Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Problem:VBS/Agent.1002 und TR/FakeAV.AM (https://www.trojaner-board.de/60015-problem-vbs-agent-1002-tr-fakeav.html)

Schickse 16.09.2008 16:14
Problem:VBS/Agent.1002 und TR/FakeAV.AM
 
Hallo zusammen !

Vor einigen Stunden ist folgendes Problem aufgetaucht:
Zuerst änderte sich mein Desktophintergrundbild ("es wurden Viren gefunden und ich sollte eine Antivirus Software herunterladen"), daraufhin erschienen einige Popups von Spybot, das irgendetwas geändert wurde, was ich jedes Mal nicht erlaubte. Letzten Endes kam ein Pop Up, wo stand, dass ich die Antivirus Software herunterladen soll (habe ich NICHT gemacht und stattdessen per Task Manager geschlossen).
Habe mit Antivir mein System durchsucht und er fand: VBS/Agent.1002 und TR/FakeAV.AM (habe sie gelöscht und in Quarantäne verschoben)

Habe schon gelesen, dass einige ein ähnliches Problem haben, ...allerdings erscheint bei mir seitdem keine Bluescreens oder weitere Popups.
Lediglich kann ich bei google keine Links mehr öffnen =( Das Problem scheint also weiterhin vorhanden zu sein.
Hoffe, mir kann jemand helfen...

Hier meine HJT Logfile:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:53:42, on 16.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\acs.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\AOL\1177626448\ee\aolsoftware.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.kielnet-internet.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.kielnet-internet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.kielnet-internet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von KielNET-DSL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {37B85A21-692B-4205-9CAD-2626E4993404} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1177626448\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [mspradme] c:\windows\system32\mspradme.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\sysmon32k.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {E8F65084-03A6-47F4-8880-5FCD08E9C9B9} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: *.windowsupdate.com
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - hxxp://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - hxxp://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - hxxp://www.new2.foto.com/ImageUploader5.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - hxxp://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - hxxp://cid-998c2b7b90c5a94d.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - hxxp://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 11776 bytes

schrauber 16.09.2008 17:11
hi Schickse und :hallo:

kopiere den text in notepad, speichern unter "findfile.bat", beim speichern dateityp auf "alle dateien" stellen. speicher es auf dem desktop und starte es durch doppelklick. poste das file.

Code:
@echo off
set log="%userprofile%\Desktop\files.txt"
if exist %log% del %log%

for %%d in (c d e f g h i j k l m n o p q r s t u v w x y z) do (
    if exist %%d:\ (
        %%d:
        cd \
        dir *.vbs;autorun.inf /s
        dir *.vbs;autorun.inf /ah /s
        attrib
    )
) >> %log%
start notepad %log%
====

lasse Malwarebytes scannen, log posten

====

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com - GeeksTogo.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

Vorbereitung und wichtige Hinweise
  • Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme,
    die Firewall und evtl. vorhandenes Skript-Blocking deaktivieren.
  • Liste der zu deaktivierenden Programme. Bei Unklarheiten bitte vorher fragen.
  • Bitte die Wiederherstellungskonsole nach dieser ausführlichen Anleitung installieren.
    .
    http://i266.photobucket.com/albums/ii277/sUBs_/RC1.gif
    .
  • Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
  • Das könnte Dein System einfrieren oder hängen bleiben lassen.
  • Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
  • ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
  • Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder erneuern.
  • Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
  • Teile uns das mit und warte auf unsere Anweisungen.
Anwendung
  • Schließe alle Anwendungen, wenn Du Combofix laufen lässt.
  • Mache einen Doppelklick auf die ComboFix.exe und folge den Anweisungen.
  • Wird eine Infektion gefunden, startet Combofix den Rechner automatisch neu, um die Entfernung zu vervollständigen.
  • Schließe das Fenster von Combofix nicht, sonst wirst Du einen leeren Desktop zurück behalten.
  • Wenn der Scan beendet ist, wird ein Logfile erstellt, zu finden unter C:\ComboFix.txt
  • Nicht vergessen, die deaktivierten Programme wieder zu aktivieren!
  • Poste den Inhalt des Combofix-Logfiles hier in den Thread.
Hinweis für Mitleser

Bitte Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Schickse 16.09.2008 18:13
1. gemacht getan. Kann nichts posten, da dort nichts steht (nur schwarzer Bildschirm). Codierung ANSI denn richtig?!

2. Habe Malwarebytes schon dreimal durchlaufen lassen.Allerdings ging nur Quick Scan...beim Vollständigen Suchdurchlauf stürzte er nach 15min. ab ("Malwarebytes hat ein Problem entdeckt und muss beendet werden"..oder so ähnlich..).
Beim ersten Mal (Quick Scan) 21 Funde, beim zweiten 1 Fund, beim dritten sauber. Poste mal alle drei...

Nummer 1:
Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1160
Windows 5.1.2600 Service Pack 3

16.09.2008 18:07:40
mbam-log-2008-09-16 (18-07-40).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47966
Laufzeit: 4 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{37b85a21-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch (Adware.BookedSpace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\blphc31pj0ej0c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphc31pj0ej0c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phc31pj0ej0c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\.tt3C.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Nummer 2:
Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1160
Windows 5.1.2600 Service Pack 3

16.09.2008 18:20:45
mbam-log-2008-09-16 (18-20-45).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47876
Laufzeit: 7 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{37b85a21-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
und zu guter letzt Nummer 3:
Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1160
Windows 5.1.2600 Service Pack 3

16.09.2008 18:57:24
mbam-log-2008-09-16 (18-57-24).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47668
Laufzeit: 8 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Das Google Problem scheint beseitigt.
Werde mich jetzt Combofix widmen...

Schickse 16.09.2008 18:52
...äääähm...nochmal eine kurze Frage:
Bin gerade beim Leitfaden und Tutorium zur Nutzung von ComboFix.
Bei der Installation der Windows Wiederherstellungskonsole (keine Windows CD griffbereit) finde ich meine Version nicht (Windows XP Home Edition SP 3 ... gibt dort nur SP1 und SP2). Und nun ?

schrauber 16.09.2008 18:58
nimm SP2 :)

Schickse 16.09.2008 19:40
So, Combofix ist durch. Hier die Logfile:

Code:
ComboFix 08-09-15.02 - XXX 2008-09-16 20:16:57.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.132 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere L”schungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\MSINET.oca

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


(((((((((((((((((((((((  Dateien erstellt von 2008-08-16 bis 2008-09-16  ))))))))))))))))))))))))))))))
.

2008-09-16 16:06 . 2008-09-16 16:06        276        --a------        C:\WINDOWS\_delis32.ini
2008-09-16 16:02 . 2008-09-16 16:02        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-09-16 15:58 . 2008-09-16 16:04        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware
2008-09-16 15:58 . 2008-09-16 15:58        <DIR>        d----c---        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-16 15:58 . 2008-09-10 00:04        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-16 15:58 . 2008-09-10 00:03        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys
2008-09-16 13:58 . 2008-09-16 13:58        <DIR>        d--------        C:\Programme\CCleaner
2008-08-22 21:53 . 2008-08-22 21:53        <DIR>        d--------        C:\WINDOWS\system32\de
2008-08-22 21:53 . 2008-08-22 21:53        <DIR>        d--------        C:\WINDOWS\system32\bits
2008-08-22 21:53 . 2008-08-22 21:53        <DIR>        d--------        C:\WINDOWS\l2schemas
2008-08-22 21:48 . 2008-08-22 21:54        <DIR>        d--------        C:\WINDOWS\ServicePackFiles
2008-08-22 21:28 . 2008-08-22 21:28        <DIR>        d--------        C:\WINDOWS\EHome
2008-08-17 04:09 . 2004-08-03 22:41        1,041,536        ---------        C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2008-08-17 04:09 . 2004-08-03 22:41        685,056        ---------        C:\WINDOWS\system32\drivers\hsfcxts2.sys
2008-08-17 04:09 . 2004-08-03 22:41        220,032        ---------        C:\WINDOWS\system32\drivers\hsfbs2s2.sys
2008-08-17 04:09 . 2004-07-17 22:55        129,045        ---------        C:\WINDOWS\system32\drivers\cxthsfs2.cty
2008-08-17 04:09 . 2004-08-03 22:41        11,868        ---------        C:\WINDOWS\system32\drivers\mdmxsdk.sys

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-16 18:06        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop
2008-09-16 17:24        ---------        d-----w        C:\Programme\Spybot - Search & Destroy
2008-09-16 17:21        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-16 15:37        ---------        d-----w        C:\Programme\FAHRINFO
2008-09-16 14:16        ---------        d-----w        C:\Programme\Logitech
2008-09-16 14:07        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Logitech
2008-09-16 13:45        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-11 09:07        ---------        d-----w        C:\Programme\PokerStars.NET
2008-09-07 20:53        ---------        d-----w        C:\Programme\PokerStars
2008-08-11 15:55        ---------        dc----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-08-11 15:47        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe
2008-08-11 15:47        ---------        d-----w        C:\Programme\Bonjour
2008-08-11 14:36        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-08-08 18:35        ---------        d-----w        C:\Programme\Google
2008-08-05 23:04        ---------        dc----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-05 23:04        ---------        d-----w        C:\Programme\Apple Software Update
2008-07-27 19:32        ---------        d-----w        C:\Programme\Java
2006-10-27 08:55        23,296        ----a-w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-06-04 13:25        1,039,872        ----a-w        C:\Programme\iview398g.exe
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 307200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-15 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-15 688218]
"THotkey"="C:\Programme\Toshiba\Toshiba Applet\thotkey.exe" [2005-12-08 352256]
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 73728]
"SmoothView"="C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 118784]
"PadTouch"="C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1077328]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-01 122940]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 70952]
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2006-10-02 100056]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1177626448\ee\AOLSoftware.exe" [2006-11-17 50736]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 413696]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-01-16 37376]
"RTHDCPL"="RTHDCPL.EXE" [2005-11-10 C:\WINDOWS\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 C:\WINDOWS\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2005-08-03 C:\WINDOWS\system32\TPSMain.exe]
"NDSTray.exe"="NDSTray.exe" [BU]
"CFSServ.exe"="CFSServ.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"SystemManager"="C:\WINDOWS\system32\sysmon32k.exe" [2005-10-31 827392]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-07-22 81408]
S3 adiusbae;Acer ADSL Surf USB LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys [2002-05-17 203753]
S3 PID_0920;Logitech QuickCam Express(PID_0920);C:\WINDOWS\system32\DRIVERS\LV532AV.SYS [ ]
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-LogitechVideoRepair - C:\Programme\Logitech\Video\ISStart.exe
HKLM-Run-mspradme - c:\windows\system32\mspradme.exe
HKLM-Run-ccApp - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
HKLM-Run-Advanced Tools Check - C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
HKLM-Run-LogitechVideoTray - C:\Programme\Logitech\Video\LogiTray.exe
HKLM-Run-adiras - adiras.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\gzncr5pq.default\
FF -: plugin - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-16 20:25:21
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\acs.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-16 20:32:18 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-16 18:31:58

Pre-Run: 17 Verzeichnis(se), 47,892,926,464 Bytes frei
Post-Run: 21 Verzeichnis(se), 48,870,699,008 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

166        --- E O F ---        2008-09-11 09:11:41

schrauber 16.09.2008 19:48
  • Lade das SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
  • Starte deinen Rechner neu auf, in den abgesicherten Modus .
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

Schickse 16.09.2008 21:34
So, hier der Report von SDFix:

Code:
SDFix: Version 1.226
Run by XXX on 16.09.2008 at 21:31

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :
 


                                Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-16 22:02:12
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="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"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Messenger"
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Mon 10 May 2004        54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe"
Mon 10 May 2004      156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe"
Mon 10 May 2004        31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe"
Mon 19 Jan 2004      428,544 A..H. --- "C:\Programme\AOL 9.0\StartSM.exe"
Mon 10 Jul 2006        4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Mon 27 Aug 2007            0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"

Finished!

und HJT Logfile gleich hinterher:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:29:35, on 16.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\acs.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\1177626448\ee\AOLSoftware.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.kielnet-internet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1177626448\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {E8F65084-03A6-47F4-8880-5FCD08E9C9B9} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: *.windowsupdate.com
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-998c2b7b90c5a94d.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 10467 bytes

schrauber 17.09.2008 03:23
Kaspersky Online Scan
Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis.

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  • Browser öffnen und
  • Kaspersky Online Scanner ansurfen.
  • Die Datenschutzerklärung akzeptieren.
  • Die nötigen ActiveX-Steuerelemente installieren lassen.
  • Update der Signaturen installieren lassen => Weiter
  • Scan-Einstellungen => Standard wählen => OK
  • Link "Arbeitsplatz" anklicken
  • Scan beginnt automatisch
  • Untersuchung wurde abgeschlossen => Protokoll speichern als...
  • Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern
  • Logdatei hier posten.
  • Deinstallation
  • nicht nötig, alle Dateien werden in temporären Ordnern gespeichert
    => C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\jkos-<Benutzername>
Zitat:
Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dardurch verbrauchen sie außer Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet, um sich eine zweite Meinung einzuholen.

Schickse 17.09.2008 22:03
Oh oh....

Code:
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
 Wednesday, September 17, 2008
 Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
 Kaspersky Online Scanner 7 version: 7.0.25.0
 Program database last update: Wednesday, September 17, 2008 03:11:45
 Records in database: 1243608
--------------------------------------------------------------------------------

Scan settings:
        Scan using the following database: extended
        Scan archives: yes
        Scan mail databases: yes

Scan area - My Computer:
        C:\
        D:\

Scan statistics:
        Files scanned: 128844
        Threat name: 7
        Infected objects: 7
        Suspicious objects: 0
        Duration of the scan: 04:59:05


File name / Threat name / Threats count
C:\System Volume Information\_restore{734B3D29-87E0-4D99-B107-42A657AD8C05}\RP434\A0090971.sys        Infected: Hoax.Win32.Agent.fu        1
C:\System Volume Information\_restore{734B3D29-87E0-4D99-B107-42A657AD8C05}\RP434\A0090980.dll        Infected: Rootkit.Win32.Clbd.jy        1
C:\System Volume Information\_restore{734B3D29-87E0-4D99-B107-42A657AD8C05}\RP434\A0090982.dll        Infected: Backdoor.Win32.UltimateDefender.gen        1
C:\System Volume Information\_restore{734B3D29-87E0-4D99-B107-42A657AD8C05}\RP434\A0090983.dll        Infected: Backdoor.Win32.Agent.rfv        1
C:\System Volume Information\_restore{734B3D29-87E0-4D99-B107-42A657AD8C05}\RP434\A0090984.dll        Infected: Backdoor.Win32.Agent.rfw        1
C:\System Volume Information\_restore{734B3D29-87E0-4D99-B107-42A657AD8C05}\RP434\A0090985.dll        Infected: Trojan-Downloader.Win32.FraudLoad.vbxt        1
C:\System Volume Information\_restore{734B3D29-87E0-4D99-B107-42A657AD8C05}\RP434\A0090986.sys        Infected: Backdoor.Win32.Agent.roc        1

The selected area was scanned.

schrauber 18.09.2008 03:33
Tool-Bereinigung mit OTMoveIt2
Bitte lade Dir OTMoveIt von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTMoveIt2.exe um das Programm auszuführen.
  • Klicke auf den Button "CleanUp!"
  • Eine Datei* sollte nun heruntergeladen werden.
    *Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
  • OTMoveit fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTMoveIt2 und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.

====

Systemwiederherstellung deaktivieren und wieder aktivieren:
  • •*Windows XP: Deaktiviere die
    Systemwiederherstellung
    •*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
    •*Wähle den Reiter Systemwiederherstellung
    •*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
    •*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
    •*den Haken wieder entfernen und OK drücken
    •*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

====

F-Secure Support-Seiten: F-Secure Online-Virenscanner

diesen onlinescan mit dem internet explorer machen, log posten.

Schickse 18.09.2008 22:09
Soho, weiter gehts:

Code:
Scanning Report
Thursday, September 18, 2008 10:51:40 - 23:00:28

Computer name: XXX
Scanning type: Scan system for malware, rootkits
Target: C:\
Result: 5 malware found
Rootkit:W32/Settec.A (virus)

    * System
    * C:\WINDOWS\SYSTEM32\HADL.DLL
    * C:\WINDOWS\SYSTEM32\SYSMON32K.EXE

TrackingCookie.2o7 (spyware)

    * System

TrackingCookie.Adtech (spyware)

    * System

Statistics
Scanned:

    * Files: 85253
    * System: 4007
    * Not scanned: 7

Actions:

    * Disinfected: 0
    * Renamed: 0
    * Deleted: 0
    * None: 5
    * Submitted: 0

Files not scanned:

    * C:\HIBERFIL.SYS
    * C:\PAGEFILE.SYS
    * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
    * C:\WINDOWS\SYSTEM32\CONFIG\SAM
    * C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
    * C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
    * C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

Options
Scanning engines:

    * F-Secure USS: 2.30.0
    * F-Secure Hydra: 2.8.8110, 2008-09-18
    * F-Secure AVP: 7.0.171, 2008-09-18
    * F-Secure Pegasus: 1.20.0, 2008-08-09
    * F-Secure Blacklight: 2.2.1092

Scanning options:

    * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
    * Use Advanced heuristics

ZarBomba 19.09.2008 00:22
[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

schrauber 19.09.2008 08:27
@Schickse

wiederhol die erste anleitung mit combofix, da ist was durchgeflutscht. und poste dann das log. also tool laden und laufen lassen.

Schickse 19.09.2008 11:46
Code:
ComboFix 08-09-16.05 - XXX 2008-09-19 12:31:19.3 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.121 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop\ComboFix.exe
.

(((((((((((((((((((((((  Dateien erstellt von 2008-08-19 bis 2008-09-19  ))))))))))))))))))))))))))))))
.

2008-09-18 10:47 . 2008-09-18 10:47        <DIR>        d----c---        C:\fsaua.data
2008-09-16 21:27 . 2008-09-16 21:27        580,096        --a--c---        C:\WINDOWS\system32\dllcache\user32.dll
2008-09-16 21:18 . 2008-09-16 21:20        <DIR>        d--------        C:\WINDOWS\ERUNT
2008-09-16 16:06 . 2008-09-16 16:06        276        --a------        C:\WINDOWS\_delis32.ini
2008-09-16 16:02 . 2008-09-16 16:02        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-09-16 15:58 . 2008-09-16 15:58        <DIR>        d----c---        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-22 21:53 . 2008-08-22 21:53        <DIR>        d--------        C:\WINDOWS\system32\de
2008-08-22 21:53 . 2008-08-22 21:53        <DIR>        d--------        C:\WINDOWS\system32\bits
2008-08-22 21:53 . 2008-08-22 21:53        <DIR>        d--------        C:\WINDOWS\l2schemas
2008-08-22 21:48 . 2008-08-22 21:54        <DIR>        d--------        C:\WINDOWS\ServicePackFiles
2008-08-22 21:28 . 2008-08-22 21:28        <DIR>        d--------        C:\WINDOWS\EHome

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-19 09:48        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop
2008-09-18 21:17        ---------        d-----w        C:\Programme\FAHRINFO
2008-09-18 20:57        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-16 17:24        ---------        d-----w        C:\Programme\Spybot - Search & Destroy
2008-09-16 17:21        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-16 14:16        ---------        d-----w        C:\Programme\Logitech
2008-09-16 14:07        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Logitech
2008-09-11 09:07        ---------        d-----w        C:\Programme\PokerStars.NET
2008-09-07 20:53        ---------        d-----w        C:\Programme\PokerStars
2008-08-11 15:55        ---------        dc----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-08-11 15:47        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe
2008-08-11 15:47        ---------        d-----w        C:\Programme\Bonjour
2008-08-11 14:36        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-08-08 18:35        ---------        d-----w        C:\Programme\Google
2008-08-05 23:04        ---------        dc----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-05 23:04        ---------        d-----w        C:\Programme\Apple Software Update
2008-07-27 19:32        ---------        d-----w        C:\Programme\Java
2006-10-27 08:55        23,296        ----a-w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-06-04 13:25        1,039,872        ----a-w        C:\Programme\iview398g.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 307200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-15 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-15 688218]
"THotkey"="C:\Programme\Toshiba\Toshiba Applet\thotkey.exe" [2005-12-08 352256]
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 73728]
"SmoothView"="C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 118784]
"PadTouch"="C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1077328]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-01 122940]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 70952]
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2006-10-02 100056]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1177626448\ee\AOLSoftware.exe" [2006-11-17 50736]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 413696]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-01-16 37376]
"RTHDCPL"="RTHDCPL.EXE" [2005-11-10 C:\WINDOWS\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 C:\WINDOWS\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2005-08-03 C:\WINDOWS\system32\TPSMain.exe]
"NDSTray.exe"="NDSTray.exe" [BU]
"CFSServ.exe"="CFSServ.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\Mandy Stegmann\Anwendungsdaten\Desktop\Desktopverknpfungen\Autostart\
Microsoft Office OneNote 2003 Schnellstart.lnk - C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2004-06-17 59080]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-07-22 81408]
S3 adiusbae;Acer ADSL Surf USB LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys [2002-05-17 203753]
S3 PID_0920;Logitech QuickCam Express(PID_0920);C:\WINDOWS\system32\DRIVERS\LV532AV.SYS [ ]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\gzncr5pq.default\
FF -: plugin - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-19 12:36:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-19 12:41:06
ComboFix-quarantined-files.txt  2008-09-19 10:40:48
ComboFix2.txt  2008-09-19 10:20:36

Vor Suchlauf: 19 Verzeichnis(se), 52,678,172,672 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 52,676,104,192 Bytes frei

117        --- E O F ---        2008-09-11 09:11:41

schrauber 19.09.2008 22:36
Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Zitat:
KILLALL::

File::
C:\WINDOWS\SYSTEM32\HADL.DLL
C:\WINDOWS\SYSTEM32\SYSMON32K.EXE
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

===

Tool-Bereinigung mit OTMoveIt2
Bitte lade Dir OTMoveIt von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTMoveIt2.exe um das Programm auszuführen.
  • Klicke auf den Button "CleanUp!"
  • Eine Datei* sollte nun heruntergeladen werden.
    *Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
  • OTMoveit fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTMoveIt2 und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.

===

diesen onlinescan machen

ESET/NOD32


===

neues hjt-log

Schickse 20.09.2008 10:14
Hier Combolog:

Code:
ComboFix 08-09-19.06 - Mandy Stegmann 2008-09-20 10:52:23.5 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.174 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\WINDOWS\SYSTEM32\HADL.DLL
C:\WINDOWS\SYSTEM32\SYSMON32K.EXE
.

(((((((((((((((((((((((  Dateien erstellt von 2008-08-20 bis 2008-09-20  ))))))))))))))))))))))))))))))
.

2008-09-18 10:47 . 2008-09-18 10:47        <DIR>        d----c---        C:\fsaua.data
2008-09-16 21:27 . 2008-09-16 21:27        580,096        --a--c---        C:\WINDOWS\system32\dllcache\user32.dll
2008-09-16 21:18 . 2008-09-16 21:20        <DIR>        d--------        C:\WINDOWS\ERUNT
2008-09-16 16:06 . 2008-09-16 16:06        276        --a------        C:\WINDOWS\_delis32.ini
2008-09-16 16:02 . 2008-09-16 16:02        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-09-16 15:58 . 2008-09-16 15:58        <DIR>        d----c---        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-22 21:53 . 2008-08-22 21:53        <DIR>        d--------        C:\WINDOWS\system32\de
2008-08-22 21:53 . 2008-08-22 21:53        <DIR>        d--------        C:\WINDOWS\system32\bits
2008-08-22 21:53 . 2008-08-22 21:53        <DIR>        d--------        C:\WINDOWS\l2schemas
2008-08-22 21:48 . 2008-08-22 21:54        <DIR>        d--------        C:\WINDOWS\ServicePackFiles
2008-08-22 21:28 . 2008-08-22 21:28        <DIR>        d--------        C:\WINDOWS\EHome

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-20 08:52        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop
2008-09-20 08:45        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-19 10:46        ---------        d-----w        C:\Programme\FAHRINFO
2008-09-16 17:24        ---------        d-----w        C:\Programme\Spybot - Search & Destroy
2008-09-16 17:21        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-16 14:16        ---------        d-----w        C:\Programme\Logitech
2008-09-16 14:07        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Logitech
2008-09-11 09:07        ---------        d-----w        C:\Programme\PokerStars.NET
2008-09-07 20:53        ---------        d-----w        C:\Programme\PokerStars
2008-08-11 15:55        ---------        dc----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-08-11 15:47        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe
2008-08-11 15:47        ---------        d-----w        C:\Programme\Bonjour
2008-08-11 14:36        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-08-08 18:35        ---------        d-----w        C:\Programme\Google
2008-08-05 23:04        ---------        dc----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-05 23:04        ---------        d-----w        C:\Programme\Apple Software Update
2008-07-27 19:32        ---------        d-----w        C:\Programme\Java
2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll
2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:26        253,952        ----a-w        C:\WINDOWS\system32\es.dll
2008-06-24 16:42        74,240        ----a-w        C:\WINDOWS\system32\mscms.dll
2008-06-24 16:12        295,936        ------w        C:\WINDOWS\system32\wmpeffects.dll
2008-06-23 16:14        826,368        ----a-w        C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46        247,296        ----a-w        C:\WINDOWS\system32\mswsock.dll
2006-10-27 08:55        23,296        ----a-w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-06-04 13:25        1,039,872        ----a-w        C:\Programme\iview398g.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 307200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-15 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-15 688218]
"THotkey"="C:\Programme\Toshiba\Toshiba Applet\thotkey.exe" [2005-12-08 352256]
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 73728]
"SmoothView"="C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 118784]
"PadTouch"="C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1077328]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-01 122940]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 70952]
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2006-10-02 100056]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1177626448\ee\AOLSoftware.exe" [2006-11-17 50736]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 413696]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-01-16 37376]
"RTHDCPL"="RTHDCPL.EXE" [2005-11-10 C:\WINDOWS\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 C:\WINDOWS\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2005-08-03 C:\WINDOWS\system32\TPSMain.exe]
"NDSTray.exe"="NDSTray.exe" [BU]
"CFSServ.exe"="CFSServ.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop\Desktopverknpfungen\Autostart\
Microsoft Office OneNote 2003 Schnellstart.lnk - C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2004-06-17 59080]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-07-22 81408]
S3 adiusbae;Acer ADSL Surf USB LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys [2002-05-17 203753]
S3 PID_0920;Logitech QuickCam Express(PID_0920);C:\WINDOWS\system32\DRIVERS\LV532AV.SYS [ ]
.
Inhalt des "geplante Tasks" Ordners

2008-08-05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]

2008-09-19 C:\WINDOWS\Tasks\Symantec NetDetect.job
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE [2005-01-27 16:39]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-20 10:59:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\acs.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-20 11:07:53 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-20 09:07:23
ComboFix2.txt  2008-09-19 11:05:49
ComboFix3.txt  2008-09-19 10:41:07
ComboFix4.txt  2008-09-19 10:20:36

Vor Suchlauf: 19 Verzeichnis(se), 52.590.190.592 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 52,587,917,312 Bytes frei

155        --- E O F ---        2008-09-11 09:11:41

Schickse 20.09.2008 23:04
hier HJT Logfile:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:51:24, on 20.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\1177626448\ee\AOLSoftware.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kielnet-internet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1177626448\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {E8F65084-03A6-47F4-8880-5FCD08E9C9B9} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: *.windowsupdate.com
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-998c2b7b90c5a94d.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 10602 bytes
AntiVir hat sich noch 3mal gemeldet. habe folgenden Kram in Quarantäne:

"Enthält Erkennungsmuster des Exploits EXP/Math.71435":
- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\temp\NOD1E2.tmp

und

"Enthält Erkennungsmuster des Exploits EXP/Math.71435":
- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\temp\NOD1E6.tmp

und

"Ist das Trojanische Pferd TR/Crypt.PEPM.Gen":
- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\temp\NOD2420.tmp

schrauber 21.09.2008 11:39
Die sind vom NOD Onlinescanner, wo ist das ergebnis von diesem?

Schickse 21.09.2008 12:58
Der hat nichts gefunden.

Schickse 21.09.2008 13:02
Kann die Seite mittlerweile auch nicht mehr aufrufen.

schrauber 21.09.2008 13:44
is klar dass du die nicht mehr aufrufen kannst, hast sie ja mit antivir gekillt ;).


Fixen/Löschen mit Hijackthis


Hijackthis starten -> Do a system scan only -> einen Haken setzen in folgende weiße Kästchen:


Zitat:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

alle O16 Einträge
Wenn alle Einträge angehakt sind, klick auf den Button -> "Fix checked"

Rechner neu starten.

===

wie läuft der rechner? noch probleme? von meiner seite aus bist du clean :daumenhoc

Schickse 21.09.2008 14:25
Hab jetzt noch nichts gefixt, da AntiVir sich nochmal gemeldet hat. Ist ordentlich was dazu gekommen:

Trojanisches Pferd TR/Dldr.FraudLoad.vbxt:
- C:\WINDOWS\temp\TDSS5c84.tmp

Enthält ein Erkennungsmuster des (gefährlichen)Backdoorprogrammes BDS/Agent.rfw:
- C:\WINDOWS\temp\TDSS4a0.tmp

Enthält ein Erkennungsmuster des (gefährlichen)Backdoorprogrammes BDS/Agent.rfv:
- C:\WINDOWS\temp\TDSS39aa.tmp

Ist das Trojanische Pferd TR/Crypt.XPACK.Gen:
-C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\temp\ediliaif.exe

Ist das Trojanische Pferd TR/Crypt.XPACK.Gen:
-C:\WINDOWS\temp\TDSSa166.tmp

Ist das Trojanische Pferd TR/Crypt.XPACK.Gen:
-C:\WINDOWS\temp\TDSSa68.tmp

Gibts daraufhin mehr zu fixen ?
Soll ich den Kram einfach in Quarantäne lassen, löschen, oder isses eh nach dem Fixen verschwunden !? :)

===

Ansonsten läuft alles rund.

schrauber 21.09.2008 14:36
ATF - Cleaner

http://image.hijackthis.eu/atf/atf-main.jpg und http://image.hijackthis.eu/atf/atf-browser.jpg
  • Leere damit die temporären Ordner unter den Benutzer Accounts und im Administrator Account.
  • Leere die temporären Ordner in Firefox und/oder Opera, wenn vorhanden.
  • Wiederhole den Vorgang solange, bis 0 Funde angezeigt werden.
  • Wiederhole diesen Vorgang nach jedem Besuch im Netz, unter dem Account, mit dem du im Netz warst.
(Atribune.org Anleitung)
===

update antivir, lass einen komplettscan machen, poste das log.

===

aber ich würde mich schonmal mit formatieren anfreunden. entweder hat das rootkit ganze arbeit geleistet oder du surfst auf ganz komischen seiten rum während unserer bereinigung....

Schickse 21.09.2008 14:47
:) Traue mich ja kaum noch ins Internet zu gehen..

UND kann die Seite vom ATf Cleaner nicht aufrufen.

schrauber 21.09.2008 14:53
aber der download geht oder? dann stell so ein wie in den bildern und gut :)

Schickse 21.09.2008 15:04
Nö, Download funzt auch nicht

schrauber 21.09.2008 15:06
bei mir geht er, versuch bitte den Ccleaner.

http://www.trojaner-board.de/51464-a...-ccleaner.html

Schickse 21.09.2008 16:00
Nach Neustart war Firewall deaktiviert und mein Freund AntiVir hat mir folgendes angezeigt:

Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
-C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\temp\jkmpmgja.exe

..mal wieder in Quarantäne zu den anderen gesteckt.
Hab nun CCleaner durchlaufen lassen. Danach konnte ich ATF Cleaner runterladen, hab das auch gemacht, sowie bei HJT die Sachen gefixt.
Lasse AntiVir jetzt nochmal durchlaufen...

Was passiert denn mit den Sachen in Quarantäne ? Löschen? Drin lassen ?

schrauber 21.09.2008 16:02
löschen, aber ich seh schwarz für dein system....
warten wir mal auf den av-scan.

Schickse 21.09.2008 18:18
Ergebnis vom AV Scan...

Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 21. September 2008  17:44

Es wird nach 1627335 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 3)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    SYSTEM
Computername:    XXX

Versionsinformationen:
BUILD.DAT    : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7      315649 Bytes  17.07.2008 23:36:15
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  17.07.2008 23:36:15
LUKE.DLL      : 8.1.4.5      164097 Bytes  17.07.2008 23:36:17
LUKERES.DLL  : 8.1.4.0        12545 Bytes  17.07.2008 23:36:17
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 13:39:46
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 12:40:15
ANTIVIR2.VDF  : 7.0.6.153    3341312 Bytes  12.09.2008 08:22:50
ANTIVIR3.VDF  : 7.0.6.189    223744 Bytes  21.09.2008 11:49:58
Engineversion : 8.1.1.34 
AEVDF.DLL    : 8.1.0.5      102772 Bytes  25.04.2008 09:43:01
AESCRIPT.DLL  : 8.1.0.76      319867 Bytes  18.09.2008 20:58:44
AESCN.DLL    : 8.1.0.23      119156 Bytes  15.07.2008 22:20:46
AERDL.DLL    : 8.1.1.2      438644 Bytes  18.09.2008 20:58:42
AEPACK.DLL    : 8.1.2.1      364917 Bytes  15.07.2008 22:20:41
AEOFFICE.DLL  : 8.1.0.25      196986 Bytes  18.09.2008 20:58:40
AEHEUR.DLL    : 8.1.0.59    1438071 Bytes  18.09.2008 20:58:32
AEHELP.DLL    : 8.1.0.15      115063 Bytes  29.05.2008 14:44:20
AEGEN.DLL    : 8.1.0.36      315764 Bytes  20.08.2008 01:05:52
AEEMU.DLL    : 8.1.0.7      430452 Bytes  01.08.2008 06:09:53
AECORE.DLL    : 8.1.1.11      172406 Bytes  07.09.2008 18:20:26
AEBB.DLL      : 8.1.0.1        53617 Bytes  17.07.2008 23:36:19
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  17.07.2008 23:36:15
AVPREF.DLL    : 8.0.2.0        38657 Bytes  17.07.2008 23:36:15
AVREP.DLL    : 8.0.0.2        98344 Bytes  01.08.2008 06:09:44
AVREG.DLL    : 8.0.0.1        33537 Bytes  17.07.2008 23:36:15
AVARKT.DLL    : 1.0.0.23      307457 Bytes  25.04.2008 09:42:49
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  17.07.2008 23:36:14
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  25.04.2008 09:42:57
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  17.07.2008 23:36:18
NETNT.DLL    : 8.0.0.1        7937 Bytes  25.04.2008 09:42:57
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  17.07.2008 23:36:07
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  17.07.2008 23:36:07

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 21. September 2008  17:44

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spider.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TAPPSRV.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSBattM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TOSCDSPD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLACTRLW.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PadExe.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmoothView.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TvsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'THotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmmsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '47' Prozesse mit '47' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '73' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Sonntag, 21. September 2008  18:59
Benötigte Zeit:  1:15:43 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  7934 Verzeichnisse wurden überprüft
 355339 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 355337 Dateien ohne Befall
  7024 Archive wurden durchsucht
      2 Warnungen
      0 Hinweise

schrauber 21.09.2008 18:24
arbeite ein paar tage mit dem system und schau ob noch meldungen kommen :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131