWS\BM27a59cde.xml

C:\WINDOWS\hosts

C:\WINDOWS\pskt.ini

C:\WINDOWS\SNMPAPI.DLL

C:\WINDOWS\system32\iqlubvgf.dll

C:\WINDOWS\system32\ljJcbaWp.dll

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\mlJYrspO.dll

C:\WINDOWS\system32\MSINET.oca

C:\WINDOWS\system32\mxbjlois.dll

C:\WINDOWS\system32\OpsrYJlm.ini

C:\WINDOWS\system32\OpsrYJlm.ini2

C:\WINDOWS\system32\uhotcglu.ini

C:\WINDOWS\system32\ulgctohu.dll

C:\WINDOWS\system32\ymuoliui.ini
 

.

(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Service_npf
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-05-20 bis 2008-06-20  ))))))))))))))))))))))))))))))

.
 

2008-06-20 13:25 . 2008-06-20 13:25        80,384        --a------        C:\WINDOWS\system32\yaqvjqsd.dll

2008-06-20 13:25 . 2008-06-20 16:49        414        ---hs----        C:\WINDOWS\system32\dsqjvqay.ini

2008-06-20 13:20 . 2008-06-20 13:20        90,112        --a------        C:\WINDOWS\system32\vyactooi.dll

2008-06-19 17:31 . 2008-06-19 18:19        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft

2008-06-18 19:05 . 2008-06-18 23:02        <DIR>        d--------        C:\Programme\MessengerDiscovery

2008-06-06 16:53 . 2008-06-06 16:53        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Zeon

2008-05-28 15:55 . 2008-05-28 15:55        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McPoker

2008-05-28 15:53 . 2008-05-28 15:53        <DIR>        d--------        C:\Programme\McPoker

2008-05-27 00:24 . 2008-05-27 00:30        248        --a------        C:\WINDOWS\system32\systemdrv32.aso

2008-05-26 23:10 . 2008-06-18 13:30        <DIR>        d--------        C:\Programme\Everest Poker

2008-05-22 16:29 . 2008-05-22 18:18        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!

2008-05-21 21:15 . 2008-05-21 21:15        <DIR>        d--------        C:\Programme\Windows Live

2008-05-21 21:14 . 2008-05-21 21:15        <DIR>        d--------        C:\Programme\Messenger Plus! Live
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-20 14:49        13,440        ----a-w        C:\WINDOWS\system32\drivers\USBCRFT.SYS

2008-06-19 15:38        ---------        d-----w        C:\Programme\Lavasoft

2008-06-19 15:37        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

2008-06-19 15:31        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Lavasoft

2008-06-18 21:02        ---------        d-----w        C:\Programme\MSN Messenger

2008-06-18 11:26        ---------        d-----w        C:\Programme\HLSW

2008-06-13 23:46        44,600        ----a-w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\wklnhst.dat

2008-06-08 14:35        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\teamspeak2

2008-06-04 09:31        ---------        d-----w        C:\Programme\ICQLite

2008-06-03 16:55        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Skype

2008-06-01 19:37        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2008-06-01 12:53        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ICQLite

2008-05-24 23:32        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania

2008-05-18 15:44        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-05-16 09:58        12,632        ----a-w        C:\WINDOWS\system32\lsdelete.exe

2008-05-01 12:32        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Viewpoint

2008-04-29 09:20        15,648        ----a-w        C:\WINDOWS\system32\drivers\NSDriver.sys

2008-04-29 09:19        15,648        ----a-w        C:\WINDOWS\system32\drivers\Awrtrd.sys

2008-04-29 09:19        12,960        ----a-w        C:\WINDOWS\system32\drivers\Awrtpd.sys

2008-04-25 09:33        18,334,265        ----a-w        C:\WINDOWS\Internet Logs\tvDebug.zip

2007-05-26 11:19        95,440        ----a-w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2007-05-22 15:49        584        ----a-w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\wklnhst.dat

.
 

        Code:


        
<pre>

----a-w         2,365,822 2004-08-22 11:48:47  C:\Dokumente und Einstellungen\XXX\Eigene Dateien\XXX\XXX\SetupXXX .exe

</pre>

 


((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 14:00 13312]

"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]

"Creative Detector"="C:\Programme\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 19:23 102400]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-14 22:05 344064]

"Prism_Utility"="Prismsta.exe" [2004-01-14 17:09 215552 C:\WINDOWS\system32\PRISMSTA.exe]

"CHotkey"="mHotkey.exe" [2004-02-24 14:05 508416 C:\WINDOWS\mHotkey.exe]

"ledpointer"="CNYHKey.exe" [2004-02-03 17:15 5794816 C:\WINDOWS\CNYHKey.exe]

"Dit"="Dit.exe" [2004-04-02 13:31 86016 C:\WINDOWS\Dit.exe]

"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-12-04 12:34 406016]

"Logitech Utility"="Logi_MwX.Exe" [2003-11-07 11:50 19968 C:\WINDOWS\LOGI_MWX.EXE]

"T-DSL SpeedMgr"="C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" [2006-02-09 17:15 765952]

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-29 17:57 262401]

"CTSysVol"="C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [ ]

"Cmaudio"="cmicnfg.cpl,CMICtrlWnd" []

"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02 919280]

"P17Helper"="P17.dll" [2005-05-03 13:38 64512 C:\WINDOWS\system32\P17.dll]

"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]

"2496af42"="C:\WINDOWS\System32\yaqvjqsd.dll" [2008-06-20 13:25 80384]

"BM27a59cde"="C:\WINDOWS\System32\vyactooi.dll" [2008-06-20 13:20 90112]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 14:00 13312]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.iv41"= ir41_32.dll

"VIDC.MJPG"= Pvmjpg21.dll

"VIDC.PIM1"= pclepim1.dll

"vidc.I420"= vdrcodec.dll

"MSACM.CEGSM"= mobilev.acm
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

--a------ 2004-04-13 07:07 69632 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
 

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-29 17:57]

R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-04-29 17:57]

R1 SSHDRV5C;SSHDRV5C;C:\WINDOWS\System32\drivers\SSHDRV5C.sys [2004-06-25 15:39]

R1 vobiw;vobiw;C:\WINDOWS\System32\drivers\vobiw.sys [2004-02-20 12:03]

R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 17:29]

R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\System32\DRIVERS\Cap7134.sys [2003-06-05 11:04]

R3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\System32\Drivers\USBCRFT.SYS [2008-06-20 16:49]

R3 cdrdrv;Cdrdrv;C:\WINDOWS\System32\Drivers\Cdrdrv.sys [2004-02-03 16:04]

R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\System32\DRIVERS\PhTVTune.sys [2003-06-12 11:47]

R3 TSMPacket;T-DSL SpeedManager Service;C:\WINDOWS\System32\DRIVERS\tsmpkt.sys [2005-12-01 14:38]

R3 UKBFLT;UKBFLT;C:\WINDOWS\System32\DRIVERS\UKBFLT.sys [2003-12-19 17:13]

R3 uscsc108;uscsc108;C:\WINDOWS\System32\DRIVERS\uscsc108.sys [2003-03-09 19:41]

R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\System32\drivers\wbscr.sys [2002-04-24 13:07]

S3 AWINDIS5;AWINDIS5 Protocol Driver;C:\WINDOWS\System32\AWINDIS5.SYS [2002-04-11 17:43]

S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 17:27]

S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 17:41]

S3 gel90xne;gel90xne;C:\DOKUME~1\XXX\LOKALE~1\Temp\gel90xne.sys []

S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\System32\Drivers\iiusbisp.sys []

S3 NETGEAR_WG311T_SERVICE;NETGEAR WG311T Wireless Adapter Service;C:\WINDOWS\System32\DRIVERS\wg311tn5.sys []

S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\System32\NSNDIS5.SYS []

S3 p17filt;p17filt;C:\WINDOWS\System32\drivers\p17filt.sys []

S3 PCD5CX3;PCD5CX3;C:\DOKUME~1\XXX\LOKALE~1\Temp\PCD5CX3.sys []

S3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\System32\DRIVERS\PRISMA00.sys [2004-01-16 10:31]

S3 SaiNtHid;SaiNtHid;C:\WINDOWS\System32\DRIVERS\SaiNtHid.sys [2002-01-07 11:01]

S3 xusb20;Xbox 360 Wireless Receiver for Windows Driver Service;C:\WINDOWS\System32\DRIVERS\xusb20.sys [2006-10-13 15:48]
 

.

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-20 16:49:59

Windows 5.1.2600 Service Pack 1 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Eintr„ge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Microsoft Office\Office\OSA.EXE

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\scardsvr.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Programme\T-DSL SpeedManager\TSMSvc.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-06-20 16:58:30 - machine was rebooted [XXX]

ComboFix-quarantined-files.txt  2008-06-20 14:58:10
 

              17 Verzeichnis(se), 56,302,301,184 Bytes frei

              20 Verzeichnis(se), 56,520,855,552 Bytes frei
 

winxpsp1_de_hom_bf.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /FASTDETECT

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
 

183

Lass jetzt noch Malwarebytes scannen und erstelle ein neues Hijackthis Log.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:18:27, on 20.06.2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\Prismsta.exe

C:\WINDOWS\mHotkey.exe

C:\WINDOWS\CNYHKey.exe

C:\WINDOWS\Dit.exe

C:\Programme\T-DSL SpeedManager\SpeedMgr.exe

C:\Programme\Logitech\MouseWare\system\em_exec.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\RunDll32.exe

C:\WINDOWS\System32\Rundll32.exe

C:\Programme\ICQLite\ICQLite.exe

C:\Programme\T-DSL SpeedManager\TSMSvc.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Programme\Creative\MediaSource\Detector\CTDetect.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Programme\Microsoft Office\Office\OSA.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Programme\MSN Messenger\msnmsgr.exe

C:\PROGRA~1\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.kwick.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

F1 - win.ini: run= D:\SPIELE\C&C\INSTICON.EXE

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE

O8 - Extra context menu item: Open with ScanSoft PDF Converter 4.0 - res://C:\Programme\ScanSoft\PDF Professional 4.0\cnvres_eng.dll /100

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\ActiveSync\INETREPL.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker.com\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker.com\PartyPoker\RunApp.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - hxxp://www.medionshop.de/ (file missing) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: START_PAGE_URL=hxxp://www.strato.de/dsl/

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - hxxp://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - hxxp://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - hxxp://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - hxxp://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - hxxp://player.virtools.com/downloads/player/Install2.5/Installer.exe

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - hxxp://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe

O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe

O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\System32\CTsvcCDA.EXE (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe

O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
 

--

End of file - 9367 bytes

alles sauber jetzt??:)
wie halt ich mein pc in zukunft von solchem zeug fern??

thx@ all..

mfg

so:
http://www.trojaner-board.de/51262-a...sicherung.html
dank des links von Silverdragon
EDIT:
Nichts ist sauber:
1.MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Hab ich was zu gesagt
Ich glaube du hast meinen Beitrag übersehen,die sites sind auch noch da
hochladen mit jotti(http://virusscan.jotti.org/de/) "INSTICON.EXE"
FIXEN:
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - hxxp://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - hxxp://player.virtools.com/downloads/player/Install2.5/Installer.exe
(datei?)
NEUPOSTEN,LESEN,HANDELN!
:( mann
EDIT2: WO SIND DIE DATEIEN?
ICH SPRECHE DEUTSCH,ENGLISCH Und FRANZÖSISCH,aber doch net chinesisch:

Zitat:

]ERSTMAL:
Dein IE ist steinalt:
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
mittlerweile gibt es den 7ner
WAS HABE ICH MIR EINGEFANGE:
"yaqvjqsd.dll"
"regperf.exe"
"Installer.exe"~>schädlicher code
"winhoo32.dll"
"vyactooi.dll"
"ljJcbaWp.dll"
"iqlubvgf.dll"
DAS ZUM IE:
"prosearching.c*m"

EDIT3: sorry,sind weg,aber hättest ja wenigstens hochladen können ,statt fixen,denn die dateien sind mit HJT nicht weg ,nur beendet!

Wieso soll er neu aufsetzen? o;O
Siehst du in dem Logfile ne aktive Backdoor?
Eigentlich hat Combofix schon ganz schön reingehaun.
Weshalb neu aufsetzen?

Zitat:

Zitat von specialagent (Beitrag 347791)

so:
http://www.trojaner-board.de/51262-a...sicherung.html
dank des links von Silverdragon
EDIT:
Nichts ist sauber:
1.MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Hab ich was zu gesagt
Ich glaube du hast meinen Beitrag übersehen,die sites sind auch noch da
hochladen mit jotti(Online Malware scan) "INSTICON.EXE"
FIXEN:
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - hxxp://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - hxxp://player.virtools.com/downloads/player/Install2.5/Installer.exe
(datei?)
NEUPOSTEN,LESEN,HANDELN!
:( mann
EDIT2: WO SIND DIE DATEIEN?
ICH SPRECHE DEUTSCH,ENGLISCH Und FRANZÖSISCH,aber doch net chinesisch:

Möchte mich ja eigentlich nicht einmischen aber was postest du für Sch*****:confused:

1. Deine Darstellung ist ja völlig daneben
2. Wiso aufeinmal Neuaufsetzen???
3. Bei Dateien die man auf Jotti oder VirusTotal hochladen soll, solltest du den Pfad angeben und nicht einfach ein Dateiname hinknallen!!
4. Wiso postest du dazwischen wenn SilverDragon alles im Griff hat??

Sorry@ SilverDragon dass ich mich da einmische aber das musste einfach sein:lach:

habe nichts von neuaufsetzen gesagt,jedoch sinnlos(!) wäre es nicht..
Er hat nur vom absichern geredet ,dass in deiner Signatur neuaufsetzten auch dabei war,ist reines "Pech" ,denn so muss er sich durchsurchen.. JEDOCH! sein problem betrifft EHER KEIN NEUAUFSETZTEN