Trojaner-Board - Package.Generic.200 hilfe bitte

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Package.Generic.200 hilfe bitte (https://www.trojaner-board.de/73427-package-generic-200-hilfe-bitte.html)

Package.Generic.200 hilfe bitte

Halli Hallo,

Ich hab seit vermutlich 2 Tagen besuch von Package.Generic.200 (laut Norton) und bekomm ihn nicht weg... Da ich mich mit sowas eben garnich auskenne hoffe ich, dass mir hier jemand helfen kann. Ich hab auch schon die Anleitungen CClean, mbam und HiJackThis abgearbeitet. Hier die Logs:

mbam:

Code:

Malwarebytes' Anti-Malware 1.36

Datenbank Version: 2166

Windows 5.1.2600 Service Pack 3
 

23.05.2009 20:29:27

mbam-log-2009-05-23 (20-29-27).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 250070

Laufzeit: 1 hour(s), 12 minute(s), 2 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Delete on reboot.

Hier sagt er zwar, dass er beim reeboot was löschen will, aber er findet es nach jedem neustart wieder.

HiJackThis #1:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:46:45, on 23.05.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\MHOTKEY.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\T-DSL SpeedManager\SpeedMgr.exe

C:\Programme\Ahead\InCD\InCD.exe

C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\Pd7tPan.Exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\WinZip\WZQKPICK.EXE

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\T-DSL SpeedManager\tsmsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programme\HJT\HJT.com.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\IPSBHO.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll

O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll

O4 - HKLM\..\Run: [CHotKey] MHOTKEY.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"

O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Pd7tPan] Pd7tPan.Exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207909488125

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A6156A04-A6CA-4881-BDE9-5FD8CE2CB2EB}: NameServer = 192.168.178.1

O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
 

--

End of file - 7935 bytes

uninstall_list

Code:

Adobe Acrobat 5.0

Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)

Adobe Flash Player 10 ActiveX

Adobe Flash Player 10 Plugin

Adobe Photoshop 7.0

Adobe Reader 8.1.2 - Deutsch

Adobe Shockwave Player

Ahead InCD

Ahead InCD EasyWrite Reader

Apple Software Update

ATI Display Driver

Band-in-a-Box 2009 (Build 282)

CCleaner (remove only)

CD Vergleich 1.03

CorelDRAW 10

CorelDRAW 10_TV

Designer 2.0

DVD Shrink 3.2

ElsterFormular 2004/2005

ElsterFormular 2005/2006

ElsterFormular 2006/2007

ElsterFormular 2007/2008

Free YouTube Download 2.2

FTDI USB Serial Converter Drivers

ftp-uploader

FUJIFILM USB Driver

GeoGebra

Google Earth

Google Toolbar for Internet Explorer

Google Updater

Hauppauge German Help Files and Resources

Hauppauge WinTV Radio

Hauppauge WinTV2000

Hauppauge WinTV-PVR 150 Drivers

HijackThis 2.0.2

Hotfix for Windows Media Format 11 SDK (KB929399)

Hotfix für Windows Internet Explorer 7 (KB947864)

Hotfix für Windows Media Player 11 (KB939683)

Hotfix für Windows XP (KB952287)

ImageMixer VCD2 for FinePix

iTunes

Java(TM) 6 Update 13

LiveUpdate 3.0 (Symantec Corporation)

Malwarebytes' Anti-Malware

Mars Previewer II

MaxIm DL

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft Kernel-Mode Driver Framework Feature Pack 1.5

Microsoft National Language Support Downlevel APIs

Microsoft Office 2000 Disc 2

Microsoft Office 2000 Premium

Microsoft User-Mode Driver Framework Feature Pack 1.0

Motorola Software Update

Mr.Mirror 1.3

MSXML 4.0 SP2 (KB927978)

MSXML 4.0 SP2 (KB936181)

MSXML 4.0 SP2 (KB954430)

Multimedia Keyboard Driver Uninstall

Native Instruments Limelite Solo

Nero 6 Enterprise Edition

Nero BurnRights (Ahead Software)

Norton Internet Security

Norton WMI Update

PG Music DirectX Plugins 1.3.4.1

PowerDVD

ProDigy 7.1 LT Audio Driver Ver 1.006

QuickTime

RAW FILE CONVERTER LE

RealPlayer

RegiStax  V3.0.1.23

Roxio Easy Media Creator 7

Security Update for CAPICOM (KB931906)

Security Update for CAPICOM (KB931906)

Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)

Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)

Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)

Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)

Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)

Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)

Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)

Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)

Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)

Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)

Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)

Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)

Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)

Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)

Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)

Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)

Sicherheitsupdate für Windows Media Player (KB952069)

Sicherheitsupdate für Windows Media Player 10 (KB911565)

Sicherheitsupdate für Windows Media Player 10 (KB917734)

Sicherheitsupdate für Windows Media Player 10 (KB936782)

Sicherheitsupdate für Windows Media Player 11 (KB936782)

Sicherheitsupdate für Windows Media Player 11 (KB954154)

Sicherheitsupdate für Windows XP (KB923561)

Sicherheitsupdate für Windows XP (KB938464)

Sicherheitsupdate für Windows XP (KB938464-v2)

Sicherheitsupdate für Windows XP (KB941569)

Sicherheitsupdate für Windows XP (KB946648)

Sicherheitsupdate für Windows XP (KB950760)

Sicherheitsupdate für Windows XP (KB950762)

Sicherheitsupdate für Windows XP (KB950974)

Sicherheitsupdate für Windows XP (KB951066)

Sicherheitsupdate für Windows XP (KB951376)

Sicherheitsupdate für Windows XP (KB951376-v2)

Sicherheitsupdate für Windows XP (KB951698)

Sicherheitsupdate für Windows XP (KB951748)

Sicherheitsupdate für Windows XP (KB952004)

Sicherheitsupdate für Windows XP (KB952954)

Sicherheitsupdate für Windows XP (KB953839)

Sicherheitsupdate für Windows XP (KB954211)

Sicherheitsupdate für Windows XP (KB954459)

Sicherheitsupdate für Windows XP (KB954600)

Sicherheitsupdate für Windows XP (KB955069)

Sicherheitsupdate für Windows XP (KB956391)

Sicherheitsupdate für Windows XP (KB956572)

Sicherheitsupdate für Windows XP (KB956802)

Sicherheitsupdate für Windows XP (KB956803)

Sicherheitsupdate für Windows XP (KB956841)

Sicherheitsupdate für Windows XP (KB957095)

Sicherheitsupdate für Windows XP (KB957097)

Sicherheitsupdate für Windows XP (KB958644)

Sicherheitsupdate für Windows XP (KB958687)

Sicherheitsupdate für Windows XP (KB958690)

Sicherheitsupdate für Windows XP (KB959426)

Sicherheitsupdate für Windows XP (KB960225)

Sicherheitsupdate für Windows XP (KB960715)

Sicherheitsupdate für Windows XP (KB960803)

Sicherheitsupdate für Windows XP (KB961373)

Steinberg Cubase SE

Steinberg Studio Case

T-DSL SpeedManager

TI Connect 1.6

Uninstall 1.0.0.1

Update für Windows XP (KB951072-v2)

Update für Windows XP (KB951978)

Update für Windows XP (KB955839)

Update für Windows XP (KB967715)

Virtual Moon Atlas

Virtual Sound Canvas DXi

Virtual Sound Canvas VST

Wichtiges Update für Windows Media Player 11 (KB959772)

Windows Media Format 11 runtime

Windows Media Format 11 runtime

Windows Media Player 11

Windows Media Player 11

Windows XP Service Pack 3

WinRAR Archivierer

WinZip

Bis jetzt hab ich vom Virus nich so viel mitbekommen... naja obwohl eigendlich schon xD er hat mal alle googlelinks redirected auf irgendwelche anderen seiten und ab und zu hat der rechner probleme beim hochfahren, statt die benutzerauswahl anzuzeigen, ist der bildschirm schwarz (cursor zeigt er aber an, lässt sich auch bewegen).

Naja also wie gesagt, da ich keine ahnung hab was ich jetzt dagegen machen soll (norton Variante hat nicht geklappt) wende ich mich volelr Hoffnung an euch also bitte bitte helft mir :P

schöne grüße und danke schon mal,
apu

Hallo und :hallo:

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

danke schon mal!

muss ich die festplatten usw. auch anstecken, wenn sie schon länger nicht mehr am rechner waren, also höchst warscheinlich nicht infiziert sind? ich hab hier nämlich nur einen funktionierenden usb port...
und zu diesem HiJackThis: Ich hab da noch nix gefixt... oder so des passt dann schon oder?

Zitat:

also höchst warscheinlich nicht infiziert sind?

Ich hatte mal einen Fall, der durfte dreimal neuaufsetzen. Einmal hat er sich über seine externe Festplatte neu infiziert, einmal über seine Kamera. Möchtest du das Risiko eingehen?

Zitat:

ich hab hier nämlich nur einen funktionierenden usb port...

Dann schließt du eben eine nach der anderen an. ComboFix läuft mindestens zweimal eher dreimal.

Zitat:

so des passt dann schon oder?

Das Fixen wird zum Schluss erledigt. :)

ciao, andreas

Ich kann combofix weder als combofix.exe noch als cofi.exe starten...

cya,
Apu

1.) Deinstalliere:

Adobe Acrobat 5.0
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Reader 8.1.2 - Deutsch
Adobe Shockwave Player
Ahead InCD
Ahead InCD EasyWrite Reader
Apple Software Update
ElsterFormular 2004/2005
ElsterFormular 2005/2006
ElsterFormular 2006/2007
Google Toolbar for Internet Explorer
Google Updater
LiveUpdate 3.0 (Symantec Corporation
Norton Internet Security
Norton WMI Update
Uninstall 1.0.0.1

2.) Download und Ausführung des Norton-Entfernungsprogramms

3.) Installiere (Toolbars immer abwählen, Haken weg):

4.) Combofix starten.

ciao, andreas

Zitat:

Zitat von AtothePtothe (Beitrag 437945)

Ich kann combofix weder als combofix.exe noch als cofi.exe starten...

ups fehler gefunden sry habe es cofi.exe.exe genannt...

Ok hab die combofix jetzt ausgeführt:

Code:

ComboFix 09-05-23.01 - Admin# 23.05.2009 22:41.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.726 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Admin#\Desktop\cofi.exe

AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}

FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\programme\INSTALL.LOG

c:\recycler\NPROTECT\00044323.

c:\windows\system32\drivers\UACexnosibmqjbavbw.sys

c:\windows\system32\UACblvreylxmpcqymy.dll

c:\windows\system32\UACclunkvscdliyiqp.db

c:\windows\system32\UAChxtlkbrbquqemex.log

c:\windows\system32\uacinit.dll

c:\windows\system32\UACprpngflvlsvmvdb.dll

c:\windows\system32\UACqorxxavefqyknow.log

c:\windows\system32\UACqwjiqmltqfwkkpc.dll

c:\windows\system32\UACrtqltequxocloge.dll

c:\windows\system32\uacsr.dat

c:\windows\system32\uactmp.db

c:\windows\system32\UACvyhkdxxsowkrirp.dat

c:\windows\system32\UACxlbrtfvametkvbr.dll

c:\windows\system32\UACybgwkesxoipmjwp.dll

c:\windows\system32\UACyqfkmpwsycxncjp.log
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Service_UACd.sys
 
 

(((((((((((((((((((((((   Dateien erstellt von 2009-04-23 bis 2009-05-23  ))))))))))))))))))))))))))))))

.
 

2009-05-23 16:12 . 2009-05-23 18:50        --------        d-----w        c:\programme\HJT

2009-05-23 16:06 . 2009-03-16 18:29        259368        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090523.003\ECMSVR32.DLL

2009-05-23 16:06 . 2009-03-16 08:00        89104        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090523.003\NAVENG.SYS

2009-05-23 16:06 . 2009-03-16 08:00        876144        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090523.003\NAVEX15.SYS

2009-05-23 16:06 . 2009-03-16 08:00        371248        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090523.003\EECTRL.SYS

2009-05-23 16:06 . 2009-03-16 08:00        2414128        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090523.003\CCERASER.DLL

2009-05-23 16:06 . 2009-03-16 08:00        177520        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090523.003\NAVENG32.DLL

2009-05-23 16:06 . 2009-03-16 08:00        1181040        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090523.003\NAVEX32A.DLL

2009-05-23 16:06 . 2009-03-16 08:00        101936        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090523.003\ERASER.SYS

2009-05-23 16:00 . 2009-05-23 16:00        --------        d-----w        c:\programme\CCleaner

2009-05-22 15:48 . 2009-05-22 15:48        --------        d-----w        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes

2009-05-22 15:29 . 2009-05-22 15:29        --------        d-----w        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Symantec

2009-05-22 11:02 . 2009-05-22 11:02        --------        d-----w        c:\dokumente und einstellungen\Admin#\Anwendungsdaten\Malwarebytes

2009-05-22 10:48 . 2009-05-22 11:02        --------        d-----w        c:\programme\tool

2009-05-22 10:26 . 2009-04-06 13:32        15504        ----a-w        c:\windows\system32\drivers\mbam.sys

2009-05-22 10:26 . 2009-04-06 13:32        38496        ----a-w        c:\windows\system32\drivers\mbamswissarmy.sys

2009-05-22 10:26 . 2009-05-22 10:29        --------        d-----w        c:\programme\important

2009-05-22 10:26 . 2009-05-22 10:26        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-05-22 08:54 . 2009-05-22 08:54        --------        d-----w        c:\dokumente und einstellungen\Admin#\Lokale Einstellungen\Anwendungsdaten\Symantec

2009-05-21 17:41 . 2009-05-21 17:41        --------        d-----w        c:\dokumente und einstellungen\Admin#\Lokale Einstellungen\Anwendungsdaten\Apple Computer

2009-05-21 17:41 . 2009-05-21 17:41        --------        d-----w        c:\dokumente und einstellungen\Admin#\Anwendungsdaten\Steinberg

2009-05-19 18:47 . 2009-03-16 20:03        533880        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090513.001\Scxpx86.dll

2009-05-19 18:47 . 2009-01-29 21:50        276344        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090513.001\IDSXpx86.sys

2009-05-19 18:47 . 2009-01-29 21:50        292912        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090513.001\IDSvix86.sys

2009-05-19 18:47 . 2009-01-29 21:50        447864        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090513.001\IDSxpx86.dll

2009-05-19 18:47 . 2009-01-29 21:50        396848        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090513.001\IDSviA64.sys

2009-05-19 14:50 . 2009-05-19 14:50        --------        d-----w        c:\dokumente und einstellungen\Admin#\Anwendungsdaten\vlc

2009-05-09 08:25 . 2009-03-16 20:03        533880        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090508.002\Scxpx86.dll

2009-05-09 08:25 . 2009-01-29 21:50        276344        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090508.002\IDSXpx86.sys

2009-05-09 08:25 . 2009-01-29 21:50        292912        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090508.002\IDSvix86.sys

2009-05-09 08:25 . 2009-01-29 21:50        447864        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090508.002\IDSxpx86.dll

2009-05-09 08:25 . 2009-01-29 21:50        396848        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090508.002\IDSviA64.sys
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-23 15:45 . 2007-09-27 19:56        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater

2009-05-22 14:42 . 2006-04-21 09:59        --------        d-----w        c:\programme\Java

2009-05-20 15:48 . 2005-02-03 18:17        50772        ----a-w        c:\windows\system32\perfc007.dat

2009-05-20 15:48 . 2005-02-03 18:17        321130        ----a-w        c:\windows\system32\perfh007.dat

2009-04-16 16:51 . 2009-04-16 16:51        --------        d-----r        c:\programme\Norton Support

2009-04-13 08:59 . 2009-04-13 08:59        --------        d-----w        c:\programme\Gemeinsame Dateien\xing shared

2009-04-13 08:59 . 2006-02-19 10:05        --------        d-----w        c:\programme\Gemeinsame Dateien\Real

2009-04-13 08:58 . 2003-03-18 18:14        499712        ----a-w        c:\windows\system32\msvcp71.dll

2009-04-13 08:58 . 2003-02-21 02:42        348160        ----a-w        c:\windows\system32\msvcr71.dll

2009-03-27 17:46 . 2009-03-27 17:46        410984        ----a-w        c:\windows\system32\deploytk.dll

2009-03-26 17:53 . 2009-03-16 18:30        805        ----a-w        c:\windows\system32\drivers\SYMEVENT.INF

2009-03-26 17:53 . 2009-03-16 18:30        7386        ----a-w        c:\windows\system32\drivers\SYMEVENT.CAT

2009-03-26 17:53 . 2009-03-16 18:30        60808        ----a-w        c:\windows\system32\S32EVNT1.DLL

2009-03-26 17:53 . 2009-03-16 18:30        124464        ----a-w        c:\windows\system32\drivers\SYMEVENT.SYS

2009-03-26 17:53 . 2005-03-14 19:53        --------        d-----w        c:\programme\Symantec

2009-03-16 20:03 . 2009-03-16 20:03        533880        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\Scxpx86.dll

2009-03-16 18:30 . 2009-03-16 18:30        1290584        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\SyKnAppS\SyKnAppS.dll

2009-03-16 18:30 . 2009-03-16 18:30        136840        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\SyKnAppS\patch25.dll

2009-03-16 18:29 . 2009-03-16 18:29        800112        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\CLT\cltLMSx.dll

2009-03-12 09:03 . 2009-03-16 18:30        36400        ----a-r        c:\windows\system32\drivers\SymIM.sys

2009-03-06 14:19 . 2005-02-03 18:17        286720        ----a-w        c:\windows\system32\pdh.dll

2009-03-03 00:03 . 2005-02-03 18:17        826368        ----a-w        c:\windows\system32\wininet.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"T-DSL SpeedMgr"="c:\programme\T-DSL SpeedManager\SpeedMgr.exe" [2005-01-13 589824]

"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2003-03-11 1257472]

"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]

"RoxioDragToDisc"="c:\programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe" [2005-03-08 1695744]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2007-04-27 257088]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-04-13 198160]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-27 148888]

"CHotKey"="MHOTKEY.exe" - c:\windows\MHOTKEY.EXE [2004-01-29 472576]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2003-12-19 65024]

"Pd7tPan"="Pd7tPan.Exe" - c:\windows\system32\Pd7tPan.exe [2004-12-03 1904640]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-3-30 110592]

Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2007-12-10 122880]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]

@="FSFilter Activity Monitor"
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\ftp-uploader\\FTPUploader.exe"=

"c:\\Mama\\fotobuch.de AG\\Designer 2.0\\Designer.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

R0 BsStor;InCD Storage Helper Driver;c:\windows\system32\drivers\bsstor.sys [24.04.2005 11:40 9344]

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1005000.087\SymEFA.sys [22.03.2009 11:23 310320]

R1 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\drivers\NIS\1005000.087\BHDrvx86.sys [22.03.2009 11:23 258608]

R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NIS\1005000.087\cchpx86.sys [22.03.2009 11:23 482352]

R1 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090513.001\IDSXpx86.sys [19.05.2009 20:47 276344]

R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;c:\programme\Symantec\LiveUpdate\AluSchedulerSvc.exe [16.10.2008 20:03 100032]

R2 BsUDF;InCD UDF Driver;c:\windows\system32\drivers\bsudf.sys [24.04.2005 11:40 389504]

R2 ccdpar;FLI CCD Parallel Driver (1.0);c:\windows\system32\drivers\ccdpar.sys [01.11.2005 12:04 7536]

R2 MaxImIO;MaxIm Port I/O;c:\windows\system32\drivers\maximio.sys [01.11.2005 12:01 7832]

R2 Norton Internet Security;Norton Internet Security;c:\programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe [22.03.2009 11:23 115560]

R2 PmisIo;PmisIo;c:\windows\system32\drivers\pmisio.sys [01.11.2005 12:01 3328]

R2 RVIEGVST;VSC VST Engine;c:\programme\Roland\Virtual Sound Canvas VST\RVIEg01VST.sys [12.03.2009 20:07 188276]

R2 SBIG;SBIG;c:\windows\system32\drivers\sbig.sys [01.11.2005 12:01 35292]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [16.03.2009 10:00 101936]

R3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;c:\windows\system32\drivers\hcw88rc5.sys [11.03.2006 11:45 11841]

R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;c:\windows\system32\drivers\hcw88tun.sys [11.03.2006 11:45 141889]

R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [11.03.2006 11:44 493632]

R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\hcw88bar.sys [11.03.2006 11:44 23104]

R3 Pd7t_01;Service for ProDigy 7.1 LT;c:\windows\system32\drivers\Pd7tWdm.sys [06.03.2005 11:21 36480]

R3 Pd7t_AA;Service for ProDigy 7.1 LT Audio Driver (EWDM);c:\windows\system32\drivers\Pd7t.sys [06.03.2005 11:21 27392]

R3 pdQve;QVE for Prodigy (WDM);c:\windows\system32\drivers\pdQve.sys [06.03.2005 11:21 500224]

R3 SynasUSB;SynasUSB;c:\windows\system32\drivers\SynasUSB.sys [06.03.2005 11:31 16896]

S2 gcfnxgo;gcfnxgo;c:\windows\system32\drivers\gpjgqn.sys --> c:\windows\system32\drivers\gpjgqn.sys [?]

S2 ijumgx;ijumgx;c:\windows\system32\drivers\scscs.sys --> c:\windows\system32\drivers\scscs.sys [?]

S3 TNPacket;T-Systems Nova Packet Capture Driver;c:\programme\T-DSL SpeedManager\TNPACKET.SYS [09.10.2002 13:38 9696]

S4 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [03.02.2005 20:18 77312]

.

Inhalt des "geplante Tasks" Ordners
 

2009-01-31 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
 

2009-05-23 c:\windows\Tasks\Google Software Updater.job

- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-09-27 19:52]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKLM-Run-Corel Reminder - (no file)

SafeBoot-procexp90.Sys
 
 

.

------- Zusätzlicher Suchlauf -------

.

TCP: {A6156A04-A6CA-4881-BDE9-5FD8CE2CB2EB} = 192.168.178.1

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-23 22:43

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Norton Internet Security]

"ImagePath"="\"c:\programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\programme\Norton Internet Security\Engine\16.5.0.135\diMaster.dll\" /prefetch:1"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(968)

c:\windows\system32\Ati2evxx.dll

.

Zeit der Fertigstellung: 2009-05-23 22:45

ComboFix-quarantined-files.txt  2009-05-23 20:45
 

Vor Suchlauf: 28 Verzeichnis(se), 42.978.574.336 Bytes frei

Nach Suchlauf: 28 Verzeichnis(se), 44.971.966.464 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 

196        --- E O F ---        2009-04-15 17:46

wie gehts weiter?

1.) Deaktiviere den Wächter von Norton Internet Security.

2.) Packe den Ordner

Code:

c:\qoobox

mit RAR oder ZIP, lade es bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als PN.

3.) Aktiviere den Wächter von Norton Internet Security.

4.) Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas

Musste beide hochladen:

Log
Info

Lade diese Dateien

Code:

C:\WINDOWS\system32\drivers\gpjgqn.sys

C:\WINDOWS\system32\drivers\scscs.sys

gemäß dieser Anleitung bei uns hoch.

ciao, andreas

Zitat:

Zitat von john.doe (Beitrag 437973)

Lade diese Dateien

Code:

C:\WINDOWS\system32\drivers\gpjgqn.sys

C:\WINDOWS\system32\drivers\scscs.sys

[...] bei uns hoch.

ciao, andreas

Ich hab zwar alles, wie in der Anleitung sichtbar gemacht, aber die zwei Dateien sind da nich drin, bzw. finde ich nicht :confused:

Dann markiere jeweils eine Zeile in der Box, [Strg]c, zum Uploadchannel wechseln, in ein weißes Feld klicken, [Strg]v

ciao, andreas

Hat geklappt, danke!

Jetzt die Punkte 1-3 durchführen, http://www.trojaner-board.de/437953-post6.html.

Falls du Norton(die gelbe Pest) behalten möchtest, dann den nicht deinstallieren und Punkt 2 überspringen. Selbstverständlich brauchst du dann auch nicht Avira zu installieren.

Poste ein aktuelles HJT-Log.

ciao, andreas

Muss ich dieses Elster Formular deinstallieren? also is des infiziert oder so?
das is nämlich der rechner von meinem vater und ich glaub der braucht das noch xD und der will auch norton drauf haben...

cya, apu

hmmm ich habs jetzt mal drauf gelassen. wenns runter soll, sag bescheit.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:46:46, on 24.05.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\MHOTKEY.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\T-DSL SpeedManager\SpeedMgr.exe

C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\Pd7tPan.Exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\WinZip\WZQKPICK.EXE

C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\Programme\T-DSL SpeedManager\tsmsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\msiexec.exe

C:\Programme\HJT\HJT.com.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\IPSBHO.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll

O4 - HKLM\..\Run: [CHotKey] MHOTKEY.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"

O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Pd7tPan] Pd7tPan.Exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\RunOnce: [Uninstall getPlus(R) for Adobe] "C:\Programme\NOS\bin\getPlus_HelperSvc.exe" /UninstallGet1noarp

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207909488125

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A6156A04-A6CA-4881-BDE9-5FD8CE2CB2EB}: NameServer = 192.168.178.1

O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
 

--

End of file - 7527 bytes

thx, Apu

so also ich werd erst mal ne pause einlegen!
danke schonmal! und gute nacht

1.) Lade die Datei

Code:

c:\windows\system32\drivers\pmisio.sys

bei uns hoch. http://www.trojaner-board.de/54791-a...ner-board.html

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Driver::

BsStor

BsUDF

gcfnxgo

ijumgx

gusvc
 

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9325bbd6-1c68-11de-8338-00196661525d}]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SymEFA.sys]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=-

"MSMSGS"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"=-

"InCD"=-

"iTunesHelper"=-

"Adobe Reader Speed Launcher"=-

"QuickTime Task"=-

"TkBellExe"=-

"SunJavaUpdateSched"=-

"SoundMan"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=-
 

Folder::

C:\rsit

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater

c:\programme\Apple Software Update

c:\programme\Google\Common\Google Updater
 

File::

c:\windows\Tasks\Google Software Updater.job

c:\windows\Tasks\AppleSoftwareUpdate.job

c:\windows\system32\perfc007.dat

c:\windows\system32\perfh007.dat
 

DirLook::

c:\programme\tool

c:\programme\important
 

SysRst::

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

guten morgen,

hier ist die log.txt

cya,
Apu

Also bis auf die gelbe Pest sieht das schon ganz gut aus. Wie geht es dem Rechner?

1.) Start => Ausführen => combofix /u => OK

2.) http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung)

ciao, andreas

also dem rechner gehts besser denn je, norton is ja auch aus xD
aber auch sonst is gut xD ja vom virus merke ich atm. auch nix.

cya,
Apu

so superantispyware is durch:

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 05/24/2009 at 03:48 PM
 

Application Version : 4.26.1002
 

Core Rules Database Version : 3908

Trace Rules Database Version: 1853
 

Scan type       : Complete Scan

Total Scan Time : 02:38:35
 

Memory items scanned      : 476

Memory threats detected   : 0

Registry items scanned    : 6449

Registry threats detected : 0

File items scanned        : 214369

File threats detected     : 5
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Admin#\Cookies\admin#@CA1HQCNH.txt

        C:\Dokumente und Einstellungen\Admin#\Cookies\admin#@CAMZY4EJ.txt

        C:\Dokumente und Einstellungen\Admin#\Cookies\admin#@CA3BIQUX.txt

        C:\Dokumente und Einstellungen\Admin#\Cookies\admin#@CATWWIYC.txt

        C:\Dokumente und Einstellungen\Admin#\Cookies\admin#@CA323SAU.txt

cya, Apu

1.) Deinstalliere SuperAntiSpyware.

2.) Sollte der nichts finden, dann hast du es geschafft. :)

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas

Hiho,

Wenn ich kaspersky installieren will, sagt er mir, dass ich norton deinstallieren soll, weil er inkompatibel dazu is...
Soll ich den dann wirklich deinstallieren?!?!
Ich hab mit mbam und norton schon geschaut und nichtsmehr gefunden reicht das als sicherheit?

cya, Apu

Norton traue ich nur soweit, wie ich ein Hochhaus werfen kann. Vergiss den Kasper, wir haben noch mehr zur Auswahl.

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

Sooo jetzt is Panda auch fertig... Sieht irgendwie nich so gut aus... aber Package.Generic.200 is wohl weg oder?

Code:

;***********************************************************************************************************************************************************************************

ANALYSIS: 2009-05-24 21:29:11

PROTECTIONS: 0

MALWARE: 38

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description                                  Version                       Active    Updated

;===================================================================================================================================================================================

;===================================================================================================================================================================================

MALWARE

Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location

;===================================================================================================================================================================================

00139060  Cookie/Casalemedia                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.casalemedia.com/]

00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Cookies\a@doubleclick[1].txt

00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.doubleclick.net/]

00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.atdmt.com/]

00145393  Cookie/Tradedoubler                TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.tradedoubler.com/]

00145393  Cookie/Tradedoubler                TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.tradedoubler.com/]

00145393  Cookie/Tradedoubler                TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.tradedoubler.com/]

00145393  Cookie/Tradedoubler                TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.tradedoubler.com/]

00145457  Cookie/FastClick                   TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.fastclick.net/]

00145457  Cookie/FastClick                   TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.fastclick.net/]

00145731  Cookie/Tribalfusion                TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.tribalfusion.com/]

00145732  Cookie/Falkag                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.as-eu.falkag.net/]

00145732  Cookie/Falkag                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.as-eu.falkag.net/]

00145732  Cookie/Falkag                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.as-eu.falkag.net/]

00145732  Cookie/Falkag                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.as-eu.falkag.net/]

00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.mediaplex.com/]

00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.mediaplex.com/]

00147461  Cookie/Count.eanalyzer             TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Cookies\a@count.eanalyzer[1].txt

00160284  Cookie/Findwhat                    TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Cookies\a@findwhat[1].txt

00160284  Cookie/Findwhat                    TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.findwhat.com/]

00167642  Cookie/Com.com                     TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.com.com/]

00167642  Cookie/Com.com                     TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.com.com/]

00167642  Cookie/Com.com                     TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Cookies\a@com[2].txt

00167647  Cookie/Yadro                       TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.yadro.ru/]

00167656  Cookie/Hitbox                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.ehg-idg.hitbox.com/]

00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.xiti.com/]

00167749  Cookie/Toplist                     TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.toplist.cz/]

00167753  Cookie/Statcounter                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.statcounter.com/]

00167753  Cookie/Statcounter                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.statcounter.com/]

00167753  Cookie/Statcounter                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.statcounter.com/]

00167753  Cookie/Statcounter                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.statcounter.com/]

00167753  Cookie/Statcounter                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.statcounter.com/]

00167753  Cookie/Statcounter                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.statcounter.com/]

00167760  Cookie/Hitslink                    TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.counter.hitslink.com/]

00167760  Cookie/Hitslink                    TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.counter.hitslink.com/]

00167760  Cookie/Hitslink                    TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.counter.hitslink.com/]

00167760  Cookie/Hitslink                    TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.counter.hitslink.com/]

00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[ad.yieldmanager.com/]

00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.apmebf.com/]

00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.apmebf.com/]

00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.serving-sys.com/]

00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.serving-sys.com/]

00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.serving-sys.com/]

00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.serving-sys.com/]

00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.bs.serving-sys.com/]

00168102  Cookie/Falkag                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[as1.falkag.de/]

00168102  Cookie/Falkag                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[as1.falkag.de/]

00168102  Cookie/Falkag                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[as1.falkag.de/]

00168102  Cookie/Falkag                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[as1.falkag.de/]

00168102  Cookie/Falkag                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[as1.falkag.de/]

00168102  Cookie/Falkag                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.as1.falkag.de/]

00168102  Cookie/Falkag                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.as1.falkag.de/]

00168102  Cookie/Falkag                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[as1.falkag.de/]

00168102  Cookie/Falkag                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.as1.falkag.de/]

00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.weborama.fr/]

00168109  Cookie/Adtech                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.adtech.de/]

00168109  Cookie/Adtech                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.adtech.de/]

00168110  Cookie/Server.iad.Liveperson       TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.server.iad.liveperson.net/hc/39121419]

00168110  Cookie/Server.iad.Liveperson       TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.server.iad.liveperson.net/hc/39121419]

00168113  Cookie/fe.lea.lycos                TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.fe.lea.lycos.de/]

00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.advertising.com/]

00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.advertising.com/]

00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.advertising.com/]

00170304  Cookie/WebtrendsLive               TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.statse.webtrendslive.com/]

00170304  Cookie/WebtrendsLive               TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.statse.webtrendslive.com/S135289]

00170554  Cookie/Overture                    TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.overture.com/]

00170554  Cookie/Overture                    TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.overture.com/]

00170556  Cookie/RealMedia                   TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.realmedia.com/]

00170556  Cookie/RealMedia                   TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.realmedia.com/]

00170556  Cookie/RealMedia                   TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.realmedia.com/]

00171633  Cookie/Cgi-bin                     TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Cookies\a@cgi-bin[1].txt

00171718  Cookie/Enhance                     TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.c.enhance.com/]

00171982  Cookie/QuestionMarket              TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.questionmarket.com/]

00172221  Cookie/Zedo                        TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.zedo.com/]

00187950  Cookie/bravenetA                   TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.bravenet.com/]

00187950  Cookie/bravenetA                   TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.bravenet.com/]

00199984  Cookie/Searchportal                TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\4d048nmk.default\cookies.txt[.searchportal.information.com/]

00286732  Cookie/Cgi-bin                     TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\a\Cookies\a@www3.addfreestats[1].txt

03074964  Trj/CI.A                           Virus/Trojan        No        0         No             No           C:\Qoobox.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACblvreylxmpcqymy.dll.vir]

03074964  Trj/CI.A                           Virus/Trojan        No        0         No             No           C:\Qoobox.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACprpngflvlsvmvdb.dll.vir]

03074964  Trj/CI.A                           Virus/Trojan        No        0         No             No           C:\Qoobox.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACqwjiqmltqfwkkpc.dll.vir]

03074964  Trj/CI.A                           Virus/Trojan        No        0         No             No           C:\Qoobox.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACrtqltequxocloge.dll.vir]

03074964  Trj/CI.A                           Virus/Trojan        No        0         No             No           C:\Qoobox.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACxlbrtfvametkvbr.dll.vir]

03074964  Trj/CI.A                           Virus/Trojan        No        0         No             No           C:\Qoobox.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACybgwkesxoipmjwp.dll.vir]

03074964  Trj/CI.A                           Virus/Trojan        No        0         No             No           C:\Qoobox.rar[Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACexnosibmqjbavbw.sys.vir]

;===================================================================================================================================================================================

SUSPECTS

Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              }

;===================================================================================================================================================================================

;===================================================================================================================================================================================

VULNERABILITIES

Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                }

;===================================================================================================================================================================================

;===================================================================================================================================================================================

OK. Das war es.

1.) Start => Ausführen => combofix /u => OK

2.) Alle Programme, die wir eingesetzt haben, deinstallieren/löschen.

3.) Poste ein letztes HJT-Log.

ciao, andreas

so alles is runter und hier das HJT Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:55:41, on 24.05.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\MHOTKEY.exe

C:\Programme\T-DSL SpeedManager\SpeedMgr.exe

C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe

C:\Programme\T-DSL SpeedManager\tsmsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\WinZip\WZQKPICK.EXE

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\msiexec.exe

C:\Programme\HJT\HJT.com.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\IPSBHO.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll

O4 - HKLM\..\Run: [CHotKey] MHOTKEY.exe

O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"

O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"

O4 - HKLM\..\Run: [Pd7tPan] Pd7tPan.Exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207909488125

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A6156A04-A6CA-4881-BDE9-5FD8CE2CB2EB}: NameServer = 192.168.178.1

O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
 

--

End of file - 6092 bytes

cya,
Apu

Starte HJT => Do a system scan only => Markiere:

Code:

Alle R0, R1, O2, O3, O9 und O16-Einträge

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

=> Fix checked => Neustart => Neues HJT-Log posten

ciao, andreas

soooo...

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:10:35, on 24.05.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\MHOTKEY.exe

C:\Programme\T-DSL SpeedManager\SpeedMgr.exe

C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe

C:\WINDOWS\system32\Pd7tPan.Exe

C:\Programme\T-DSL SpeedManager\tsmsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\HJT\HJT.com.exe
 

O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\IPSBHO.DLL

O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll

O4 - HKLM\..\Run: [CHotKey] MHOTKEY.exe

O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"

O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"

O4 - HKLM\..\Run: [Pd7tPan] Pd7tPan.Exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{A6156A04-A6CA-4881-BDE9-5FD8CE2CB2EB}: NameServer = 192.168.178.1

O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
 

--

End of file - 3301 bytes

cya,
Apu

:D O2 und O3 betreffen nur den MSIE und damit sollte sowieso keiner surfen. Egal.

Du bist entlassen. :)

ciao, andreas

Jaaaaa...
Recht herzlichen dank!! Ich hätts wohl ohne dir nich geschafft und den Rechner neu aufsetzen müssen und da des Backup schon n bisschen älter is wär da wohl einiges weg gewesen...
Prost! :party:
Jetzt hab ich doch noch eine Frage: welcher oder welche Virenscanner ist/sind in Kombination denn die besten?

cya,
Apu

Ok danke noch mal für die Ausdauer und die Hilfe!