Variante von Win32/Kryptik.HY Trojaner - RECYCLER ?
 

Hi
ich habe seit gestern folgendes Problem das ich bemerkt habe, dass ich über meinen Arbeitsplatz nicht mehr auf meine Festplatten zugreifen kann, da dort stand "S-8-3-28-100019036-100005519-100007943-2105.com hat ein Problem festgestellt und muss beendet werden".
Habe dann AntiVir durchlaufen lassen - ohne Erfolg. Danach habe ich C (Windows+Programme) formatiert und ein neues Windows aufgespielt. Seit dem kann ich wieder auf C zugreifen, aber auf die anderen 2 Festplatten immer noch nicht.
Mit NOD32 AntiVirus habe ich auf D und E jeweils folgendes gefunden:
D:\RECYCLER\S-8-3-28-100019036-100005519-100007943-2105.com - Variante von Win32/Kryptik.HY Trojaner
E:\RECYCLER\S-8-3-28-100019036-100005519-100007943-2105.com - Variante von Win32/Kryptik.HY Trojaner

Bei einem weiteren Durchlauf kam:
D:\RECYCLER\S-8-3-28-100019036-100005519-100007943-2105.com - Variante von Win32/Kryptik.HY Trojaner - Gesäubert durch Löschen - in Quarantäne kopiert

Wenn ich jetzt versuche auf diese zwei Festplatten zuzugreifen bekomme ich nur "RECYCLER/S-8-3-28-100019036-100005519-100007943-2105.com" konnte nicht gefunden werden. Bitte stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen." angezeigt.
Habe von PC's absolut keine Ahnung (Frauen und Technik eben :heulen: ) aber ich hoffe mir kann vll wer weiterhelfen...
Lasse gerade noch einen Scan mit Kaspersky Online Scanner durchlaufen, aber habe keine Ahnung ob das etwas bringt?
NOD32 AntiVirus überprüft auch immer noch...
Kann mir wer erklären um was es sich dabei handelt und was ich als nächstes tun sollte?
(Auf D und E kann ich mittels "Ausführen..." noch zugreifen, dort habe ich auch bereits durch Haken bei "Geschützte Systemdateien ausblenden (empfohlen)" entfernen zwei RECYCLER Ordner gefunden, in denen nur ein paar Papierkorbsymbole sind die auch diese komischen Zahlennamen haben. Sind aber leer.)
Muss ich vll meine ganzen Daten löschen oder sind sie gefährdet? :eek:

Liebe Grüße

edit:
Bevor ich formatiert habe hatte ich auch noch Probleme mit Google zB wurde ich bei Ergebnissen auf andere Seiten geleitet das ist aber weg... kann also wieder "normal" surfen.

Hallo rippii,
bitte poste deinen Logfile hier rein.
Hier findest du die anleitung:
http://www.trojaner-board.de/51130-anleitung-hijackthis.html

Voodoo

Ok, hab ich gemacht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:44:08, on 21.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Last.fm\LastFM.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Winamp\winamp.exe
D:\eMule\emule.exe
C:\Programme\BitTorrent\bittorrent.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [NSLauncher] C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\RunOnce: [WMC_RebootCheck] C:\WINDOWS\inf\unregmp2.exe /FixUps
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {6406F17C-6C78-4645-B502-3E3F5BF71390} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {6406F17C-6C78-4645-B502-3E3F5BF71390} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B8D937F-3CBE-490B-8A31-3E0B3AD09DD5}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B8D937F-3CBE-490B-8A31-3E0B3AD09DD5}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0B8D937F-3CBE-490B-8A31-3E0B3AD09DD5}: NameServer = 192.168.0.1
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

--
End of file - 7433 bytes

Lad dir das neuste Windows XP SP3 herunter.
Fix diese einträge:

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Danach solltest du Ccleaner und Antimalware-bytes nach dieser Anleitung verwenden. Hier die Anleitung:
http://www.trojaner-board.de/51464-anleitung-ccleaner.html
http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

VooDoo

Was bedeutet dieses Fix diese Einträge? :schmoll: Bzw wie mache ich das? Lade nun erstmal SP3 runter und installiere das...

Lies die anleitung genau. Dann verstehst du Hijackthis besser.
http://www.trojaner-board.de/51130-anleitung-hijackthis.html

Ok habe nun SP3 installiert, CCleaner angewendet und nun kommt Antimalware-bytes... das kann bei der Datenmenge aber wohl lange dauern...^^

:eek::eek:
Es ist weg.
Habe folgendes gemacht: http://board.protecus.de/t36148.htm
und das hat geholfen... kann wieder auf meine Festplatten zugreifen und erkenne auch sonst nichts "unnormales" mehr.
Jetzt gerade besteht dieser Fehler nur noch, wenn ich über den Arbeitsplatz auf meinen iPod zugreifen will, wenn dieser am PC hängt...da kommt noch die Meldung S-8-3-28-100019036-100005519-100007943-2105.com hat ein Problem festgestellt und muss beendet werden.
aber sonst weder bei C noch D oder E....

Die Recycler Ordner jeweils sind auch noch da, aber die sind normal oder?

Hallo und :hallo:

1.) Deinstalliere:

• SuperAntiSpyware (nicht mehr benötigt)
• AdAware (Schrott)
• Java (total veraltet)

2.) Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

So, fertig damit und hier mein Log:

ComboFix 09-02-19.01 - rippii 2009-02-21 13:14:13.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3327.2923 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\rippii\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

G:\autorun.inf
g:\recycler\S-8-3-28-100019036-100005519-100007943-2105.com

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-21 bis 2009-02-21 ))))))))))))))))))))))))))))))
.

2009-02-21 13:05 . 2009-02-21 13:05 0 --a------ c:\windows\LCDMedia.INI
2009-02-21 12:34 . 2009-02-21 12:34 <DIR> d-------- c:\dokumente und einstellungen\rippii\Phone Browser
2009-02-21 12:34 . 2009-02-21 12:34 <DIR> d-------- c:\dokumente und einstellungen\rippii\Anwendungsdaten\Datalayer
2009-02-21 12:24 . 2009-02-21 12:58 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-02-21 12:23 . 2009-02-21 12:23 <DIR> d-------- c:\programme\Trojan Remover
2009-02-21 12:23 . 2009-02-21 12:23 <DIR> d-------- c:\dokumente und einstellungen\rippii\Anwendungsdaten\Simply Super Software
2009-02-21 12:23 . 2009-02-21 12:23 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
2009-02-21 12:23 . 2006-05-25 14:52 162,304 --a------ c:\windows\system32\ztvunrar36.dll
2009-02-21 12:23 . 2003-02-02 19:06 153,088 --a------ c:\windows\system32\UNRAR3.dll
2009-02-21 12:23 . 2005-08-26 00:50 77,312 --a------ c:\windows\system32\ztvunace26.dll
2009-02-21 12:23 . 2002-03-06 00:00 75,264 --a------ c:\windows\system32\unacev2.dll
2009-02-21 12:23 . 2006-06-19 12:01 69,632 --a------ c:\windows\system32\ztvcabinet.dll
2009-02-21 12:23 . 2008-04-14 00:15 26,368 --a--c--- c:\windows\system32\dllcache\usbstor.sys
2009-02-21 11:35 . 2009-02-21 11:35 <DIR> d-------- c:\windows\system32\de-de
2009-02-21 11:31 . 2009-02-21 11:36 <DIR> d-------- c:\windows\ServicePackFiles
2009-02-21 11:22 . 2006-12-29 00:31 19,569 --a------ c:\windows\002702_.tmp
2009-02-21 10:43 . 2009-02-21 10:43 <DIR> d-------- c:\programme\Trend Micro
2009-02-21 09:12 . 2009-02-21 09:12 <DIR> d-------- c:\windows\system32\Kaspersky Lab
2009-02-21 09:12 . 2009-02-21 09:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-02-21 08:59 . 2009-02-21 08:59 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-21 08:59 . 2009-02-21 08:59 <DIR> d-------- c:\dokumente und einstellungen\rippii\Anwendungsdaten\Malwarebytes
2009-02-21 08:59 . 2009-02-21 08:59 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-21 08:59 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-21 08:59 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-21 08:56 . 2009-02-21 08:56 <DIR> d-------- c:\programme\CCleaner
2009-02-21 00:05 . 2009-02-21 00:05 <DIR> d-------- c:\programme\Gemeinsame Dateien\Nokia
2009-02-21 00:05 . 2009-02-21 00:05 <DIR> d-------- c:\programme\DIFX
2009-02-21 00:05 . 2009-02-21 12:02 <DIR> d-------- c:\dokumente und einstellungen\rippii\Anwendungsdaten\PC Suite
2009-02-21 00:05 . 2009-02-21 12:02 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2009-02-21 00:05 . 2006-05-29 08:26 127,488 --a------ c:\windows\system32\drivers\nmwcd.sys
2009-02-21 00:05 . 2006-05-29 08:26 50,688 --a------ c:\windows\system32\nmwcdcls.dll
2009-02-21 00:05 . 2006-05-29 08:26 30,720 --a------ c:\windows\system32\nmwcdcocls.dll
2009-02-21 00:05 . 2006-05-29 08:26 13,312 --a------ c:\windows\system32\drivers\nmwcdcm.sys
2009-02-21 00:05 . 2006-05-29 08:26 13,312 --a------ c:\windows\system32\drivers\nmwcdcj.sys
2009-02-21 00:05 . 2006-05-29 08:26 8,704 --a------ c:\windows\system32\drivers\nmwcdc.sys
2009-02-21 00:05 . 2006-05-29 08:26 4,608 --a------ c:\windows\system32\nmwcdlog.dll
2009-02-21 00:04 . 2009-02-21 00:04 <DIR> d-------- c:\windows\Downloaded Installations
2009-02-21 00:04 . 2009-02-21 00:06 <DIR> d-------- c:\programme\Nokia
2009-02-21 00:04 . 2009-02-21 00:05 <DIR> d-------- c:\programme\Gemeinsame Dateien\PCSuite
2009-02-21 00:04 . 2009-02-21 00:04 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2009-02-21 00:03 . 2003-06-18 17:31 17,920 --a------ c:\windows\system32\mdimon.dll
2009-02-21 00:03 . 2009-02-21 00:03 400 --a------ c:\windows\ODBC.INI
2009-02-20 23:57 . 2009-02-21 00:01 <DIR> d-------- c:\windows\SHELLNEW
2009-02-20 23:57 . 2009-02-20 23:57 <DIR> d-------- c:\programme\Microsoft.NET
2009-02-20 23:43 . 2009-02-20 23:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESET
2009-02-20 23:36 . 2009-02-20 23:36 <DIR> d-------- c:\programme\Logitech
2009-02-20 23:36 . 2009-02-20 23:36 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech
2009-02-20 23:30 . 2009-02-20 23:30 <DIR> d-------- c:\dokumente und einstellungen\rippii\Anwendungsdaten\teamspeak2
2009-02-20 23:29 . 2009-02-20 23:30 <DIR> d-------- c:\programme\Teamspeak2_RC2
2009-02-20 23:29 . 2009-02-20 23:29 34,064 --a------ c:\windows\system32\lhacm.acm
2009-02-20 23:28 . 2009-02-20 23:28 <DIR> d-------- c:\programme\K-Lite Codec Pack
2009-02-20 23:28 . 2009-02-20 23:28 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe
2009-02-20 23:27 . 2009-02-20 23:27 <DIR> d-------- c:\programme\xp-AntiSpy
2009-02-20 23:27 . 2009-02-20 23:27 <DIR> d-------- c:\programme\VideoLAN
2009-02-20 23:24 . 2009-02-20 23:24 <DIR> d-------- c:\programme\BitTorrent
2009-02-20 23:24 . 2009-02-21 12:24 <DIR> d-------- c:\dokumente und einstellungen\rippii\Anwendungsdaten\BitTorrent
2009-02-20 23:23 . 2009-02-20 23:23 <DIR> d---s---- c:\dokumente und einstellungen\rippii\UserData
2009-02-20 23:22 . 2009-02-20 23:22 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2009-02-20 23:19 . 2009-02-21 12:59 <DIR> d-------- c:\programme\Lavasoft
2009-02-20 23:19 . 2009-02-21 12:59 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-02-20 23:19 . 2009-02-20 23:19 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm
2009-02-20 23:18 . 2009-02-20 23:18 <DIR> d-------- c:\programme\Last.fm
2009-02-20 23:09 . 2009-02-20 23:09 <DIR> d-------- c:\programme\ICQ6Toolbar
2009-02-20 23:09 . 2009-02-21 12:03 <DIR> d-------- c:\programme\ICQ6.5
2009-02-20 23:09 . 2009-02-21 12:03 <DIR> d-------- c:\dokumente und einstellungen\rippii\Anwendungsdaten\ICQ
2009-02-20 23:09 . 2009-02-20 23:09 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-02-20 23:06 . 2009-02-21 10:24 <DIR> d-------- c:\dokumente und einstellungen\rippii\Contacts
2009-02-20 23:05 . 2009-02-21 08:39 <DIR> d-------- c:\programme\Messenger Plus! Live
2009-02-20 23:04 . 2009-02-20 23:04 <DIR> d-------- c:\programme\Windows Live
2009-02-20 23:02 . 2009-02-20 23:02 <DIR> d-------- c:\programme\My Company Name
2009-02-20 23:00 . 2009-02-20 23:00 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-20 23:00 . 2009-02-20 23:00 <DIR> d-------- c:\programme\AGEIA Technologies

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-21 10:07 --------- d-----w c:\dokumente und einstellungen\rippii\Anwendungsdaten\Winamp
2009-02-20 22:09 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-20 21:58 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-02-20 21:53 --------- d-----w c:\programme\ASUS
2009-02-20 21:51 --------- d-----w c:\programme\Marvell
2009-02-20 21:48 315,392 ----a-w c:\windows\HideWin.exe
2009-02-20 21:48 --------- d-----w c:\programme\Realtek
2009-02-20 21:37 --------- d-----w c:\programme\Winamp
2009-02-20 21:35 --------- d-----w c:\programme\Intel
2009-02-20 21:11 --------- d-----w c:\programme\microsoft frontpage
2009-02-20 21:10 --------- d-----w c:\programme\Java
2009-02-20 21:10 --------- d-----w c:\programme\Gemeinsame Dateien\Java
2009-02-20 21:06 --------- d-----w c:\programme\Online-Dienste
2009-02-20 21:05 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2006-06-24 06:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2008-12-17 172792]
"PcSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 1449984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0\bin\jusched.exe" [2009-02-20 36972]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-08-04 36352]
"Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2008-06-03 5964800]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-16 13533184]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-16 86016]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"Launch LGDCore"="c:\programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 1122304]
"Launch LCDMon"="c:\programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 497152]
"NSLauncher"="c:\programme\Nokia\Nokia Software Launcher\NSLauncher.exe" [2006-11-28 2658304]
"TrojanScanner"="c:\programme\Trojan Remover\Trjscan.exe" [2009-02-15 1214856]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2008-06-16 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"d:\\eMule\\emule.exe"=
"c:\\Programme\\BitTorrent\\BitTorrent.exe"= c:\\Programme\\BitTorrent\\bittorrent.exe
"c:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"e:\\Torrent\\BitTorrent\\bittorrent.exe"=

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [2008-06-23 150568]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2009-02-20 222456]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1e51x86.sys [2009-02-20 36864]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ccfe813-ff96-11dd-a7ca-806d6172696f}]
\Shell\AutoRun\command - f:\.\Bin\ASSETUP.exe
.
Inhalt des "geplante Tasks" Ordners

2009-02-20 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {0B8D937F-3CBE-490B-8A31-3E0B3AD09DD5} = 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\rippii\Anwendungsdaten\Mozilla\Firefox\Profiles\jstx0mdj.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Java\jre1.5.0\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0\bin\NPJPI150.dll
FF - plugin: c:\programme\Java\jre1.5.0\bin\NPOJI610.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-21 13:14:59
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-02-21 13:15:30
ComboFix-quarantined-files.txt 2009-02-21 12:15:28

Vor Suchlauf: 2,794,549,248 Bytes frei
Nach Suchlauf: 3,017,461,760 Bytes frei

185 --- E O F --- 2009-02-21 02:00:32

Noch was:
Habe nachdem ich das nun gemacht habe auch wieder Zugriff auf meinen iPod ohne diese Fehlermeldung.
Heißt das es ist alles weg?

Was ist dein Laufwerk G:?
Wie geht es dem Rechner?

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren.

ciao, andreas

Laufwerk G: ist mein angeschlossener iPod.
Meinem Rechner gehts soweit ich das beurteilen kann "gut". Mir fällt nichts mehr auf was noch fehlerhaft sein könnte, habe wieder Zugriff auf alles. Werde gleich noch einen Komplettscan mit Kaspersky Internet Security 2009 durchführen...

Was mit dem auswerten gemeint ist verstehe ich nicht ganz. Dachte ich hätte das "schädliche" gelöscht :dummguck:

Was meldet Kaspersky bis jetzt?

Voodoo

1.) Markiere den Text in der Box, so dass alle Buchstaben blau sind.
2.) [Strg]c
3.) [Umschalt] festhalten und auf den Link von Virustotal klicken (neues Fenster/Tab geht auf)
4.) In das weiße Feld links von Auswählen klicken, so dass die Schreibmarke blinkt.
5.) [Strg]v
6.) Klick auf Senden der Datei
7.) Warten
8.) Sollte die Meldung kommen, dass die Datei bereits analysiert wurde, trotzdem auf Analysieren klicken.
9.) Warten
10.) Alles markieren, von ganz oben bis ganz unten.
11.) [Strg]c
12.) Zurück zum Trojanerboard
13.) Klick auf Antworten
14.) [Strg]v

ciao, andreas

Kaspersky meldet noch gar nichts... Bin erst bei 8% von der Vollständigen Suche.

Vergiss den Kasper, tue das: http://www.trojaner-board.de/70235-v...tml#post415009

ciao, andreas

Ok, fertig:


Datei mv61xx.sys empfangen 2009.02.21 14:24:43 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.21 -
AhnLab-V3 2009.2.21.0 2009.02.21 -
AntiVir 7.9.0.87 2009.02.21 -
Authentium 5.1.0.4 2009.02.20 -
Avast 4.8.1335.0 2009.02.20 -
AVG 8.0.0.237 2009.02.20 -
BitDefender 7.2 2009.02.21 -
CAT-QuickHeal 10.00 2009.02.20 -
ClamAV 0.94.1 2009.02.21 -
Comodo 983 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.21 -
eSafe 7.0.17.0 2009.02.19 -
eTrust-Vet 31.6.6368 2009.02.20 -
F-Prot 4.4.4.56 2009.02.20 -
F-Secure 8.0.14470.0 2009.02.21 -
Fortinet 3.117.0.0 2009.02.21 -
GData 19 2009.02.21 -
Ikarus T3.1.1.45.0 2009.02.21 -
K7AntiVirus 7.10.638 2009.02.20 -
Kaspersky 7.0.0.125 2009.02.21 -
McAfee 5531 2009.02.21 -
McAfee+Artemis 5531 2009.02.21 -
Microsoft 1.4306 2009.02.21 -
NOD32 3875 2009.02.21 -
Norman 6.00.06 2009.02.20 -
nProtect 2009.1.8.0 2009.02.21 -
Panda 10.0.0.10 2009.02.20 -
PCTools 4.4.2.0 2009.02.21 -
Prevx1 V2 2009.02.21 -
Rising 21.17.52.00 2009.02.21 -
SecureWeb-Gateway 6.7.6 2009.02.21 -
Sophos 4.39.0 2009.02.21 -
Sunbelt 3.2.1855.2 2009.02.17 -
Symantec 10 2009.02.21 -
TheHacker 6.3.2.4.262 2009.02.21 -
TrendMicro 8.700.0.1004 2009.02.20 -
VBA32 3.12.10.0 2009.02.21 -
ViRobot 2009.2.20.1617 2009.02.20 -
VirusBuster 4.5.11.0 2009.02.20 -
weitere Informationen
File size: 150568 bytes
MD5...: a95fed4c2fb11c79e7ddbe2eff1919b5
SHA1..: 9c50852bec4844e89dba865dadc3e8dca7092718
SHA256: f2754e72fb5691a0b519472a67f409f6f1cc7114941d63429395b0990e0087fb
SHA512: 2f9dbc7dc43caafb462153405b68659cd96c113d20d30c9f69a8c3ea5b645660
94ff908659695600ff13a7fb78bbeb5dc3c5c184836d6261fd8026b8fe5a9885
ssdeep: 3072:IIfpRzTuPe5o/uVKWr242JeSd97xn3yBOw+JRuH5wAu1NCizYuwZ:IIfpli
PaOuVKWr242JlpxQOlJ4H
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x48005
timedatestamp.....: 0x484e5690 (Tue Jun 10 10:25:20 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1c12e 0x1c200 6.63 3b2b873cb2f0a58971c29e654a3d0359
.rdata 0x1e000 0x1e4 0x200 4.26 6ad909439f4651a4e89dab3401c7b719
.data 0x1f000 0x18b7c 0x600 7.27 907a6b7a95f88bf0cf57228d9b547852
INIT 0x38000 0x6e8 0x800 5.11 d6683be34a7ae0353d36a6719363214c
.rsrc 0x39000 0x5268 0x5400 3.59 a45aded59ca26185084cb400257097c0
.reloc 0x3f000 0x702 0x800 4.37 3900b5ef16333f65a9a3daeda19a15f0

( 3 imports )
> ntoskrnl.exe: ObfDereferenceObject, ZwMakeTemporaryObject, ExUnregisterCallback, IoGetDmaAdapter, ExFreePoolWithTag, KeSetEvent, IoFreeIrp, KeWaitForSingleObject, IofCallDriver, KeInitializeEvent, IoAllocateIrp, IoBuildDeviceIoControlRequest, IoGetAttachedDeviceReference, ExfInterlockedInsertTailList, ExAllocatePoolWithTag, _vsnwprintf, ExRegisterCallback, ExCreateCallback, RtlInitUnicodeString, IofCompleteRequest, ExNotifyCallback, KeTickCount, KeBugCheckEx, RtlUnwind, KeInsertQueueDpc, KeInitializeDpc, KeRemoveQueueDpc, IoAllocateErrorLogEntry, memmove, IoWriteErrorLogEntry, _allrem, _alldiv, KeQuerySystemTime, ExSystemTimeToLocalTime, memcpy, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, RtlCreateRegistryKey, RtlWriteRegistryValue, memset, _allmul, _aullrem, _aulldiv, _allshl, _aullshr, sprintf, IoGetDeviceProperty, DbgPrint
> HAL.dll: KeGetCurrentIrql, KfAcquireSpinLock, KfReleaseSpinLock
> SCSIPORT.SYS: ScsiPortReadPortUlong, ScsiPortInitialize, ScsiPortGetPhysicalAddress, ScsiPortNotification, ScsiPortWritePortUlong, ScsiPortGetDeviceBase, ScsiPortSetBusDataByOffset, ScsiPortGetBusData, ScsiPortGetUncachedExtension, ScsiPortStallExecution, ScsiPortValidateRange, ScsiPortWriteRegisterUlong, ScsiPortReadRegisterUlong

( 0 exports )

Noch was... Kaspersky hat nun folgendes gefunden (ist aber noch nicht fertig / 25%):
21.02.2009 14:17:49 Gefunden: Packed.Win32.Tdss.c c:\Qoobox\Quarantine\G\RECYCLER\S-8-3-28-100019036-100005519-100007943-2105.com.vir
21.02.2009 14:18:54 Nicht desinfizierte Objekte: Packed.Win32.Tdss.c c:\Qoobox\Quarantine\G\RECYCLER\S-8-3-28-100019036-100005519-100007943-2105.com.vir Zurückgestellt

Die Meldungen haben nichts zu bedeuten.

1.) Start => Ausführen => combofix /u (aufs Leerzeichen achten!) => OK
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
3.) Neustart => Systemwiederherstellung aktivieren
4.) Arbeite noch die Punkte b und d unserer Liste ab:
http://www.trojaner-board.de/69886-a...-beachten.html

ciao, andreas

Punkt b) läuft gerade (zum 2. Mal schon)
das kann wieder ein paar Stunden dauern bis ich da ein Ergebnis hab.
Macht es einen Unterschied ob ich das jetzt nochmal mache, da es ja vorhin schon fertig ausgeführt wurde?
Und kann ich punkt d) sofort machen oder sollte ich damit warten bis Malwarebytes-Anti-Malware fertig ist?

Du hast kein Log gepostet, also bin ich davon ausgegangen, dass es noch nicht getan wurde.

Wie du möchtest.

ciao, andreas

Der Scan wurde erfolgreich abgeschlossen. Keine infizierten Objekte wurden gefunden, klicken Sie auf 'Hauptmenü'.

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3

21.02.2009 19:08:56
mbam-log-2009-02-21 (19-08-56).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 256675
Laufzeit: 52 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Den vom Scan davor habe ich nicht mehr... was sagt das nun?



Hier ist die Liste der installierten Software:

Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9 - Deutsch
Atheros Communications Inc.(R) AR8121/AR8113 Gigabit/Fast Ethernet Driver
CCleaner (remove only)
EPU-6 Engine
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
ICQ Toolbar
ICQ6.5
J2SE Runtime Environment 5.0
Kaspersky Internet Security 2009
Kaspersky Internet Security 2009
Kaspersky Online Scanner
K-Lite Mega Codec Pack 4.3.1
Last.fm 1.5.2.38918
Logitech G-series Keyboard Software
Malwarebytes' Anti-Malware
marvell 61xx
Messenger Plus! Live
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft Foto Designer Pro 9
Microsoft Foto Designer-Bibliothek 9
Microsoft Office Professional Edition 2003
Mozilla Firefox (3.0.4)
Nokia Connectivity Cable Driver
Nokia Lifeblog 2.1
Nokia MTP driver
Nokia PC Connectivity Solution
Nokia PC Suite
Nokia Software Launcher
NVIDIA Drivers
NVIDIA PhysX v8.06.12
Realtek High Definition Audio Driver
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
TeamSpeak 2 RC2
TeamSpeak 2 Server RC2
Trojan Remover 6.7.6
Update für Windows XP (KB955839)
Ventrilo
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
VLC media player 0.9.6
Winamp
Windows Driver Package - Nokia Modem (06/12/2006 6.81.0.21)
Windows Live Messenger
Windows Media Format Runtime
Windows Media Player 10
Windows XP Service Pack 3
WinRAR
xp-AntiSpy 3.93

Deine Software ist aktuell, MalwareBytes hat nichts gefunden, jagen wir zur Sicherheit noch SuperAntiSpyware hinterher, anschliessend ein letztes HJT-Log, dann sind wir durch.

Die alten Logs von MbAM findest du auf der Karte Scan-Berichte. Mit Doppelklick öffnen.

ciao, andreas

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/21/2009 at 09:10 PM

Application Version : 4.25.1012

Core Rules Database Version : 3769
Trace Rules Database Version: 1729

Scan type : Complete Scan
Total Scan Time : 01:43:10

Memory items scanned : 671
Memory threats detected : 0
Registry items scanned : 4930
Registry threats detected : 0
File items scanned : 219781
File threats detected : 4

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\rippii\Cookies\rippii@atwola[1].txt
C:\Dokumente und Einstellungen\rippii\Cookies\rippii@ad.71i[1].txt
C:\Dokumente und Einstellungen\rippii\Cookies\rippii@atdmt[2].txt
C:\Dokumente und Einstellungen\rippii\Cookies\rippii@doubleclick[1].txt


Und das andere:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:24:44, on 21.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe
C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Last.fm\LastFM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\system32\svchost.exe
D:\eMule\emule.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [NSLauncher] C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {6406F17C-6C78-4645-B502-3E3F5BF71390} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {6406F17C-6C78-4645-B502-3E3F5BF71390} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B8D937F-3CBE-490B-8A31-3E0B3AD09DD5}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B8D937F-3CBE-490B-8A31-3E0B3AD09DD5}: NameServer = 192.168.0.1
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

--
End of file - 7403 bytes

Logs sind sauber. Wie geht es dem Rechner?

1.) Start => Ausführen => combofix /u => OK
2.) Deinstalliere:

• SuperAntiSpyware
• ICQ Toolbar
• Trojan Remover

3.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked

4.) Installiere Download der Java-Software von Sun Microsystems

Wird da gerade der nächste Schädling heruntergeladen? :aufsmaul:
Ernsthaft, dort bekommst du nur Schädlinge.

ciao, andreas

So, wieder mal fertig mit allem... und nein wird er nicht. Den "Schädling" den ich mir da eingefangen habe kam nicht durch eMule.. damit will ich nicht sagen, dass eMule sicher ist, aber ich weiß woher das andere kam. Ist auch schon aus...
sollte es nochmal Probleme geben, melde ich mich wieder. Hoffe natürlich nicht, dass es nochmal dazu kommt, aber wer weiß. Vielen Dank auf jeden Fall für die Unterstützung im Kampf gegen diesen ekligen Trojaner :D

Poste noch ein letztes HJT-Log, dann bist du entlassen.

ciao, andreas

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:30:50, on 21.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe
C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Last.fm\LastFM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
E:\Torrent\BitTorrent\bittorrent.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [NSLauncher] C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B8D937F-3CBE-490B-8A31-3E0B3AD09DD5}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B8D937F-3CBE-490B-8A31-3E0B3AD09DD5}: NameServer = 192.168.0.1
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

--
End of file - 6471 bytes


So?

Na Klasse, emule läuft nicht, dafür BitTorrent. :pfui: :headbang: :koch:
Ich gebs auf.

Ich bin raus,
andreas