Antivirus Xp 2008 - Logfiles
 

Guten Morgen,
gestern habe ich festestellen müssen, dass ich mir diesen Antivirus Xp 2008 eingefangen habe:heulen:
Habe erstmal Malewarebytes durchlaufen lassen und dachte damit sei die Sache erledigt.
Leider stellte ich heute morgen fest, dass bei meinen beiden E-Mail Adressen alle Mail gelöscht wurde. Habe mir dann ein HiJackThis Log Online auswerten lassen und alles gefixt, was HiJackThis irgendwie als schädlich erkannte.
Dann habe ich alle Passwörter geändert und mache nun einen Online Scan mit Kaspersky.
Trozdem möchte ich nochmal die Log's von HiJackThis und Malwarebytes posten und darum bitten, dass sie sich jemand ansieht, damit nicht doch noch irgendwas übrig bleibt.

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1065
Windows 5.1.2600 Service Pack 2

13:55:59 18.08.2008
mbam-log-08-18-2008 (13-55-59).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 144538
Laufzeit: 1 hour(s), 5 minute(s), 13 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 57

Infizierte Speicherprozesse:
C:\WINDOWS\system32\lphcrfdj0er4a.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcrfdj0er4a (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Finn\Eigene Dateien\HDD2\Unknown\Dc89\Unbekannt\Dc88.avi (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Eigene Dateien\HDD2\Unknown\Dc89\Unbekannt\Dc89.avi (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Eigene Dateien\HDD2\Unknown\Dc89\Unbekannt\Dc91.avi (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Eigene Dateien\HDD2\Unknown\Dc89\Unbekannt\Dc92.avi (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HZQOSR6\winvsnet[1].exe (Rogue.AntiSpyMaster) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CF8CFC64-DB77-40B2-8027-2050579EE865}\RP67\A0008717.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CF8CFC64-DB77-40B2-8027-2050579EE865}\RP67\A0008756.dll (Adware.ClickSpring) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CF8CFC64-DB77-40B2-8027-2050579EE865}\RP68\A0009664.exe (Rogue.AntiSpyMaster) -> Quarantined and deleted successfully.
C:\WINDOWS\Rmlubg\asappsrv.dll (Adware.CommAd) -> Quarantined and deleted successfully.
E:\HDD2\Unknown\Dc89\Unbekannt\Dc88.avi (Trojan.Dropper) -> Quarantined and deleted successfully.
E:\HDD2\Unknown\Dc89\Unbekannt\Dc89.avi (Trojan.Dropper) -> Quarantined and deleted successfully.
E:\HDD2\Unknown\Dc89\Unbekannt\Dc91.avi (Trojan.Dropper) -> Quarantined and deleted successfully.
E:\HDD2\Unknown\Dc89\Unbekannt\Dc92.avi (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\explore.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\svchost32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\internet.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\cpan.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\ctfmon32.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\ctrlpan.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\directx32.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\dnsrelay.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\editpad.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\Explorer32.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\funniest.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\funny.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\gfmnaaa.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\helpcvs.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\inetinf.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\msconfd.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\msspi.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\mswsc10.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\mswsc20.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\qttasks.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\quicken.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pac.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\rundll32.vbe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\searchword.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\sistem.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\svcinit.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\time.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\win32e.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcrfdj0er4a.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcrfdj0er4a.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt15.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\wavvsnet.exe (Trojan.Agent) -> Quarantined and deleted successfully.





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:49:27, on 19.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\MMKeybd.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQ 6\ICQ.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Office Keyboard] C:\WINDOWS\MMKeybd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ 6\ICQ.exe" silent
O4 - HKCU\..\Run: [Hoae] "C:\PROGRA~1\STEM32~1\notepad.exe" -vt yazb
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207505133125
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207505127000
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - https://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB7D7259-D46D-4F82-B6F9-AA6918251A0D}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: mlJCVlMc - mlJCVlMc.dll (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6015 bytes

Wäre wirklich prima wenn mir jemand helfen könnte :)

Hallo und :hallo:

Von wo? Aufm POP3-Server gelöscht oder aus Deinem Mailprogramm heraus?

Mit Hijackthis fixen!

Mach einen Durchlauf mit Combofix, wenn das durch ist auch ein neues mit Hijackthis und poste beide:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

Die Email's wurden vom Server gelöscht, ein Mailprogramm hab ich nicht.

O20 - Winlogon Notify: mlJCVlMc - mlJCVlMc.dll (file missing) Hab ist gefixt :)

Combofix werd ich sofort nach dem Kaspersky scan ausführen, den will ich nicht abbrechen weil der grad bei 89% ist

Vielen dank für die Hilfe! :)

Edit: So hier der Log von Combofix

ComboFix 08-08-18.04 - Finn 2008-08-19 14:11:11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1626 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Finn\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Finn\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\CROSOF~1.NET
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\CROSOF~1.NET\s?oolsv.exe
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\RM33EP5L\interclick.com
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\RM33EP5L\interclick.com\ud.sol
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol
C:\Dokumente und Einstellungen\Finn\UserData
C:\Dokumente und Einstellungen\Finn\UserData\7IHO4VQJ\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\Finn\UserData\index.dat
C:\Dokumente und Einstellungen\Finn\UserData\SAICLH84\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\Finn\UserData\ZN4AAQ36\oWindowsUpdate[1].xml
C:\Programme\stem32~1
C:\Programme\stem32~1\??stem32\
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\system32\hljwugsf.bin
C:\WINDOWS\system32\jfrfdnig.ini
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\WxxGNnnn.ini
C:\WINDOWS\system32\WxxGNnnn.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-19 bis 2008-08-19 ))))))))))))))))))))))))))))))
.

2008-08-19 11:58 . 2008-08-19 11:58 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-19 11:58 . 2008-08-19 11:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-19 11:46 . 2008-08-19 11:46 <DIR> d-------- C:\Programme\Trend Micro
2008-08-18 14:12 . 2008-08-18 14:12 <DIR> d-------- C:\Programme\Sun
2008-08-18 12:31 . 2008-08-18 12:31 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Malwarebytes
2008-08-18 11:53 . 2008-08-18 12:31 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-18 11:53 . 2008-08-18 11:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-18 11:53 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-18 11:53 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-18 01:35 . 2008-08-18 01:35 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Thunderbird
2008-08-18 01:35 . 2008-08-18 01:35 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Talkback
2008-08-11 11:52 . 2008-08-15 20:38 <DIR> d-------- C:\Programme\Winamp Remote
2008-08-10 23:59 . 2008-04-05 12:48 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Vorlagen
2008-08-10 23:59 . 2008-04-05 13:44 <DIR> dr------- C:\Dokumente und Einstellungen\D2\Startmen�
2008-08-10 23:59 . 2008-04-05 13:44 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Netzwerkumgebung
2008-08-10 23:59 . 2008-04-05 13:44 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Lokale Einstellungen
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> dr------- C:\Dokumente und Einstellungen\D2\Favoriten
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> dr------- C:\Dokumente und Einstellungen\D2\Eigene Dateien
2008-08-10 23:59 . 2008-04-05 13:44 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Druckumgebung
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> d-------- C:\Dokumente und Einstellungen\D2\Anwendungsdaten\Windows Desktop Search
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> dr-h----- C:\Dokumente und Einstellungen\D2\Anwendungsdaten
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> d-------- C:\Dokumente und Einstellungen\D2
2008-08-10 23:26 . 2008-08-19 00:35 <DIR> d-------- C:\Programme\Diablo II
2008-08-02 21:25 . 2008-08-02 21:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-07-27 09:39 . 2008-07-27 09:39 268 --ah----- C:\sqmdata00.sqm
2008-07-27 09:39 . 2008-07-27 09:39 244 --ah----- C:\sqmnoopt00.sqm
2008-07-26 12:35 . 2008-07-26 12:35 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Windows Search
2008-07-26 11:56 . 2008-07-26 11:56 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2008-07-26 11:56 . 2008-08-18 13:07 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-07-26 11:56 . 2008-03-07 18:56 192,000 -----c--- C:\WINDOWS\system32\dllcache\offfilt.dll
2008-07-26 11:56 . 2008-03-07 18:56 98,304 -----c--- C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-07-26 10:48 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-07-26 10:45 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-07-26 10:45 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-07-23 23:53 . 2008-08-17 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Hamachi
2008-07-23 23:52 . 2008-07-23 23:53 <DIR> d-------- C:\Programme\Hamachi
2008-07-23 23:52 . 2008-08-16 00:03 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-07-21 20:36 . 2008-08-18 11:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-07-21 20:35 . 2008-07-26 18:48 <DIR> d-------- C:\Programme\Security Task Manager

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-19 12:18 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Skype
2008-08-19 09:38 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\skypePM
2008-08-18 22:34 --------- d-----w C:\Programme\Warcraft III
2008-08-18 14:48 --------- d-----w C:\Programme\ICQLite
2008-08-18 14:17 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Apple Computer
2008-08-18 12:12 --------- d-----w C:\Programme\Java
2008-08-18 11:06 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-17 23:05 --------- d-----w C:\Programme\Diablo II Spiel 1
2008-08-11 09:54 --------- d-----w C:\Programme\Winamp
2008-08-11 09:51 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Winamp
2008-08-10 21:36 2,829 ----a-w C:\WINDOWS\DIIUnin.pif
2008-08-10 21:36 102,400 ----a-w C:\WINDOWS\DIIUnin.exe
2008-08-02 19:09 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\AdobeUM
2008-07-26 22:51 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\ICQ
2008-07-26 09:55 --------- d-----w C:\Programme\Microsoft Silverlight
2008-07-21 18:41 --------- d-----w C:\Programme\DNA
2008-07-21 18:36 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\DNA
2008-07-21 18:25 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-07-21 18:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-20 19:58 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\teamspeak2
2008-07-20 14:42 --------- d-----w C:\Programme\ICQ6
2008-07-16 19:49 --------- d-----w C:\Programme\iTunes
2008-07-16 19:48 --------- d-----w C:\Programme\iPod
2008-07-16 19:45 --------- d-----w C:\Programme\QuickTime
2008-07-16 19:36 --------- d-----w C:\Programme\Safari
2008-07-03 17:28 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-03 16:13 --------- d-----w C:\Programme\Avira
2008-07-03 16:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-03 14:45 --------- d-----w C:\Programme\Enigma Software Group
2008-07-03 14:16 --------- d-----w C:\Programme\SpyZooka
2008-07-03 13:16 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-07-03 13:16 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-06-24 19:44 --------- d-----w C:\Programme\Guitar Pro 5
2008-06-24 19:43 --------- d-----w C:\Programme\Valve
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-05 21:50 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2005-07-29 14:24 472 --sha-r C:\WINDOWS\Rmlubg\lA5Rv0.vbs
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-06 18:21 21898024]
"ICQ"="C:\Programme\ICQ 6\ICQ.exe" [2008-04-01 12:40 172280]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-12-05 01:41 8523776]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-12-05 01:41 81920]
"Office Keyboard"="C:\WINDOWS\MMKeybd.exe" [2004-11-03 12:32 425984]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 19:44 266497]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-10 10:51 289064]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\ICQ 6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Warcraft III\\Warcraft III.exe"=
"C:\\Programme\\Valve\\hl.exe"=
"C:\\Programme\\Warcraft III\\War3.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:6112
"6113:TCP"= 6113:TCP:6113
"6114:TCP"= 6114:TCP:6114
"6115:TCP"= 6115:TCP:6115
"6116:TCP"= 6116:TCP:6116
"6117:TCP"= 6117:TCP:6117
"6118:TCP"= 6118:TCP:6118
"6119:TCP"= 6119:TCP:6119
"6112:UDP"= 6112:UDP:6112
"6113:UDP"= 6113:UDP:6113
"6114:UDP"= 6114:UDP:6114
"6115:UDP"= 6115:UDP:6115
"6116:UDP"= 6116:UDP:6116
"6117:UDP"= 6117:UDP:6117
"6118:UDP"= 6118:UDP:6118
"6119:UDP"= 6119:UDP:6119

S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 08:05]
.
Inhalt des "geplante Tasks" Ordners

2008-07-23 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-Hoae - C:\PROGRA~1\STEM32~1\notepad.exe
HKCU-Run-MsnMsgr - C:\Programme\Windows Live\Messenger\MsnMsgr.Exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Mozilla\Firefox\Profiles\97dizcy0.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 14:18:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-19 14:22:09 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-19 12:22:06

Pre-Run: 13 Verzeichnis(se), 125,489,385,472 Bytes frei
Post-Run: 17 Verzeichnis(se), 125,681,229,824 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

212

Ups erstmal Sorry für den Doppelpost.. einfach erstmal denken vorm post :rolleyes:

Hier ComboFix:

Und hier auch nochmal HiJackThis

Mach nochmal Durchläufe mit Silentrunners und Blacklight (beides in meiner Signatur). Poste wieder die Logs mit Codetags umschlossen.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

DllUnin.pif
DllUnin.exe

Wenn ich C:\WINDOWS\Rmlubg\lA5Rv0.vbs hochladen möchte sagt er, dass die Datei schon analysiert wurde die Ergebnis war folgendes:
Blacklight findet nix.
Hoffe das ist der Log:
Das hat Silentrunners ausgespuckt:

Diesen Ordner löschen.
Ansonsten sieht alles soweit eigentlich okay aus. Sind denn noch irgendwelche Auffälligkeiten am PC?

Aktualisiere mal bei Gelegenheit auf das Service Pack 3. Spiel auch ne neue Version vom AdobeReader ein.

Ordner ist gelöscht, mir fällt auch nix besonderes mehr auf.
Beim E-Mail Konto hat sich auch keiner mehr eingelogt :)

Servicepack wird gleich gemacht und der Reader auch aktualisiert.

Vielen vielen dank für die Hilfe, das war echt super! :aplaus: